Google Analytics datenschutzkonform einsetzen

Fachbeitrag

Für den datenschutzkonformen Einsatz von Google Analytics gibt es klare Regelungen, die mit den Aufsichtsbehörden abgestimmt sind. Durch die Datenschutz-Grundverordnung (DSGVO) gibt es Neuerungen zu beachten, die wir Ihnen hier aufzeigen.

Was ist zu tun?

Zusammenfassend ergeben sich für einen datenschutzkonformen Einsatz von Google Analytics unter Beachtung der Vorgaben der Aufsichtsbehörden insgesamt sechs Punkte, die einzuhalten sind:

  1. Vertrag zur Auftragsverarbeitung abschließen
  2. Tracking-Code anpassen
  3. Aufbewahrungsdauer der Daten festlegen
  4. Datenschutzerklärung anpassen
  5. Einwilligung einholen
  6. Ggf. Löschung von Altdaten

1. Vertrag zur Auftragsverarbeitung abschließen

Da nach Ansicht der Aufsichtsbehörden Websitebetreiber beim Einsatz von Google Analytics als Auftraggeber und Google als Auftragnehmer fungieren, ist mit Google ein Vertrag zur Auftragsverarbeitung abzuschließen. Der Abschluss eines solchen Vertrages wird ab dem 25. Mai 2018 vereinfacht: Ab dann muss der Vertrag nicht mehr ausgedruckt und ausgefüllt per Post nach Irland versendet werden, sondern es genügt, in den Google-Analytics-Einstellungen den Vertrag elektronisch zu bestätigen. Hierzu scrollen Sie in Google Analytics unter „Verwaltung > Kontoeinstellungen“ runter bis zur Rubrik „Zusatz zur Datenverarbeitung“.

Hier können Sie auf „Zusatz anzeigen“ klicken und den Auftragsverarbeitungsvertrag bestätigen. Unter dem Link „Details zum Zusatz zur Datenverarbeitung verwalten“ müssen Sie dann noch Ihre Firmen- bzw. Kontaktangaben ausfüllen und alles mit einem Klick auf die Schaltfläche „Speichern“ bestätigen.

Bis zum 25. Mai 2018 muss der Vertrag jedoch weiterhin händisch per Post verschickt werden. Eine Anleitung zum genauen Vorgehen finden Sie auf der ersten Seite des ADV-Vertrages von Google.

Besteht zum Zeitpunkt der Anwendbarkeit der DSGVO schon ein Auftragsdatenverarbeitungsvertrag mit Google, ist es nicht in jedem Fall erforderlich, einen neuen Vertrag abzuschließen. Nur für den Fall, dass der Vertrag mit Google vor September 2016 abgeschlossen wurde, ist ein neuer Vertrag abzuschließen, da sich die alten ADV-Verträge von Google auf den für unwirksam erklärten Safe-Harbor-Beschluss beriefen.

2. Tracking-Code anpassen

IP-Adressen anonymisieren

Eine datenschutzkonforme Nutzung von Google Analytics ist nur mit der Code-Erweiterung „anonymizeIp“ möglich. Der von Google vorgegebene Tracking-Code erfüllt nicht die Anforderungen zum Datenschutz, deshalb muss der jeweilige Google Analytics Tracking-Code händisch angepasst werden. Durch Nutzung der Code-Erweiterung werden die letzten 8 Bit der IP-Adressen gelöscht und somit anonymisiert. Dadurch ist zwar weiterhin eine grobe Lokalisierung möglich, dies ist jedoch von den deutschen Datenschutzbehörden anerkannt und akzeptiert.

Widerspruchsrecht

Es ist notwendig, dass den Betroffenen die Möglichkeit eines Widerspruchs gegen die Erstellung von Nutzungsprofilen eingeräumt wird. Google hat dafür ein Deaktivierungs-Add-on entwickelt, das aber nicht auf allen Endgeräten installierbar ist. Deshalb muss das Script erweitert werden, damit ein Opt-Out-Cookie gesetzt wird. Dieses Cookie verhindert die zukünftige Datenerfassung. Da bei Universal Analytics das Tracking geräteübergreifend erfolgt, ist es mit einem einfachen Opt-Out regelmäßig nicht getan. Der Nutzer muss seinen Widerspruch auf allen genutzten Systemen erklären, damit keine geräteübergreifende Zuordnung seiner Nutzung zu der angelegten User-ID erfolgt.

Finaler Code inkl. IP-Anonymisierung und Opt-Out-Cookie

<script> 
    var gaProperty = 'UA-XXXXXXXX-X'; 
    var disableStr = 'ga-disable-' + gaProperty; 
    if (document.cookie.indexOf(disableStr + '=true') > -1) { 
        window[disableStr] = true;
    } 
    function gaOptout() { 
        document.cookie = disableStr + '=true; expires=Thu, 31 Dec 2099 23:59:59 UTC; path=/'; 
        window[disableStr] = true; 
        alert('Das Tracking ist jetzt deaktiviert'); 
    } 
    (function(i,s,o,g,r,a,m){i['GoogleAnalyticsObject']=r;i[r]=i[r]||function(){ 
            (i[r].q=i[r].q||[]).push(arguments)},i[r].l=1*new Date();a=s.createElement(o), 
        m=s.getElementsByTagName(o)[0];a.async=1;a.src=g;m.parentNode.insertBefore(a,m) 
    })(window,document,'script','https://www.google-analytics.com/analytics.js','ga'); 

    ga('create', 'UA-XXXXXXXX-X', 'auto'); 
    ga('set', 'anonymizeIp', true); 
    ga('send', 'pageview'); 
</script>

Bitte nicht vergessen, die rot-markierte Tracking-ID zu ändern. Sollten Sie noch das veraltete „Klassische Analytics“ verwenden, finden Sie Informationen zur IP-Anonymisierung hier.

3. Aufbewahrungsdauer der Daten festlegen

Google bietet ab dem 25. Mai 2018 zusätzliche Optionen zur Aufbewahrung der erhobenen Daten an (Google Analytics-Steuerelemente zur Datenaufbewahrung). Die Aufbewahrungsdauer gilt nur für Daten auf Nutzer- und Ereignisebene, die mit Cookies, User IDs und Werbe-IDs verknüpft sind. Aggregierte Daten sind nicht betroffen.

Die Voreinstellung sieht vor, dass die Nutzer- und Ereignisdaten standardmäßig 26 Monate gespeichert werden. Auch ist der Button „Bei neuer Aktivität zurücksetzen“ standardmäßig aktiviert. Mit Blick auf Art. 25 DSGVO (Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen) sollten Sie den Button deaktivieren und die Aufbewahrungsdauer auf 14 Monate begrenzen.

Die Änderungen der Aufbewahrungsdauer nehmen Sie wie folgt vor:

  1. Wählen Sie „Verwaltung“ aus und klicken Sie auf die Property, die Sie bearbeiten möchten
  2. Klicken Sie in der Spalte „Property“ auf „Tracking-Informationen > Datenaufbewahrung“

Sollten Sie eine andere Einstellung wählen, müssen Sie die hier zur Verfügung gestellte Datenschutzerklärung entsprechend anpassen.

4. Datenschutzerklärung anpassen

Vorgaben nach DSGVO

Die Nutzung von Google Analytics ist in der Datenschutzerklärung zwingend anzugeben. Bisher gab Google hierzu in den Google Analytics Bedingungen eine Formulierung für die Datenschutzerklärung vor. Inzwischen stellt Google diesen Textbaustein nicht mehr zur Verfügung. Geht man davon aus, dass die bisherigen Datenschutzhinweise von Google die Datenverarbeitungen bei Google Analytics zutreffend beschreiben und dass diese auch nicht wesentlich geändert wurden (uns ist hier nichts bekannt), kann man die bisherige Textvorlage von Google Analytics weiterhin mit den von uns vorgeschlagenen Ergänzungen verwenden:

  • Umfang der Datenerhebung, Art. 12 und 13 DSGVO
  • Rechtsgrundlage, Art. 13 DSGVO
  • Speicherdauer bzw. Kriterien für Festlegung der Dauer, Art. 13 Abs.2 lit.a DSGVO
  • Widerrufsrecht, Art. 7 Abs.3 DSGVO
  • Hinweis zum Deaktivierungs-Add-on und Opt-Out-Cookie
  • Hinweis zu anonymizeIp

Finale Datenschutzerklärung inkl. DSGVO-Hinweise

Sie dürfen diese Formulierung mit Verlinkung auf uns gerne verwenden.

<p>Soweit Sie Ihre Einwilligung erklärt haben, wird auf dieser Website Google Analytics eingesetzt, ein Webanalysedienst der Google Inc. (&bdquo;Google&ldquo;). Die Nutzung umfasst die Betriebsart &bdquo;Universal Analytics&ldquo;. Hierdurch ist es möglich, Daten, Sitzungen und Interaktionen über mehrere Geräte hinweg einer pseudonymen User-ID zuzuordnen und so die Aktivitäten eines Nutzers geräteübergreifend zu analysieren. Dieser Datenschutzhinweis wird zur Verfügung gestellt von <a href="https://www.intersoft-consulting.de" target="_blank">www.intersoft-consulting.de</a>.</p> 

<p>Google Analytics verwendet sog. &bdquo;Cookies&ldquo;, Textdateien, die auf Ihrem Computer gespeichert werden und die eine Analyse der Benutzung der Website durch Sie ermöglichen. Die durch das Cookie erzeugten Informationen über Ihre Benutzung dieser Website werden in der Regel an einen Server von Google in den USA übertragen und dort gespeichert. Im Falle der Aktivierung der IP-Anonymisierung auf dieser Website, wird Ihre IP-Adresse von Google jedoch innerhalb von Mitgliedstaaten der Europäischen Union oder in anderen Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum zuvor gekürzt. Nur in Ausnahmefällen wird die volle IP-Adresse an einen Server von Google in den USA übertragen und dort gekürzt. Wir weisen Sie darauf hin, dass auf dieser Webseite Google Analytics um eine IP-Anonymisierung erweitert wurde, um eine anonymisierte Erfassung von IP-Adressen (sog. IP-Masking) zu gewährleisten. Die im Rahmen von Google Analytics von Ihrem Browser übermittelte IP-Adresse wird nicht mit anderen Daten von Google zusammengeführt. Nähere Informationen zu Nutzungsbedingungen und Datenschutz finden Sie unter <a href="https://www.google.com/analytics/terms/de.html" target="_blank">https://www.google.com/analytics/terms/de.html</a> bzw. unter <a href="https://policies.google.com/?hl=de" target="_blank">https://policies.google.com/?hl=de</a>.</p> 

<p><strong>Zwecke der Verarbeitung</strong><br> 
Im Auftrag des Betreibers dieser Website wird Google diese Informationen benutzen, um Ihre Nutzung der Website auszuwerten, um Reports über die Websiteaktivitäten zusammenzustellen und um weitere mit der Websitenutzung und der Internetnutzung verbundene Dienstleistungen gegenüber dem Websitebetreiber zu erbringen.</p> 
<p><strong>Rechtsgrundlage</strong><br> 
Die Rechtsgrundlage für den Einsatz von Google Analytics ist Ihre Einwilligung gemäß <a href="https://dsgvo-gesetz.de/art-6-dsgvo/" target="_blank">Art. 6 Abs. 1 S.1 lit. a DSGVO</a>.</p> 
<p><strong>Empfänger / Kategorien von Empfängern</strong><br> 
Der Empfänger der erhobenen Daten ist Google.</p> 
<p><strong>Übermittlung in Drittstaaten</strong><br> 
Die personenbezogenen Daten werden unter dem EU-US Privacy Shield auf Grundlage des Angemessenheitsbeschlusses der Europäischen Kommission in die USA übermittelt. Das Zertifikat können Sie <a href="https://www.privacyshield.gov/participant?id=a2zt000000001L5AAI" target="_blank">hier</a> abrufen.</p> 
<p><strong>Dauer der Datenspeicherung</strong><br> 
Die von uns gesendeten und mit Cookies, Nutzerkennungen (z. B. User-ID) oder Werbe-IDs verknüpften Daten werden nach 14 Monaten automatisch gelöscht. Die Löschung von Daten, deren Aufbewahrungsdauer erreicht ist, erfolgt automatisch einmal im Monat.</p> 
<p><strong>Betroffenenrechte</strong><br> 
Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen, indem Sie die Speicherung der Cookies durch eine entsprechende Einstellung Ihrer Browser-Software verhindern; wir weisen Sie jedoch darauf hin, dass Sie in diesem Fall gegebenenfalls nicht sämtliche Funktionen dieser Website vollumfänglich werden nutzen können.</p> 

<p>Sie können darüber hinaus die Erfassung der durch das Cookie erzeugten und auf Ihre Nutzung der Website bezogenen Daten (inkl. Ihrer IP-Adresse) an Google sowie die Verarbeitung dieser Daten durch Google verhindern, indem Sie das <a href="https://tools.google.com/dlpage/gaoptout?hl=de" target="_blank">Browser-Add-on</a> herunterladen und installieren. Opt-Out-Cookies verhindern die zukünftige Erfassung Ihrer Daten beim Besuch dieser Website. Um die Erfassung durch Universal Analytics über verschiedene Geräte hinweg zu verhindern, müssen Sie das Opt-Out auf allen genutzten Systemen durchführen. Wenn Sie hier klicken, wird das Opt-Out-Cookie gesetzt: <a href="javascript:gaOptout()"><strong>Google Analytics deaktivieren</strong></a></p>

Soweit noch das veraltete „Klassische Analytics“ genutzt wird, sind alle entsprechenden Hinweise auf Universal Analytics aus der Erklärung zu entfernen.

5. Einwilligung einholen

Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) hat am 26. April 2018 ein Positionspapier veröffentlicht, wonach ab dem 25.05.2018 rechtskonformes Webtracking nur mit einer vorherigen informierten Einwilligung des Nutzers möglich sein soll. Verzichtet man auf die Einholung der Einwilligung, riskiert man ein Bußgeld durch eine Aufsichtsbehörde oder eine Abmahnung.

Einwilligung bei Seitenaufruf

Wichtig ist, dass das Tracking erst aktiviert wird, nachdem der Nutzer eingewilligt hat und nicht vorher. Bei Aufruf der Website könnte eine entsprechende Einwilligung durch einen „Cookie-Banner“ eingeholt werden, der sich jedoch auf die Nutzung von Google Analytics bezieht. Ein Beispiel hierfür wäre:

Mittlerweile gibt es viele Anbieter, die Cookie-Banner-Implementationen anbieten. Weiterführende Hinweise und eine Auflistung der Anbieter zu Cookie-Bannern finden Sie hier.

Risiko eingehen und weiter auf Opt-Out setzen

Es gibt ungewohnt viele kritische Stimmen von Datenschutzexperten, die die Auslegung des DSK für unausgegoren halten. Ob das vom DSK aufgestellte Einwilligungserfordernis vor Gericht Bestand haben wird, ist unklar. Wird auf die Einholung einer Einwilligung verzichtet, ist der Einsatz von Google Analytics auf die Rechtsgrundlage des Art. 6 Abs.1 S.1 lit. f DSGVO zu stützen. Hier ist dann weiter auf die Opt-Out-Lösung zu setzen.

6. Löschung von Altdaten

Wurden durch Google Analytics Nutzerprofile ohne IP-Anonymisierung erstellt, sind diese Daten rechtswidrig erhoben worden und somit zu löschen. Google bietet in den Analytics-Einstellungen mittlerweile die Möglichkeit, sog. „Properties“ und „Datenansichten“ in den Papierkorb zu verschieben, wodurch sie nach 35 Tagen gelöscht werden.

Fazit

Das Beispiel Google Analytics zeigt, dass ein datenschutzkonformer Einsatz von Analyse-Tools möglich ist. Es kann jedoch nicht ausgeschlossen werden, dass Gesetzesänderungen zukünftig weitere Anpassungen erforderlich machen. Hierzu halten wir Sie auf dem Laufenden.

Stand: 18.05.2018

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Webanalyse und Datenschutz

105 Kommentare zu diesem Beitrag

  1. Glücklicherweise ist das Thema nun anscheinend ausgestanden. Google Analytics kann wohl nun final eingesetzt werden, solange man die aufgestellten (überzogenen?) Richtlinien einhält. Letztlich bleibt abzuwarten, ob nicht wieder erneut ein Aufschrie durch die sogenannten Datenschützer geht, sobald Google neue Features in Analytics implementiert, die dem Websitebetreiber dienen sollen, aber ggf. mehr Daten zur Auswertung erheben…

  2. Wie sieht es aus mit anderen Analyse Tools (Google analytics ist nicht das einzige). WIe sieht es aus mit Freeware?. Wie sieht es aus mit eigenem Code und eigene Erhebungen? Wie sieht es aus mit Hoster bzw. Dienstleister im Bereich Hosting?

  3. Hallo,

    sind meine Daten beim Besuch der Webseite nicht bereits bei Google Analytics vorhanden? Wenn ich das richtig verstanden habe, hat ein user die Möglichkeit (zumindest im Falle, dass er einen der unterstützten Browser nutzt) die Möglichkeit, seine Daten KÜNFTIG nicht mehr weiterzugeben. Aber was ist mit den alten Daten? Insbesondere die Daten, die durch den Aufruf des Datenschutzhinweises aufgezeichnet werden?

    Grüße R.W.

    • Hallo R.W.,
      leider ist uns nicht möglich auf diese Frage zu antworten, da die Datenschutzerklärung von Google uns darüber keine Informationen gibt. Grundsätzlich müssen die Altdaten gelöscht werden, ob dies aber auch gemacht wird, kann uns nur der Konzern sagen.

  4. Sehr geehrter Dr. Datenschutz,
    ich habe bereits einen Google Analytics Account und möchte diesen jetzt auf einen datenschutzkonformen Account umstellen. Ihren Artikel und Ihre Zusatzinformationen finde ich klasse. Vielen Dank! 
    Was ist der beste Weg um den alten Account zu löschen? Einen komplett neuen Account mit neuer Emailadresse bei Google anlegen und den alten löschen? Oder gibt es eine Möglichkeit, die Altdaten innerhalb des bestehenden Accounts zu löschen?
    Danke und herzliche Grüße
    Ms. H.

  5. Hallo Herr Dr. Datenschutz,
    ich habe mir den Vertrag von Google angesehen. Dort wird auch auf Pflichten des Vertragspartners, also Webseitenbetreibers, hingewiesen. z.B. Absatz

    „3. Ihre Rechte und Pflichten und Umfang der Weisungsbefugnisse3.1 Sie sind für die Bewertung der Zulässigkeit der Erhebung, Verarbeitung und Nutzung personenbezogener Kundendaten sowie für den Schutz der Rechte der betroffenen Person verantwortlich.“

    Daher kam mir die Frage, ob ich mich durch Abschluss des Vertrages evtl. schlechter stelle als vorher und eher in die Haftung genommen werden kann als ohne Vertrag. Können Sie dazu etwas sagen?

    Danke schon mal
    Ms. H.

    • Beim Einsatz von Google Analytics werden von den Besuchern Ihrer Webseite personenbezogene Daten erhoben und an Google weitergeleitet. Sie sind die verantwortliche Stelle für diese Daten. Eine Weiterleitung der personenbezogenen Daten an Google ist nur mit einer Einwilligung des Betroffenen oder aufgrund einer Erlaubnisnorm gestattet (weitere Infos).

      Mit Abschluss des Vertrages zur Auftragsdatenverarbeitung ist die Weiterleitung der Daten an Google nach § 11 BDSG erlaubt. Zwar bleiben Sie bei der Auftragsdatenverarbeitung nach der Übermittlung der Daten für diese verantwortlich und haften somit auch für mögliche Verstöße von Google, aber nur so ist die Weiterleitung der Daten an Google datenschutzkonform.

  6. Hallo,
     
    ich habe da mal eine Frage zum datenschutzkonformen Einsatz von Google Analytics.  
    Was ist, wenn der Vertrag mit Google für das Google Analytics Konto schon besteht und man nachträglich ein weiteres Profil einrichtet für eine Website? Im Impressum steht nicht der gleiche Seiteninhaber wie bei dem ersten Profil.
    Muss man erneut einen Vertrag aufsetzen oder gilt der bestehende auch für das neue Profil?
     
    Gruß
    Thorsten

  7. Was nutzt mir ein Hinweis auf Google Analytics im Impressum?
    So ein Hinweis sollte und muss auf eine Startseite und mit einem Klick bestätigt werden – und nicht erst nachdem ich mich schon auf der Seite durchgeklickt habe.

    • Ein Hinweis auf der Hauptseite einer Homepage wäre sicherlich nicht verkehrt. Ist vorliegend allerdings nicht erforderlich.

      Das hat zum einen damit zu tun, dass bei einer, wie im Blog-Artikel beschriebenen, rechtssicheren Nutzung eine Verkürzung der IP-Adresse zwingend erforderlich ist und der Betroffene der Nutzung von Google Analytics widersprechen kann.

      Zum anderen ist vom Gesetz lediglich vorgeschrieben, dass wichtige Informationspflichten – und hierzu gehört auch der Hinweis auf die Verwendung von Google Analytics und Datenschutz – für den Leser leicht verständlich und schnell auffindbar zu erfüllen sind. Für die Datenschutzerklärung wird dies explizit in § 13 Abs. 1 TMG geregelt.

      Die Erfüllung dieser allgemeinen Informationspflichten hat aus Gründen der leichten Auffindbarkeit im Bereich Impressum zu erfolgen. Das hat vor allem damit zu tun, dass die Rechtsprechung bereits vor einigen Jahren entschieden hat, dass das Impressum von jeder Seite aus mit maximal einem Klick (1-Klick-Rechtsprechung) erreichbar zu sein hat und der Leser aufgrund der heute gelebten Praxis hier damit rechnet, dass wichtige Informationen auch zum Datenschutz vorgehalten werden.

  8. Hallo, leider wurde ich auf etwas neues aufmerksam gemacht: siehe hier

    D.h. man muss den User nun bevor er auf die Seite kommt fragen ob er damit einverstanden ist, das Google Analytics genutzt wird?

    • Der Beschluss vom 11./12.09.2013 des Düsseldorfer Kreises, auf den Sie verweisen, ist bei Google Analytics nicht relevant, da der Vertrag zur Auftragsdatenverarbeitung mit Google Ireland Ltd geschlossen wird und nicht mit Google Inc. Da Irland zur EU gehört, wird ein angemessenes Datenschutzniveau angenommen.

      Die zweistufige Prüfung ist keine Neuigkeit, sondern geltendes Recht für Datentransfers in sog. unsichere Drittstaaten vgl. §§ 4b, 4c BDSG.

  9. Also erstmal vielen Dank für die ausführliche Anleitung. Wir haben eine neue Webseite in WordPress gestaltet. Wir verwenden das Plugin „Google Analytics for WordPress“

    Nun bereitet uns der Teil mit dem „Opt-Out-Cookies“ Kopfzerbrechen. Wo müssen wir diesen Code einfügen? Den Teil mit dem anonymisieren der IP übernimmt ja unser Plugin :-)

    Bin für jede Hilfe Dankbar.

    LG
    Petra

    • Das Opt-Out-Cookie-Script muss immer vor dem eigentlichen Google Analytics-Script im Quelltext eingefügt werden. Wir kennen kein Plugin, das diese Aufgabe übernimmt und es deshalb per Hand eingefügt. (z.B. in die header.php)

  10. Guten Tag,
    ich habe zweierlei Anmerkungen zum obigen Text. Vorweg aber erstmal Danke für die hilfreiche Aufstellung, die mir schon geholfen hat. Meine erste Anmerkung ist eine Frage zum Vertrag mit Google. MUSS ich den Vertrag haben und muss dieser auf meiner Seite irgendwo erwähnt/ verlinkt werden?

    Die zweite Anmerkung ist ein Tipp meinerseits zur Verbesserung. Ich habe auf meiner Seite neben dem Cookie eine eigene Zusatzfunktion mit eingebaut. Viele der modernen Browser unterstützen die sogenannte „DoNotTrack“ Funktion – zB der Firefox. Aktiviert man diese Einstellung, werden werbetreibende Trackingdienste gebeten, keine Daten zu erheben. Ich nutze diese Einstellung auf meiner Seite um zu entscheiden, ob ich den Google-Code ausführe oder nicht. Das sieht dann so aus:

    if(window.navigator.doNotTrack != ‚yes‘)
    { /* Google Code */ }

    Viele Grüße
    Ruben

  11. moin,

    ich hab folgendes Problem, würd google analytics gern verwenden, arbeite mit dem cylex-baukasten, hinweis/ link zum browser-plugin hab ich im Datenschutz drin…aber ich weiß nicht was ich mit dem Opt-Out-Cookie anfangen soll, da mir das script ja nicht zum bearbeiten zur Verfügung steht…bisher keine Nachricht von cylex, (..) die ich angeschrieben habe…möchte meine site am ersten juli online stellen…
    was würden sie mir empfehlen? erstmal google-analytics komplett dann rauszunehmen?

    mit freundlichen Grüßen Christiane

    • Soweit es bei der Implementierung des datenschutzkonformen Einsatzes von Google Analytics noch zu technischen Problemen kommt, raten wir eher dazu, auf den Einsatz von Google Analytics zu verzichten. Als Alternative könnten Sie hier auch auf Piwik oder eTracker zurückgreifen. Möglicherweise lässt sich dies in Ihrem Fall besser einbinden.

  12. Hi,
    wenn ich als spanische Firma mit Sitz in Spanien eine dreisprachige Webseite (en, es,de) betreibe, muss ich dann diesen ganzen Kuckuck für die deutsche Sprachversion befolgen oder sollte ich lieber auf eine deutsche Version verzichten, um Abmahnungen zu vermeiden?
    Was ist, wenn ich als spanische Firma einen Webhoster in Deutschland betreibe, muss ich dann das alles ink. Vertrag mit Google, usw. auch befolgen?
    Wäre nett, das zu wissen, sonst nehm ich den deutschen Auftritt komplett raus.

    • Das Bundesdatenschutzgesetz ist grundsätzlich nicht anwendbar, wenn eine Firma außerhalb Deutschlands aber innerhalb der EU personenbezogene Daten erhebt, verarbeitet oder nutzt. Eine Ausnahme besteht lediglich wenn die Erhebung, Verarbeitung oder Nutzung der Daten durch eine Niederlassung in Deutschland erfolgt. Ob von einer Niederlassung bereits dann gesprochen werden kann, wenn für das Webhosting ein Provider in Deutschland genutzt wird, ist gesetzlich nicht geregelt. Es spricht jedoch einiges dafür, nicht den Webhoster sondern weiterhin die betreffende Firma als verantwortliche Stelle anzusehen. In diesem Fall wäre das Bundesdatenschutzgesetz nicht anwendbar. Etwas anderes dürfte sich auch nicht aus den Anforderungen des Telemediengesetzes ergeben, da dessen Anwendungsbereich sich primär nach dem Herkunftsland- bzw. Sitzlandprinzip richtet.

  13. Hallo!
    Meine Frage ist, was es für Ausnahmen sein können, bei denen die IP-Adresse erst an einen amerikanischen Google-Server geschickt wird und dann erst gekürzt wird. Ich möchte den Interessierten Leser unserer Datenschutzerklärung nicht mit dem Wort „Ausnahmen“ verunsichern, ohne klarzustellen, wie diese aussehen könnten.
    Ist das festgelegt, wann das passiert?
    Vielen Dank!

    • Im Vertrag zur Auftragsdatenverarbeitung verpflichtet sich Google zu folgendem:
      “Die von Ihnen aktivierte IP-Maskierung erfolgt stets und erfolgt in der Regel auf Servern innerhalb von Mitgliedstaaten der Europäischen Union oder in anderen Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum.”
      In der Regel bedeutet das, dass es auch Ausnahmefälle gibt.

  14. Guten Tag,

    bitte teilen Sie mir mit, wie es sich mit dem GTM verhält. Ich habe über ein Plugin die Container-ID eingefügt.

    Wie kann ich hier vorgehen, damit ich dem deutschen Datenschutz gerecht werde?

    Hier wird in der erweiterten Einstellung unter Punkt „Grundkonfiguration“ die „IP-Anonymisierung“ angeboten. Es kann dort ausgewählt werden unter „Wahr“ / „Falsch“

    Was muss ich auswählen und genügt dies?

    Herzlichen Dank

  15. Was hier glaube ich viele nicht auf dem Plan haben und auch mir erst kürzlich klar wurde: Egal ob man die Option zur Anonymisierung setzt oder nicht, es wird ein js File von einem Google Server geladen:

    ga.src = (‚https:‘ == document.location.protocol ? ‚https://ssl‘ : ‚http://www‘) + ‚.google-analytics.com/ga.js‘;

    Dabei erhält Google zwangsläufig die Client IP und was dieser Server loggt liegt ausserhalb des Wirkungsbereichs und ist wahrscheinlich „Firmengeheimnis“.
    Die „anonymisierten Daten“ im Nachhinein anhand der eigenen Serverlogs und Timestamps wieder zu vollen Daten zu machen dürfte ein Kinderspiel sein. Ganz abgesehen von der Tatsache das man Google glauben müsste das die in der EU erfassten Daten wirklich zu keinem Zeitpunkt nach USA übertragen werden.

      • Haben Sie von Herrn [Name gelöscht], dem beim HmbBfDI für Google Analytics zuständigen Mitarbeiter, schon eine Rückantwort erhalten?
        Beste Grüße
        Mighty

        • Von der Hamburger Aufsichtsbehörde haben wir folgende Antwort bekommen:

          1. Die Einbindung des Skripts muss nicht von einem Google-Server, sondern kann technisch auch über den eigenen Server erfolgen.
          2. Typischerweise werden Skripte vom Browser gecacht und daher nicht bei jedem Aufruf einer Seite, in die G.A. eingebunden ist, neu geladen, sondern nur beim ersten Mal oder nach Ablauf des Cache-Zeitraums.
          3. Die Kürzung der IP-Adressen in Europa wurde durch Google nachvollziehbar dokumentiert. Ob dies allerdings vor dem Hintergrund des Wegfalls der Safe-Harbor-Entscheidung noch ausreicht, prüfen wir zurzeit noch.

          • Ich bin wirklich fassungslos ob des technischen Unverstandes.

            Natürlich müssen IP Adressen permanent kommuniziert werden, damit die Daten ankommen wo sie ankommen sollen. Wenn ein Skript (z.B. ga.js) von Google angefordert wird, wird eine kontrete Anfrage an den Google Server geschickt, und die Antwort kann nur erfolgen, wenn der Server die IP Adresse der Anfrage kennt. Selbstverständlich auch, wenn das Skript gecacht wird. Die Antwort schickt zwar nicht das Skript zurück, aber die Nachricht, dass das Skript nicht erneut geladen werden muss. Kann man mit diversen Debugging Tools im Browser live mitverfolgen.

            Ausserdem finde ich es gewagt, dass die Hamburger Aufsichtsbehörde vorschlägt, ich solle doch das Skript von Google (deren geistiges Eigentum) auf meinen Server kopieren. Davon abgesehen, dass das nicht ganz so leicht ist, wie es klingt.

            Das alles ist nichts anderes als ein Gentleman Agreement. Google hält sich daran oder auch nicht. Das wissen nur die Mitarbeiter, die bei Google mit diesen Daten arbeiten. Technisch haben sie alle Informationen.

            Gab es einen Fall, in dem Google den Vertrag zurück geschickt hat?

            • Hallo Harald,
              ich habe den Vertrag zur Auftragsdatenverarbeitung nach ca. 2 Monaten unterschrieben zurück bekommen!

  16. Hallo und vielen Dank für die Erläuterung!

    Mich würde interressieren, weshalb der Vertrag zur Auftragsdatenverarbeitung mit Google benötigt wird, wenn durch die verwendete Anonymisierung per se gar keine personenbezogenen Daten an Google übermittelt werden?

    Unter https://support.google.com/analytics/answer/2763052?hl=de wird ausdrücklich darauf hingewiesen, dass die Maskierung der IP unmittelbar durchgeführt wird, bevor eine Speicherung oder Verarbeitung der Daten in Googles Netzwerk stattfindet.

    • Sie haben grundsätzlich recht. Wir würden keinen Vertrag zur Auftragsdatenverarbeitung benötigen, wenn keine personenbezogenen Daten verarbeitet würden. Allerdings ist trotz IP-Maskierung nicht auszuschließen, dass Google einen Personenbezug – wie auch immer – wieder herstellen kann. Dem trägt der Vertrag zur Auftragsdatenverarbeitung durch entsprechende Verpflichtungen Rechnung. Im Übrigen: Solange die Aufsichtsbehörden den Abschluss eines Vertrags zur Auftragsdatenverarbeitung mit Google empfehlen, solange sollten wir die Empfehlung im wohlverstandenen eigenen Interesse auch beherzigen.

  17. Hallo Dr. Datenschutz,

    wir wollen Google Analytics einsetzen und haben auch schon den Vertrag ausgefüllt und an Google geschickt. Das erste mal im März und dann nochmals vor ca. 3 Wochen ( bei der Post kann ja dann doch auch mal etwas verloren gehen). Leider haben wir bis dato noch keine Rückmeldung von google bekommen, bzw. unser Exemplar des Vertrages nicht zurückbekommen. Außer die Postanschrift in Irland haben wir keinerlei Info / finden wir keine Angaben an wen wir uns wenden können um nachzufragen. Was raten Sie uns?

      • Wir haben versucht, Google zu kontaktieren, weder per Telefon noch per Email ist eine Antwort möglich.. Google antwortet auf unsere Email folgendermaßen:
        Liebe Google-Nutzerin, lieber Google-Nutzer,

        vielen Dank, dass Sie sich an die Google Inc. wenden. Bitte beachten Sie, dass aufgrund der Vielzahl von Anfragen, E-Mails, die unter dieser E-Mail-Adresse support-de@google.com eingehen, nicht gelesen und zur Kenntnis genommen werden können.

        Es ist sehr frustrierend da die Zeit anders genutzt werden könnte.
        Viele Grüsse
        Kathi

  18. Ich brächte dringend einen „guten Tipp“

    Als Betreiber einer Plattform, die über aktuelle Veröffentlichungen von DJs und Produzenten berichtet, ist mir aufgefallen, dass durch das Einbinden der iFrames (Beatport / Juno) doch Google Analytics Daten „durchrutschen“.

    Ich selbst setze gar keine Tracking Tools ein, weder GA noch Piwik.

    Problem: „Selbsthosten“ der Sound-Snippets gäbe selbstredend auch wieder sofort mannigfaltige Probleme, also ist der Verweis auf die Online-Stores quasi ein Hilfskonstrukt.

    Soweit, so gut.

    So wie ich die Sache sehe, müsste ich quasi für den Bereich „New Releases“ / „Neuvorstellungen“ einen Hinweis ausgeben, die 100.000 Doller Frage ist wie.

    Hinzu kommt noch das Problem, dass Besucher aus Argentinien oder Canada für all diese Flut an Warnungen kaum Verständnis zeigt, da „wundert“ man sich recht oft über die europäischen Klimmzüge.

    Wie müsste ich denn solch einen Hinweis gestalten (im Datenschutz? /Menüpunkt/), wäre zumindest besser als noch ein weiters Pop-Up, denn dann könnte ich auch selbst GA einsetzen.

    • hört sich für mich nach der üblichen Social Media-Facebook-Button-Problematik an. Die Anbieter in den IFrames setzen eigene Cookies? Übliche Lösung = 2-Klick-Lösung, so dass der Nutzer den Inhalt des IFrames selbst aktivieren muss. (1 Klick = Infofenster über Folgen der Aktivierung popt auf, 2 Klick = Nutzer entscheidet sich aktiv für die Aktivierung des IFrames).
      Es Bleibt die Frage, nach der Anerkennung der deutschen DS-Vorgaben im Ausland.
      Ich würde die Info außerdem in die Datenschutzerklärung aufnehmen.

  19. Hallo Dr. Datenschutz,
    zuerst einmal vielen Dank für diesen Artikel. Leider wird mir nicht ganz klar, was das Ziel des Datenschutzes hier ist. Geht es hier darum, dass die personenbezogenen Daten Google nicht zur Kenntnis gelangen oder um etwas anderes?
    Hintergrund der Frage: Als ehemaliger OM-Agentur Mitarbeiter setzten viele unserer Kunden Datenschutz konform Google Analytics ein. Gleichzeitig wurde jedoch über das eCommerce Tracking die Bestellnummer an das System übergeben. Somit kann für den Webseiten- / Shopbetreiber einen Bezug zum Nutzer hergestellt werden. Darauf wird jedoch leider in keinem Artikel eingegangen. Eventuell könnten Sie ja diesbezüglich den Artikel noch ergänzen. Viele Grüße

    • Hintergrund der datenschutzrechtlichen Problematik ist hier, dass die Datenschutz-Aufsichtsbehörden 2009 einen Beschluss erlassen haben, wonach die Analyse des Nutzungsverhaltens unter Verwendung vollständiger IP-Adressen aufgrund der Personenbeziehbarkeit dieser Daten nur mit bewusster, eindeutiger Einwilligung zulässig ist.
      Natürlich macht ein datenschutzkonformer Einsatz von Google Analytics nur dann Sinn, wenn die Daten nicht auf anderem Wege doch übermittelt bzw. verarbeitet werden oder ein Personenbezug auf andere Weise hergestellt werden kann. Der Anonymisierungscode sollte auch in die eCommerce Shopsoftware eingebunden werden.

      • Hallo,
        vielen Dank für Ihre Antwort, aus der hervorgeht, dass das eCommerce Tracking mit der Übergabe von Transaktionsnummern auf keiner Webseite eingesetzt werden dürfte.

  20. Hallo,

    Ich habe selbst kürzlich eine Website erstellt und war zunächst etwas mit den deutschen Datenschutz auflagen überfordert.

    Mit diesem Artikel konnte ich schnell alle notwendigen Änderungen vornehmen ohne lange zu recherchieren, vielen Dank dafür!

    Mit freundlichen Grüßen

  21. Hallo,
    eine Frage zum ADV-Vertrag mit Google. Wir haben bisher je angelegter Property (wir tracken ca. 175 eigene Domains, jede Property erlaubt nur 25 Datenansichten) einen eigenen ADV-Vertrag abgeschlossen. Ich habe folgende (widersprüchlichen) Informationen hier gefunden:
    1. Je Google-Konto muss (basierend auf der Kontonummer) ein ADV-Vertrag abgeschlossen werden – das würde bedeuten, ein Vertrag genügt.
    2. Der ADV-Vertrag bezieht sich nicht auf „alte“ Properties – wenn also nicht alle Properties eines Kontos unter den Vertrag fallen, würde das bedeuten, ich muss für jede Property (UA-12345678-90) einen eigenen Vertrag mit Google abschließen.
    Weiß das jemand genau?

    • Hallo Henrike, die Frage treibt mich auch um. Am besten wäre es natürlich, wenn ein Vertrag für alle unter einem Google-Analytics-Account laufenden Konten reichen würde. Maximal sind wohl 100 Konten mit jeweils 50 Properties möglich. In dem Vordruck für den ADV ist die Angabe der Kontonummer ja optional („sofern bekannt“). Bist du hierzu weitergekommen?

  22. Hallo und danke für den tollen Artikel. Auch in den Fragen und Antworten sind viele interessante Sachen zu lesen. Jetzt zu meiner Frage zur ADV mit Google:
    Im Analytics Konto unter dem Punkt Verwaltung / Kontoeinstellung findet man ganz unten den Zusatz zur Datenverarbeitung. Diesem habe ich zugestimmt und abgespeichert. Benötige ich zusätzlich trotzdem noch schriftlich die ADV von Google? Für Infos wäre ich sehr dankbar. Merci! und Gruß Holger

      • Wenn ich bei Google Analytics „Zusatz zur Datenverarbeitung“ zugestimmt habe (klick). Wie bekomme ich dann die ADV schriftlich? Wie ist hier die genaue Vorgehensweise?

        • Der in den Google Analytics-Einstellungen hinterlegte Vertrag ist nicht als „schriftlicher Vertrag“ ausgelegt, da er ab dem 25.Mai 2018 online abgeschlossen werden kann. Sie müssen ab dann nichts schriftlich ausdrucken.
          Möchten sie aktuell einen ADV-Vertrag mit Google abschließen, müssen sie den aktuellen ADV-Vertrag ausdrucken und an die im Vertrag angegebene Adresse nach Irland versenden. Den Vertrag können sie unter hier herunterladen. Auf der ersten Seite des ADV-Vertrages sind alle weiteren Vorgehensschritte beschrieben.

  23. Hallo, bald kommt ja die neue DSGVO-Verordnung raus. Am 25. Mai diesen Jahres soll sich einiges ändern. Ich habe mich sehr gefreut, als ich diesen Beitrag gefunden habe. Super :-) Da der Beitrag jetzt doch etwas älter ist, frage ich mich aber ob dieser die Anforderungen zum 25. Mai abdeckt? Oder findet man vielleicht auf Ihrer Webseite etwas aktuelleres? Oder haben Sie einen Tipp, wo ich mich diesbezüglich informieren kann? Wäre super :-)

    Lieben Gruß
    Andy

  24. Nehmen wir an der analytics code wird NICHT als tag ins HTML eingebunden, sondern per Plugin, welches um Recource zu sparen eine eigene analytics.js auf dem eigenen Server hosten?
    google.com/search?q=host-analyticsjs-localk&oq=host-analyticsjs-localk&aqs=chrome..69i57j0.4191j0j7&sourceid=chrome&ie=UTF-8

    Im übrigen müsste es einem User möglich sein einen Post zu korrigieren oder zu löschen!

  25. Hallo, zunächst vielen Dank für die ausführlichen Infos. Ich habe die Datenschutzerklärung nun mehrmals durchgelesen und den Hinweis auf auf die Verwendung von anonymizeIp nicht gefunden. Wo hat er sich versteckt?
    Grüße

    • Der Hinweis auf die Verwendung von anonymizeIp „versteckt“ sich in folgendem Satz der Datenschutzerklärung zu Google Analytics:
      „Im Falle der Aktivierung der IP-Anonymisierung auf dieser Website, wird Ihre IP-Adresse von Google jedoch innerhalb von Mitgliedstaaten der Europäischen Union oder in anderen Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum zuvor gekürzt.“

      Aufgrund der ständigen Änderungen der Tracking-API (ga.js, analytics.js, gtag.js) bezieht sich der Hinweis auf die Anonymisierung nicht mehr auf den Namen des alten Funktionsaufrufs „anonymizeIp“, sondern allgemein auf „den Fall der IP-Anonymisierung“. Ob diese durch _anonymizeIp(), anonymizeIp oder anonymize_ip umgesetzt wird, kann hinsichtlich der Hinweispflichten keine wesentliche Rolle spielen, da alle Funktionsaufrufe demselben Zweck dienen.

  26. Vielen Dank für den tollen Artikel. Wir haben den Code eingebaut, allerdings irritiert mich noch folgendes: nachdem ich den Opt-Out durchgeführt habe, überträgt mein Browser folgende Cookies:

    PHPSESSID=hb0ck56t42uu37unf4n013db02; _ga=GA1.2.766464341.1522434103; _gid=GA1.1.180111348.1122424103; ga-disable-UA-37xxxx-xx=true

    Während das „ga-disabe-UA“ eindeutig das Opt-Out belegt und das PHPSESSID von unserem CMS stammt, wundere ich mich dass TROTZDEM noch die beiden Cookies _gid und _ga Cookies weiter bestehen und übertragen werden. – Ist das wirklich konform so ?

      • Die von Ihnen angebotene Lösung bezieht sich anscheinend nur auf den „alten“ GA-Tracking-Code, der mit ga.js arbeitet, nicht für die Variante mit analytics.js. Wenn ich Ihre Variante implementiere, werde ich weiterhin sichtbar als Nutzer in der GA-Echtzeit-Ansicht angezeigt. Gibt es eine Lösung für die analytics.js?

  27. Ich habe hier einen Analytics Account (Login über eine Email-Adresse) mit ca. 20 Webseiten die alle über den gleichen Betreiber laufen! Reicht diese Auftragsdatenverarbeitung dann einmalig zu unterzeichnen oder müsste das für jede Webseite gemacht werden?

  28. Und ist eigentlich die SSL Verschlüsselung auch für einfache Onepager Pflicht? Sprich ohne Kontaktformular und Pipapo. Nur einfaches Impressum wo man prinzipiell zur Kontaktaufnahme die angegebene Email-Adresse kopieren und somit diese zum Anschreiben nutzen kann und ein Startseitentext mit Verlinkung zu Amazone. Dafür braucht man doch kein https oder?

    • Wenn ich Sie richtig verstanden habe, nutzen Sie kein Kontaktformular, sondern haben nur ein Impressum auf Ihrer Website. Meines Erachtens benötigt man in diesen Fall keine SSL-Verschlüsselung. Ich möchte aber noch kurz auf die Verlinkung zu Amazon eingehen. Falls die Amazon-Verlinkung durch Sie gewerbsmäßig genutzt wird, müssten Sie eine E-Mail-Verschlüsselung zu Verfügung stellen. Aufgrund der gewerblichen Nutzung, wäre dann § 13 Abs. 7 TMG einschlägig.

  29. Hallo, danke für die Anleitung!
    Ich habe mit Google Chrome geschaut, ob der „ga-disable-“ Cookie gesetzt wird. Das funktioniert, nur aber lediglich für die Seite mit „www“. In der Liste taucht die Seite ja einmal mit „www.“ und einmal ohne auf und der Cookie ist nur bei der Seite mit www zu finden. Ist das korrekt oder kann man das für beide einstellen?

    meineseite.de
    http://www.meineseite.de
    ga-disable-UA-xxx…

  30. Hallo
    Wahrscheinlich eine blöde Frage, aber brauche ich eine Datenschutzerklärung, wenn ich Google Analytics für meine Webseite deaktiviere bzw. gar nicht aktiviere?

  31. Hallo, erstmal vielen Dank für diesen tollen Beitrag! Er war schon sehr hilfreich und hat mir vieles erleichtert. Ich habe allerdings noch zwei Fragen, von denen ich mich sehr freuen würde, wenn ihr mir diese noch beantworten könntet.

    1. Ich habe die ersten Schritte alle durchgearbeitet, sprich den Code geändert und die Datenschutzerklärung auf meiner Seite angepasst. Bzgl dem Vertrag, wollte ich jetzt einfach bis Mai warten, um ihn dann online abschließen zu können. Das ist korrekt bzw. in Ordnung, richtig?

    2. Ich habe ein paar Probleme mit »4. Löschung der Altdaten«. Ich habe die Daten gelöscht, doch nun frage ich mich, wann die neuen Daten sichtbar werden bzw. getrackt werden. Wann oder wie geht es von vorne los?
    Nach Löschung der Altdaten kann ich keine neuen Daten sichten. Dort steht, mir fehle die Berechtigung… Wenn ich die Daten aus dem Papierkorb wieder herstelle, habe ich wieder die Berechtigung und sehe auch aktuelle Daten.. Versteht ihr das Problem und könnt mir ggf. weiterhelfen? Das wäre super!

    Viele Grüße
    Lena

    • Zu ihrer 1. Frage: Soweit sie – Stand heute – keinen schriftlichen ADV-Vertrag mit Google haben, ist der Einsatz von Google Analytics vor dem 25. Mai 2018 nicht rechtskonform.
      Sie sollten daher, wenn ein schriftlicher ADV-Vertrag mit Google nicht vorliegt, Google Analytics nicht vor dem 25. Mai 2018 auf ihrer Webseite einsetzen.
      Ab dem 25.Mai 2018 genügt es dann, die Angaben wie im Artikel beschrieben online auszufüllen und abzusenden.

      Zu ihrer 2. Frage: Eine Ferndiagnose und Beantwortung einer so spezifischen Frage ist von hier leider nur schwer möglich. Eventuell besteht das Problem darin, dass sie vor einem neuen Tracking zuerst ein neues Property anlegen müssen, da das Tracking Property-gebunden funktioniert. Im Zweifel sollten sie sich hier an einen geschulten Admin wenden.

      • Vielen Dank für die Antwort.
        Ich verstehe. Ich habe jetzt sicherheitshalber das Analytics-Konto gelöscht und auch den Code entfernt. Ich fange dann im Sommer einfach nochmal von vorne an und mache direkt alles richtig. :)
        Viele Grüße

    • Hallo Julius,

      wir haben uns daran orientiert: metrika.de/blog/web-analytics/google-analytics-anonymizeip/

      Siehe Absatz „anonymizeIP im Universal Analytics Code mit Google Tag Manager und Settings-Variable“
      In den Kommentaren findest du noch eine Anmerkung von Maik Bruns (09.01.) wie man das ganze überprüfen kann.

      Ich hoffe, das hilft etwas weiter.
      VG

  32. Hallo,
    auch von mir eine Frage zum AV-Vertrag mit Google. Eine ähnliche Frage hat bereits Henrike am 15.01.18 gestellt.
    Wir verwalten für eine Vielzahl von unseren Kunden die Google Analytics Accounts. D.h. wir haben zur Zeit 65 Konten und teilweise mehrere Properties pro Konto.

    Nun sind wir natürlich nicht die Webseitenbetreiber und ich frage mich, ob ich ob wir rechtlich gesehen, die digitalen AV-Verträge mit Google dafür überhaupt schließen dürfen.

    Wenn das möglich ist, muss ich dann bei den Details zum Zusatz der Datenverarbeitung den Webseitenbetreiber bei „Legal entities“ eintragen und bei den Kontakten dann den Datenschutzbeauftragten des Webseitenbetreibers + noch einen Kontakt von uns als Dienstleister/ Datenverarbeiter?

    Vielen Dank vorab für ein Feedback.

  33. Mich irritiert beim Zusatz zur Datenverarbeitung die Passage „unter der Voraussetzung (…) dass Sie einen Direktkundenvertrag mit Google zur Verwendung von Google Analytics abgeschlossen haben“. Um welchen Vertrag handelt es sich hierbei? Ist zusätzlich zur Zustimmung zum Zusatz zur Datenverarbeitung noch ein Vertrag nötig?

  34. Hallo,
    vielen Dank für den Artikel. Mir ist irgendwie nicht klar, ob Google Webmaster Tools (Search Console) und Google Analytics das selbe sind. Was muss man tun um die Search Console datenschutzkonform einsetzen zu können?

    • Hallo Dr. W.
      die Google Webmaster Tools bzw. Search Console ist nicht dasselbe wie Google Analytics.
      Im Bezug auf die Search Console spielt die DSGVO für Sie keine Rolle, da die dort erfassten Daten nicht auf Ihrer Website, sondern bei Google (in der Google Suche) erhoben werden.
      VG

  35. Hallo,
    muss der Benutzer, der auf eine meiner Seiten kommt, dem Tracking von Google Analytics aktiv zustimmen und nicht wie vorgeschlagen das Tracking aktiv deaktivieren? Da man ja bereits vor der aktiven Zustimmung des Benutzers Daten über diesen erhebt.

  36. vielen Dank für die ausführlichen Erklärungen1
    Eins ist mir aber noch nicht klar: wenn ich wie unter Pkt 5 beschrieben die Property lösche – dann verliere ich doch die Einstellungen für die betroffene Website – inkl Tracking-code u.ä. – dann muss ich das alles doch neu anlegen – oder wo ist mein Fehler?

  37. Vielen Dank für diesen Artikel!

    Wie hier in einem älteren Kommentar verwende ich auch das Plugin Google Analytics für WordPress. Dort gibt es (erst jetzt?) die Option bzw den Schalter „enable support for user opt-out“, (Einstellungen des Plugin, tracking-code/erweiterte Einstellungen) Im Bereich Tracking-code gibt es diese Option immer ganz unten unter „erweitertes tracking“, in den o.g. erweiterten Einstellungen auch weiter oben (kurioser Weise die gleiche Überschrift „Erweitertes Tracking“ oben und unten in diesem Reiter. Erfüllt das die Funktion ihres o.g. Scriptes? Ansonsten habe ich auch das Problem, dass ich nicht weiß, wo ich das Script unter Pkt 2 bei mir einbauen soll – den Tracking Code baut ja das plugin ein….

    Verstehe ich das ansonsten korrekt, das ich die property löschen muss um die Alt-Daten zu löschen? Ich muss dann eine neue property anlegen und den dafür neu erhaltenen Tracking-code einbinden bzw im Plugin eintragen?

    • Wir können leider nichts zu einzelnen Plugins sagen. Sie sollten in jedem Fall das Script im Quellcode kontrollieren und prüfen, ob das Opt-Out-Cookie tatsächlich gesetzt wird. Firefox kann beispielsweise einzelne Cookies anzeigen.

      Alt-Daten löschen: Ja, neue Property anlegen und die alte dann löschen. Die neue ID muss dann auch ins Plugin eingetragen werden.

  38. Danke für diesen Artikel, sie sollten jedoch noch erwähnen das beim anlegen einer neuen Property, die Einstellungen für diese Property erneut vorgenommen werden müssen. ( Aufbewahrung von Nutzer- und Ereignisdaten)

  39. Hallo, sehr interessant, danke. Allerdings halte ich es für sinnlos, das Nutzertracking per Link in der Datenschutzerklärung mit einem Cookie zu unterbinden oder unterbinden zu lassen. Bei mir ist das Cookie dann beim schliessen des Browsers wieder weg, und ich gehe doch beim Besuch einer Seite nicht jedes mal in die Datenschutzerklärung, um das Tracking per Link erneut zu unterbinden. Es mag gesetzlich reichen, ist aber eigentlich Unfug.

  40. Hallo, bezugnehmend auf das Positionspapier der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) vom 26. April 2018: gehe ich recht in der Annahme, dass ein Dienst wie etwa cookiebot (zumindest von der Idee her) diese Lücke zufriedenstellend lösen sollte?

  41. Hallo Dr. Datenschutz,

    in dem von Ihnen verlinkten „AVV“ wird unter Punkt 7.2 vom „BDSG“ gesprochen. Sollte es sich hier nicht um die DSGVO handeln?

  42. Sehr geehrte Damen und Herren,
    vielen Dank für die Informationen. Leider funktioniert der Link für die Englische Version der Datenschutzerklärung anzeigen nicht

    • Können Sie das Problem etwas genauer beschreiben? Wir haben von unserer Seite keine Probleme die englische Version auszuklappen.

  43. Hallo, eine etwas akribische Frage zu dem Link „DETAILS ZUM ZUSATZ ZUR DATENVERARBEITUNG VERWALTEN“: Dort soll eine „juristische Person“ angegeben werden. Als Einzelunternehmer (keine Firma, kein Kaufmann, nicht eingetragen) bin ich eine natürliche Person. Soll ich jetzt dort meinen Namen eintragen? Kriege ich Ärger, wenn dort nichts steht? Kriege ich Ärger, wenn ich vorgebe eine juristische Person zu sein? Hört sich vielleicht lächerlich an, aber als nicht-Jurist …

  44. Vielen Dank für diesen sehr hilfreichen und informativen Beitrag! Ein paar Fragen hätte ich dennoch, über deren Antwort ich mich sehr freuen würde.

    Zu Punkt 2: Ich möchte die IP-Adressen anonymisieren jedoch finde ich in meinem Code nur: und nicht den typischen Tracking Code wie er auch bei Google Analytics zu finden ist. Zudem sieht der dort angegebene Tracking Code aus.
    Kann ich anstatt einfach den hier aufgeführten „Finaler Code inkl. IP-Anonymisierung und Opt-Out-Cookie“ einsetzten oder wie kann ich die IP-Anonymisierung umsetzten?

    Und zu Punkt 5: Kann ich die gesamte Property einfach löschen? Was genau wird dort in den Papierkorb verschoben?

    Vielen Dank! Und viele Grüße!

  45. Inwieweit ist der finale Code von oben bitte noch aktuell?
    Gehe ich in meinen Google Analytics Account, wird mir dort als Codeschnipsel nicht mehr der von analytics.js ausgegeben, sondern ein Javascript gtag.js, das auf den Tagmanager zu verweisen scheint (obwohl ich diesen weder eingerichtet habe noch nutze): https://pastebin.com/LN6Xi3iB

  46. Danke für den Artikel. Hinweis: Die DSGVO spricht von Auftragsverarbeitungs-Vertrag (AV-Vertrag) und nicht mehr von ADV-Verträgen.

  47. Vielen Dank für die ausführlichen Informationen :-)
    Allerdings habe ich eine Frage: Das Opt-Out-Cookie wird mit „ga-disable-UA-xxxxxxxx-xx“ gesetzt. Gut, nun sollte sich GA daran halten.
    Was aber passiert, wenn der Besucher alle Cookies deaktiviert? Dann ist auch das Opt-Out-Cookie weg. Und schon darf GA wieder Daten sammeln?

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.