Aufsetzen der Datenschutzerklärung bei Nutzung von Google Analytics

Hinweis: Dieser Artikel ist die Übersetzung des englischen Originalartikels How to Craft Your Privacy Policy for Google Analytics in Germany.

Update Februar 2020: Alle früheren Hinweise auf der Seite der Hamburger Datenschutzbehörde wurden gelöscht. Neuere Richtlinien wurden nicht herausgegeben, aber es gibt einige Hinweise, über die man sich nach wie vor eine gute Vorstellung davon machen kann, wie man Google Analytics rechtskonform einbindet.

Update Mitte 2017: Der Datenschützer hat ein neues Dokument hochgeladen, welches mehr oder weniger den bisherigen Vorgaben entspricht.

Update Dezember 2016: Der Datenschützer aus Hamburg hat den Guide zwischenzeitlich vom Netz genommen, damit die Situation unter dem Datenschutzschild noch mal neu beurteilt werden kann. 

Update September 2016: Google hat seine Privacy Shield Zertifizierung  publiziert und folgerichtig für Deutschland die Nutzungsbedingungen angepasst, mit einen neuen Vertrag zur Auftragsdatenverarbeitung.

Update: Im Juni 2016 eruiert der Datenschutzbeauftragte von Hamburg seine Vorgaben.

Deutsche Datenschützer haben genaue Vorstellungen wie Google Analytics in eine Seite einzubinden sei, damit sie mit Datenschutzgesetzen in Einklang zu bringen ist. Infos hierzu können unter anderem auf der hamburgischen Datenschutzbehörde gefunden werden.

Auf datenschutz-hamburg findet sich also folgendes Dokument mit dem Namen “Google Analytics – Hinweise für Webseitenbetreiber in Hamburg“, das eine datenschutzkonforme Einbindung von Google Analytics beschreibt.

Seit wir diesen Leitfaden zum ersten Mal veröffentlicht haben, hat sich viel geändert, und die Leitfäden der Datenschutzbehörde, auf die wir ursprünglich verlinkt haben, gibt es nicht mehr.

Der Tätigkeistbericht der Behörde von Hamburg von 2019 (veröffentlicht im Jahr 2020) gibt jedoch einige Hinweise auf die Veränderungen:

– Google Analytics hat sich geändert und hilft dem Website-Betreiber nicht nur bei der Analyse seines Traffics, sondern auch bei der Gewinnung von Informationen für Google selbst.
– Es gibt einen neuen Gerichtsbeschluss des CJEU vom 1.10.2019, C-673/17 “Planet49”, der eine ausdrückliche Zustimmung zum Setzen von Cookies verlangt.

Um Google Analytics und iubenda so zu nutzen, wie es von den Behörden vorgesehen ist, müssen Sie die beiden unten beschriebenen Prozesse befolgen:

1) So bindet man Google Analytics korrekt in eine Datenschutzerklärung ein

In den Worten der hamburger Datenschutzbehörde: “Für einen beanstandungsfreien Betrieb von Google Analytics müssen Sie als Betreiber einer Webseite mindestens folgende Maßnahmen umsetzen”:

1. Vertragsabschluss: so muss man den von Google vorbereiteten Vertrag zur Auftragsdatenverarbeitung schriftlich abschließen. Dieser kann hier gefunden werden.
2. Datenschutzerklärung & opt-out: Die Nutzer müssen durch eine Datenschutzerklärung auf die Nutzung von Google Analytics hingewiesen werden (“über die Verarbeitung personenbezogener Daten im Rahmen von Google Analytics”). Des Weiteren müssen auf Widerspruchsmöglichkeiten gegen diese Erfassung aufmerksam gemacht werden. Dies geht über die Verlinkung auf diese Browsererweiterung von Google: http://tools.google.com/dlpage/gaoptout?hl=de. Mit diesem Teil hilft iubenda, wir generieren die Datenschutzerklärung.
3. Opt-out II: Implementierung einer eigenen Widerspruchslösung. Der Grund dafür, ist dass die Google extension hauptsächlich auf Browser von nicht-mobilen Geräten zielt. Umso wichtiger ist also diese Lösung für Seiten die sich an hauptsächlich mobile Nutzer richtet. Mit der Nutzung von iubenda ist dieser Opt-out Link bereits implementiert, zur problemlosen Funktionsweise müssen aber die Anleitungen weiter unten befolgt werden.
4. Kürzung der IP-Adressen: Es muss die von Google zur Verfügung gestellte Anonymisierungsfunktion genutzt werden: “_anonymizeIp()” muss also in den Analytics Snippet eingesetzt werden. Mehr Info hierzu im englischen Artikel IP Anonymization in Google Analytics.
5. Löschen von alten Daten: Falls Google Analytics bis anhin anders genutzt wurde, so müssen die bisher erhobenen Daten gelöscht werden, da die Daten konsequenterweise unrechtmässig erhoben wurden.

Eingehenderes kann auf der Seite der Datenschutzbehörde nachgelesen werden.

Im neuesten Taetigkeitsbericht (2019/2020) kommt die Hamburger Behörde zu dem Schluss, dass ihre früheren Leitfäden nicht mehr zu befolgen seien und dass zumindest das Folgende notwendig ist, um Google Analytics konform zu betreiben:

1. ein Vertrag über die Datenverarbeitung nach Art. 28 DSGVO sollte zunächst zwischen Google LLC und dem Website-Betreiber abgeschlossen werden.

2. bei der Wahl der “Standardeinstellung” zusätzlich der Abschluss eines “Controller-Controller-Vertrages” durch den Website-Betreiber erforderlich ist, woraus folgt, dass sowohl Google als auch der Website-Betreiber in eigener Verantwortung handeln und sich die Möglichkeit einer eigenen Weiterverarbeitung der Daten vorbehalten.

3. Unter Berücksichtigung der europäischen Rechtsprechung (EuGH, Urteil vom 29. Juli 2019, Az. C-40/17) kann daher die von Google empfohlene Standardeinstellung als eine Mitverantwortung gemäß Art. 26 DSGVO angenommen werden. Der Hamburgische Datenschützer ist daher weiter auch der Auffassung, dass die Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO für die Nutzung von Google Analytics oder ähnlichen Diensten erforderlich ist. (Dies ergibt sich nach Ansicht der Behörde aus dem EuGH-Urteil vom 1.10.2019, Az.: C-673/17 “Planet49” und Google selbst, das den Betreiber der Website verpflichtet, angemessene Schritte zu unternehmen, um den Nutzer transparent und umfassend zu informieren.

Mit anderen Worten: Im Vergleich zu den guten alten Zeiten wird von Ihnen erwartet, dass Sie zusätzlich zu einer Datenschutzerklärung auch ein Cookie-Banner anzeigen und diese Cookies erst dann platzieren, wenn Sie die Einwilligung der Nutzer erhalten haben [wobei Ihnen iubenda dabei hilft].

Der gleichen Meinung ist übrigens auch die bayerische Behörde, die eine vorherige ausdrückliche Einwilligung zu Google Analytics verlangt.

2) Wie iubenda mit Google Analytics und der Datenschutzerklärung hilft

1. Registrieren/Einloggen und dann die Google Analytics Klausel mit dem Namen “Google Analytics with anonymized IP” wählen.
2. Nicht weiter notwending: Für die Datenschutzerklärung muss unbedingt die Option “direct text embedding” genutzt werden. Das ist die Einbettung der Datenschutzerklärung in die eigene Seite (an Stelle der Anzeige durch ein so genanntes “modal window”). Leider gibt es hierfür keine Alternative, da das Javascript, wie es von Google zur Verfügung gestellt wird, dies so braucht. Um also komplett deutscher Datenschutzpraxis zu genügen, und den Opt-out effektiv zu gestalten, muss unsere Datenschutzerklärung in die Seite eingebunden werden.
3. Vor dem installieren der Google Analytics Cookies, sicherstellen dass man einen Cookie-Banner anzeigt und Einwilligung einholt [hierfür stell iubenda die Cookie Solution bereit].

Weitere lesenswerte Artikel bezüglich Google Analytics

Der Prozess sieht komplizierter aus als er es ist. Einerseits sorgen wir für eine reibungslose Datenschutzerklärung-Erstellung, andererseits, falls man weiss wie Google Analytics in eine Webseite eingebunden wird, kann man auch die Erweiterungen zur IP-Anonymisierung und zum Opt-out erfolgreich einsetzen:

• man verfolge die Voraussetzungen der Datenschutzbehörde  – Details
• iubenda hilft mit der Erstellung der Datenschutzerklärung – Details

Zusätzliche Lektüre und Einsicht kann übrigens auch über die folgenden Links erworben werden. Die Artikel sind Englisch:

• Privacy Policy for Google Analytics
• IP Anonymization in Google Analytics
• Display Advertising for Google Analytics
• Data Processing Agreements in Google Analytics
• How to Find the Google Analytics Data Processing Agreement

Nun lasst uns beweisen wie einfach man eine Datenschutzerklärung erstellt (das Nutzer Interface ist Englisch, die Datenschutzerklärung kann aber in Deutsch, Spanisch, Französisch, Italienisch und Englisch generiert werden):

Datenschutzerklärung für Google Analytics generieren

Text zu Archivzwecken, dies war unter den alten Vorgaben notwending, um einen Opt-out link zu erstellen.

1. Einbindung von Google-Javascript* in die eigene Webseite, diese muss vor dem tatsächlichen Google Analytics Snippet auf jeder Seite geschehen. Hierzu finden sich Hinweise bei Googles Hilfeseiten.

*hier eine Abbildung des Javascript Snippets, das vor dem Google Analytics Snippet eingebunden werden muss:

<script>
// Set to the same value as the web property used on the site
var gaProperty = 'UA-XXXX-Y';

// Disable tracking if the opt-out cookie exists.
var disableStr = 'ga-disable-' + gaProperty;
if (document.cookie.indexOf(disableStr + '=true') > -1) {
  window[disableStr] = true;
}

// Opt-out function
function gaOptout() {
  document.cookie = disableStr + '=true; expires=Thu, 31 Dec 2099 23:59:59 UTC; path=/';
  window[disableStr] = true;
}
</script>

Dies ist was iubenda grundsätzlich automatisch erledigt: Falls der oben genannte Google Javascript Code korrekt in die Seite integriert wurde, zeigen wir eine Opt-out Erfolgsmeldung. Sollte dies nicht der Fall sein, werden die Besucher zu Google’s Opt-out Extension geführt und demnach alle diese Nutzer dem Opt-out Verfahren unterzogen, die mit diesem kompatibel sind.