Achtung! Neue Vorschriften beim Einsatz von Google Analytics

webanalyse 04
Fachbeitrag

Seit zwei Jahren ist ein datenschutzkonformer Einsatz von Google Analytics möglich. Datenschutzbehörden überprüfen akribisch, ob die Voraussetzungen eingehalten werden.

Durch einen Leserkommentar sind wir jetzt auf eine Änderung aufmerksam gemacht worden, die bisher kaum Beachtung gefunden hat. Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit hat den Hinweis für Webseitenbetreiber um eine Voraussetzung erweitert.

Pflicht zur Einbindung einer eigenen Widerspruchslösung

Webseitenbetreiber haben nun die Pflicht, eine eigene Widerspruchslösung zu implementieren.

Der größte Kritikpunkt an dem Abkommen zwischen den Aufsichtsbehörden und Google ist damit geklärt. Bisher war ein Opt-Out nur bei Nutzung von einem Browser Add-On möglich. Dieses war allerdings nicht für alle Browser erhältlich. Insbesondere für Smartphone-Nutzer gab es keine Möglichkeit, der Nutzung ihrer Daten zu widersprechen.

Durch die Einbindung einer eigenen Widerspruchslösung ist nun ein Opt-Out unabhängig vom Typ des Browsers möglich.

Was ist nun zu tun?

1. Hinweis in Datenschutzerklärung mit speziellem Link

Webseitenanbieter sollten die Datenschutzerklärung um einen entsprechenden Hinweis und einen Link zum Opt-Out erweitern. Eine Anleitung zur programmgesteuerten Unterbindung des Trackings wird von Google bereitgestellt.

Der Text der Widerrufserklärung sollte um diesen Hinweis ergänzt werden:

Sie können die Erfassung durch Google Analytics verhindern, indem Sie auf folgenden Link klicken. Es wird ein Opt-Out-Cookie gesetzt, der die zukünftige Erfassung Ihrer Daten beim Besuch dieser Website verhindert:

Dann muss ein neuer HTML-Link auf der Webseite eingebunden werden:

<a href="javascript:gaOptout()">Google Analytics deaktivieren</a>

 2. Neues Script im Quelltext

Folgendes Script muss immer vor dem eigentlichen Google Analytics-Script im Quelltext implementiert werden. Dadurch wird sichergestellt, dass das Tracking verhindert wird, wenn das Opt-Out-Cookie gesetzt wurde.

<script>

var gaProperty = 'UA-XXXXXX-Y';
var disableStr = 'ga-disable-' + gaProperty;
if (document.cookie.indexOf(disableStr + '=true') > -1) {
window[disableStr] = true;
}
function gaOptout() {
document.cookie = disableStr + '=true; expires=Thu, 31 Dec 2099 23:59:59 UTC; path=/';
window[disableStr] = true;
}

</script>

‘UA-XXXXXX-Y’ ist mit dem jeweiligen Tracking-Code zu ersetzen.

Die Lösung ist nicht perfekt

Der Nutzer hat nun eine Möglichkeit auch ohne Browser Add-On der Erhebung seiner Daten zu widersprechen. Streng genommen, ist die Lösung nicht perfekt. Der Nutzer muss erst einmal die Webseite und die Datenschutzerklärung aufrufen. Bis dahin wurden seine Daten bereits erfasst und an Google weitergeleitet.

Klickt der Nutzer dann auf den Opt-Out-Link werden ab diesem Zeitpunkt seine Daten nicht mehr verarbeitet. Dies gilt auch nur für den Besuch dieser Webseite. Bei Installation des Add-ons werden bei allen Internetauftritten erst gar keine Daten des Nutzers erhoben.

Ausführliche Anleitung für Webmaster

Hier finden Sie die aktuelle Anleitung, um Google Analytics datenschutzkonform einzusetzen:

Sie haben Fragen?

Unsere Berater helfen Ihnen dabei, den Umgang mit personenbezogenen Daten in Ihrem Unternehmen rechtssicher und praxisgerecht zu gestalten. Dabei unterstützen wir Sie u.a. bei folgenden Themen:

  • Rechtskonformer Einsatz von Webanalyse-Tools, wie z.B. Google Analytics und Piwik
  • Prüfung und Gestaltung der Datenschutzerklärung auf Ihrer Website
  • Erstellung und Anpassung erforderlicher datenschutzrechtlicher Vereinbarungen

Informieren Sie sich hier über unser Leistungsspektrum: Webanalyse und Datenschutz

23 Kommentare zu diesem Beitrag

  1. Liebe Autoren,

    vielen Dank für diesen tollen Hinweis. Trotzdem hätte ich noch eine Anregung. Soweit ich die Google-Seite verstanden habe muss der Code auf JEDER Seite eingefügt werden. Sonst hat er keine Funktion. Lediglich die Funktion gaOptout() muss nicht auf jeder Seite eingebunden werden. Sondern nur dort, wo sich auch der Link zum Opt-Out befindet.
    Vielleicht könnt ihr noch einmal checken ob ich mit meiner Vermutung richtig liege.

    Dankeschön

  2. Der HTML Link Google Analytics deaktivieren muss NUR auf der Seite implementiert werden, wo die Möglichkeit für den Nutzer zum Ausschalten des GA Trackings geschaffen werden soll.
    Das Script jedoch muss auf jeder Seite mit GA Trackingcode implementiert werden, da bei Aufruf ja die Prüfung auf vorhandenen Cookie erfolgen soll, bevor das GA Tracking ausgelöst wird.
    Der Artikel ist dort etwas verwirrend.

  3. Guten Tag,
    wie verhält es sich, wenn der Analytics-Code mit der Erweiterung “_anonymizeIp()” verwendet wird?
    Dann werden doch keine personenbezogenen Daten übermittelt/gespeichert.
    Ist dann trotzdem die Widerspruchslösung notwendig?

  4. @Henning Krause
    Die Widerspruchslösung ist notwendig. Voraussetzung für den datenschutzkonformen Einsatz von Google Analytics ist die Funktion _anonymizeIp() und die Möglichkeit des Nutzers einer Erhebung seiner IP-Adresse zu widersprechen. Bei _anonymizeIp() wird die IP-Adresse des Nutzers erst vollständig erhoben und dann (angeblich) vor der Übermittlung an Google gekürzt. Eine Möglichkeit des Widerspruchs war immer Bedingung für den Einsatz. Zunächst war der Widerspruch allerdings nur durch ein Browser-Add-On möglich.

  5. Vielen Dank für den Artikel!

    Wie ist es denn, wenn auf manchen Bereichen meiner Website eine andere Property zum Einsatz kommt, ich aber nur eine Datenschutzerklärung habe?

    Kann ich in dem Skript für die Datenschutzerklärung auch mehrere Properties angeben?

    Gruß, Jakob

  6. @Jakob:

    Bei Google Analytics wird normalerweise für eine Webseite nur eine Property angelegt. Das Opt-Out funktioniert nur bei Seiten, die unter derselben Property analysiert werden. Evtl. ist es möglich, das Script entsprechend anzupassen, damit es für mehrere Properties anwendbar ist. Leider können wir hierzu aber keine weitere Auskunft geben.

  7. Hallo

    Der Artikel hat an entscheidender Stelle einen Fehler.

    “… Aber nur auf der Seite der Datenschutzerklärung, weil hier durch Klicken des speziellen Links ein Opt-Out-Cookie gesetzt wird. …”

    Das ist falsch.

    Das unter
    “2. Neues Script im Quelltext der Datenschutzerklärung”
    genannte Script muss *vor* dem eigentlich GA Code snippet platziert werden. Auf jeder Seite und nicht nur auf der Seite mit dem Opt-Out Link.

    Es wäre höchst erfreulich, wenn der Artikel an dieser kritischen Stelle geändert wird, denn so wie oben beschrieben ist die Anleitung schlicht kaputt, falsch und eben nicht datenschutzkonform.

  8. Mit grossem Interesse haben wir Ihren Beitrag gelesen.
    Wir nutzen das Impressum / eRecht von “Erstellt mit dem Impressum-Generator der Kanzlei Siebert”
    Hier wird ja auf Google+, Google Analytics verwiesen.
    Reicht das nicht aus?
    Wir nutzen das Blogging System von EmpowerNetwork und können hier keinen html-code setzen. Beispiel zu einem meiner Blog´s: http://www.GuentherSellner.de
    Dies müsste dann ggf. von Empower direkt veranlasst werden.
    Für wertvolle Info´s sind wir sehr dankbar.
    Mit besten Empfehlungen
    Günther Sellner

  9. @Guenther:

    Der Einsatz von Google Analytics ist nur datenschutzrechtlich zulässig, wenn sie die in unserem Artikel angesprochenen Punkte umsetzen. Sie sollten hierzu Rücksprache mit EmpowerNetwork halten, ob entsprechende Lösungen angeboten werden können. Sollte dies nicht möglich sein, sollten Sie entweder auf Google Analytics verzichten oder den Anbieter wechseln. Datenschutzrechtlich sind Sie verantwortlich für die gesetzeskonforme Gestaltung Ihrer Webseite und zur Zahlung evtl. Bußgelder verpflichtet.

  10. Hallo,

    kurz zum Verständnis.
    Sie sprechen hier über das Opt-out Verfahren. 
    In Deutschland soll jedoch das Opt-in Verfahren ratifiziert werden, die Opt-out Lösung, wie sie z.B. von Google Analytics angeboten wird, reicht den Datenschützern nicht aus.
    siehe dazu: http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2011/wp188_de.pdf

    Sie beschreiben hier, dass das Opt-in Verfahren datenschutzkonform nach deutschen Datenschutz sei. Ist Deutschland nicht mehr “Opt-out” Land? Wann hat sich dies geändert?

    Danke für eine Erläuterung.

    Beste Grüße
    Marcus Nowak-Trytko

  11. @ Ideal Observer:

    Für die Erhebung und Verarbeitung von personenbezogenen Daten ist ein Opt-In gem. § 12 Abs. 2 TMG erforderlich. Durch die Erweiterung von Google Analytics um die Funktion „anonymizeIp“ wird die IP-Adresse nicht mehr komplett erhoben. Aus diesem Grund handelt es sich um eine Erstellung von Nutzungsprofilen unter der Verwendung von Pseudonymen. Hier gilt das Opt-Out-Prinzip gemäß § 15 Abs. 3 TMG.

  12. Hallo, vielen Dank für Ihren Artikel. Ich habe mir erlaubt in Ihrer Datenschutzerklärung den Link zu klicken. Ich benutze den Browser “firefox” mit dem Add-On Ghostery. Nach dem ich also Ihren Link genutzt habe, zeigt mir Ghostery trotzdem noch einen Analytics Code. Können Sie das erklären? Woran liegt es?
    Danke schon einmal für ein Feedback

  13. Als Endverbraucher (Only-user) habe jetzt keine Möglkichkeit diese traffic Bremse abzuschalten?
    Ich habe keinen Server und keinen Webadministrator damit ich schnell einmal ein script implementiere.

    • Nicht weinen, selbst helfen!
      Ghostery (für FF) und AdMuncher(.com) für Alles ausser IE11 und HTTPS helfen auch dem Laien gratis weiter. dann gibt’s noch AdGuard, aber die wollen betahlt werden (können dafür HTTPS und IE11 zusätzlich).

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.