von RA Phil Salewski

Handlungsanleitung: Google Analytics nach DSGVO richtig einbinden

News vom 23.09.2020, 14:49 Uhr | Keine Kommentare

Der Einsatz von Google Analytics ist aus datenschutzrechtlicher Sicht problematisch und umstritten. Praktisch kann Google mit Google Analytics ein umfassendes Nutzerprofil von Webseiten-Besuchern anlegen. Bereits deshalb, spätestens aber seit der in Europa bestätigten Einwilligungspflicht für Tracking- und Analysecookies, gelten für den rechtskonformen Einsatz von Google Analytics strenge Anforderungen. In der folgenden Anleitung zeigt die IT-Recht Kanzlei auf, wie Google (Universal) Analytics unter Berücksichtigung der Vorgaben der DSGVO rechtssicher in die eigene Webpräsenz eingebunden werden kann.

I. Aktivierung des „_anonymizeIp()“ Tracking-Codes

Durch den Einsatz eines Tools wie Google Analytics wird mitunter die vollständige IP-Adresse (ein stets personenbezogenes Datum) des Seitenbesuchers an einen Dritten (Google) übermittelt, sofern nicht der „_anonymizeIp()“ Tracking-Code durch den Nutzer von Google Analytics aktiviert wird. Dieser Code verschleiert einen Teil der IP-Adresse des Nutzers und verhindert eine stringente personenbezogene Rückverfolgbarkeit. Wenn der „_anonymizeIp()“ Tracking-Code nicht aktiviert ist, ergeben sich datenschutzrechtliche Probleme, weil der Betroffene nicht informiert einwilligen kann.

Ohne die IP-Anonymisierung ist die Reichweite konkreter Analytics-Verarbeitungen beliebig groß, es sind unzählige Weiterverarbeitungskonstellationen denkbar. Das behindert die Wirksamkeit von Nutzereinwilligungen, die zwingend eingeholt werden müssen (s. sogleich). Der Nutzer könnte nämlich nie hinreichend darüber informiert werden, auf welche Verarbeitungen sich seine Einwilligung genau bezieht.

II. Cookie-Einwilligung per Consent-Tool

Google (Universal) Analytics setzt in der Standard-Variante diverse Tracking-Cookies auf dem Endgerät des Nutzers, welche die Analyse des Nutzerverhaltens unterstützen.

Aufgrund eines Grundsatzurteils des EuGH vom 01.10.2019 (C-673/17) ist für den Einsatz derartiger Cookies aber zwingend die vorherige ausdrückliche Einwilligung des Nutzers (etwa über ein hinreichendes Cookie-Banner oder ein konformes Cookie-Consent-Tool) einzuholen. Cookies von Google (Universal) Analytics dürfen daher nur gesetzt werden, wenn der Nutzer zuvor wirksam in deren Verwendung eingewilligt hat.

Ein Einsatz von Google Analytics auf Cookie-Basis vor oder unabhängig von der Nutzereinwilligung ist unzulässig. Insbesondere ein reines Opt-Out genügt nicht mehr. Die Datenschutzbehörden der Länder verfolgen Verstöße gegen die Einwilligungspflicht seither rigoros.

Um die Einwilligung korrekt einzuholen, empfiehlt sich der Einsatz eines rechtskonformen Cookie-Consent-Tools.

Dieses legt sich als Overlay bei Seitenaufruf über die Website und fragt Cookie-Einwilligungen ab.

Um rechtskonform zu sein, muss das Tool sicherstellen, dass

  • das Setzen von technisch nicht notwendigen Cookies solange blockiert wird, wie der Nutzer die Cookie-Einwilligungen nicht erteilt,
  • Einwilligungen für Google Analytics individuell abgefragt werden und
  • Einwilligungen jederzeit mit Wirkung für die Zukunft widerrufen werden können, ein gesetztes Opt-In für einen Dienst also wieder entfernt werden kann und die Cookie-Setzung daraufhin automatisch blockiert wird.

Ist Google Analytics mit Einwilligungsvorbehalt korrekt in das Cookie Consent Tool eingebunden, kann der Widerruf der Einwilligung direkt über das Tool erfolgen.

Eine Opt-Out-Möglichkeit bzw. einen Deaktivierungslink an anderer Stelle braucht es daher dann nicht mehr.

Im Rahmen unserer Schutzpakete bietet die IT-Recht Kanzlei Mandanten entweder Gratis-Vollversionen oder Sonderkonditionen für eine Vielzahl von rechtskonformen Cookie-Consent-Lösungen an.

1

III. Alternative: Cookies in Google (Universal) Analytics deaktiveren

Durch Rückgriff auf den lokalen Speicher des vom Nutzer verwendeten Browsers ist bei Google (Universal) Analytics ein cookie-loses Tracking möglich.

Hierdurch wird zwar die Einwilligungspflicht für Cookies abbedungen, allerdings bleibt Google (Universal) Analytics voraussichtlich dennoch allgemein einwilligungspflichtig. Der Dienst arbeitet nämlich weiterhin mit der cookie-ähnlichen Technologie des "Device Fingerprinting", für die vermutlich ein eigenständiges Einwilligungserfordernis besteht.

Weitere Informationen zur Deaktivierung von Cookies, eine Handlungsanleitung und eine Aufklärung über die verbleibenden Risiken finden sich hier.

Wir raten daher unabhängig von einer Cookie-Deaktivierung zur Einholung einer ausdrücklichen Einwilligung des Seitenbesuchers im Rahmen der Nutzung von Google Analytics!

IV. Optional: Zusätzliche Opt-Out-Möglichkeit per Opt-Out-Cookie in der Datenschutzerklärung

Die Verwendung von „Google Analytics“ ist einwilligungspflichtig und nur zulässig, wenn Nutzer erteilte Einwilligungen widerrufen können.

Grundsätzlich genügt die Deaktivierungsmöglichkeit in einem korrekt auf Google Analytics konfigurierten Cookie-Consent-Tool diesem Erfordernis bereits hinreichend. Über dieselbe Schaltfläche, mit welcher der Nutzer das Tracking im Tool aktivieren und damit seine Einwilligung erteilen kann, kann er es auch wieder ausstellen und so seine Einwilligung widerrufen.

Wer Nutzern eine zusätzliche Opt-Out-Möglichkeit bereitstellen will, kann über eine Veränderung des Seitenquell-Codes eine Widerrufsmöglichkeit für Google Analytics über ein von Google bereitgestelltes Opt-Out-Cookie ermöglichen. Die Setzung dieses Cookies kann über die Datenschutzerklärung in der entsprechenden Klausel für Google Analytics implementiert werden. Wird das Opt-Out-Cookie per Klick vom Nutzer aktiviert, wird das Tracking blockiert. Hierin liegt ein alternativer Widerruf der Einwilligung.

Hinweis:
Lässt sich Google Analytics bereits über ein vorhandenes Cookie-Consent-Tool deaktivieren, ist die nachfolgend beschriebene Methode nicht zwingend zu befolgen. Sie stellt nur einen optionalen, zusätzlichen Weg dar, um den Widerruf einer Analytics-Einwilligung zu ermöglichen. Wird die nachstehende Anleitung befolgt, ist unbedingt sicherzustellen, dass sich der Analytics-Opt-Out-Cookie und die Einstellungen des Cookie-Consent-Tools nicht gegenseitig behindern und miteinander korrelieren.

Wer einen zusätzlichen Einwilligungswiderruf ermöglichen will, beachte bitte die nachstehenden Hinweise für die Herstellung der Funktionalität des Widerspruchslinks (Opt-Out-Cookie) innerhalb der Datenschutzklausel zu Google Analytics:

1.) Einbettung der notwendigen Befehlskette (Script)

Um dem Nutzer einen Widerspruch bzw. Widerruf unabhängig von der Installation des Browser-Add-Ons zu ermöglichen, muss mittels eines spezifischen Java-Script-Codes ein Mechanismus implementiert werden, welcher die Datenerhebung bei Aktivierung eines Opt-Out-Cookies verhindert. Durch den Script-Code wird die jeweilige Website auf das Vorhandensein des vom Nutzer zu aktivierenden Opt-Out-Cookies überprüft und das Tracking bei entsprechender Feststellung unterbunden.

Wichtig ist, dass dieser Java-Script-Code stets vor dem eigentlichen Analytics-Code in den Quellcode der jeweiligen Website eingebunden wird!

Das Script lautet wie folgt:

<script>
var gaProperty = 'UA-XXXXXX-Y';
var disableStr = 'ga-disable-' + gaProperty;
if (document.cookie.indexOf(disableStr + '=true') > -1) { window[disableStr] = true;
}
function gaOptout() {
document.cookie = disableStr + '=true; expires=Thu, 31 Dec 2099 23:59:59 UTC; path=/';
window[disableStr] = true; }
</script>

Hinweis:
'UA-XXXXXX-Y’ ist dabei mit Ihrem, von Google individuell vergebenen Tracking-Code, zu ersetzen. Google hält ebenfalls eine Anleitung zur programmgesteuerten Unterbindung des Trackings über den Link https://developers.google.com/analytics/devguides/collection/gajs/?hl=de#disable bereit.

ACHTUNG:

Das Script muss auf jeder (!) Seite eingebettet werden, auf der ein „Google Analytics“-Tracking-Code implementiert ist! Anderenfalls wird auf diesen Seiten nicht das Vorhandensein des durch den Nutzer zu aktivierenden „Opt-Out-Cookies“ überprüft, das den Datenfluss stoppt.

2.) Setzen des „Opt-Out“-Cookies und Ergänzung der Datenschutzerklärung

a) Erzeugung eines Cookie-Links

Der implementierte Script-Code (s.o.) überprüft die Website auf das Vorhandensein eines aktiven Opt-Out-Cookies und unterbindet im Falle des Vorliegens eines solchen Opt-Out-Cookies beim Seitenbesucher die (weitere) Datenerhebung. Folglich muss der Seitenbesucher dieses Opt-Out-Cookie erst aktivieren, damit die Datenerhebung per Script-Code gestoppt wird. Damit das Opt-Out-Cookie vom jeweiligen Nutzer aktiviert werden kann, muss der Seitenbetreiber einen spezifischen Link bereitstellen.

Durch Klicken des Links wird das Opt-Out-Cookie beim Seitenbesucher auf dem jeweiligen Gerät gesetzt, damit erkennt der Java-Script-Code das Cookie und stoppt die Datenerhebung. Dieser Link, der in technischer Hinsicht die erforderliche Widerspruchs- bzw. Widerrufsmöglichkeit bietet, ist wie folgt aufgebaut:

<a onclick="alert('Google Analytics wurde deaktiviert');" href="javascript:gaOptout() ">Google Analytics deaktivieren</a>

b) Einbettung des Cookie-Links in die Datenschutzerklärung

Die Datenschutzerklärung muss sodann um den Hinweis des Widerspruchs bzw. Widerrufs und den Cookie-Aktivierungslink ergänzt werden. Dabei ist darüber zu belehren, dass das Opt-Out-Cookie nur für die jeweilig aufgerufene Website und nur innerhalb des verwendeten Browsers die Datenerhebung durch „Google Analytics“ unterbindet.

Folgender Text kann in der Datenschutzerklärung als Ergänzung übernommen werden:

Dieser Exklusiv-Inhalt ist Mandanten vorbehalten!
Ab
9,90€
Als Mandant weiterlesen? Ihre Vorteile:
  • Wissensvorsprung
    Zugriff auf exklusive Beiträge, Muster und Leitfäden
  • Schutz vor Abmahnungen
    Professionelle Rechtstexte – ständig aktualisiert
  • Monatlich kündbar
    Schutzpakete mit flexibler Laufzeit

V. Abschluss eines Vertrags über die Auftragsverarbeitung mit Google

Verwenden Sie Google Analytics, stellen die durch Google hierdurch vollzogenen Datenverarbeitungsvorgänge eine Verarbeitung in Ihrem Auftrag gemäß Art. 28 DSGVO dar. Daher sind Sie gehalten, mit Google einen Vertrag über die Auftragsverarbeitung abzuschließen.

Hierzu scrollen Sie in Google Analytics unter „Verwaltung > Kontoeinstellungen“ bis zur Rubrik „Zusatz zur Datenverarbeitung“ hinunter. Dort können Sie auf „Zusatz anzeigen“ klicken und den Auftragsverarbeitungsvertrag bestätigen.

VI. Löschung von (rechtswidrigen) Altdaten

Haben Sie mit Google Analytics Nutzerprofile ohne IP-Anonymisierung erstellt, sind diese Daten rechtswidrig erhoben worden und umgehend zu löschen.

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.

Autor:
Phil Salewski
Rechtsanwalt
© 2005-2020 ·IT-Recht Kanzlei Keller-Stoltenhoff, Keller
IT-Recht Kanzlei München 311
4.9 5