Google Analytics richtig nutzen

Google Analytics ist eines der wichtigsten Tools im Online-Marketing. Wer es datenschutzkonform einsetzen will, muss einige klare Regeln beachten.

Um Google Analytics datenschutzkonform einzusetzen, muss man die Regeln zur Datenaufbewahrung beachten, für die es neue Einstellungsmöglichkeiten gibt. Zudem gilt es, die Datenschutzerklärung so anzupassen, dass sie auch über die Verwendung von Google Analytics informiert. Aktualisiert werden muss auch die bisherige Auftragsdatenverarbeitung mit Google. Außerdem müssen Daten, die noch ohne IP-Anonymisierung erstellt wurden, gelöscht werden. Besonders wichtig ist schließlich die Einwilligung des Nutzers zum Webtracking. Wer das versäumt, riskiert eine Abmahnung oder ein Bußgeld durch die Aufsichtsbehörden.

Folgende Schritte jetzt umsetzen:

1. Abschluss eines Vertrags zur Auftragsverarbeitung

Laut den Aufsichtsbehörden fungieren bei der Verwendung von Google Analytics Betreiber von Webseiten als Auftraggeber und Google als Auftragnehmer. Daher muss mit Google ein gültiger Vertrag zur Auftragsverarbeitung abgeschlossen werden. Diesen finden Sie, indem Sie in den Verwaltungsbereich von Google Analytics bei Kontoeinstellungen in den Bereich „Zusatz zur Datenverarbeitung“ gehen. Hier können Sie mit einem Klick auf „Zusatz anzeigen“ den Vertrag zur Auftragsverarbeitung bestätigen. Anschließend müssen Sie noch ihre Kontakt- bzw. Firmenangaben ausfüllen. Diese finden Sie im Link mit der Bezeichnung „Details zum Zusatz zur Datenverarbeitung verwalten“. Bestätigen Sie nun diese Angaben durch Anklicken der Schaltfläche „Speichern“!

2. Anpassung des Tracking-Codes

Die Code-Erweiterung „anonymizeIp“ wird vorausgesetzt, um Google Analytics vollständig datenschutzkonform zu nutzen. Sie ist im von Google vorgegebenen Tracking-Code nicht automatisch inkludiert und muss daher händisch eingefügt werden. Der Code sorgt für die automatische Löschung der letzten acht Bit der Nutzer-IP-Adressen und garantiert so die vorgeschriebene Anonymisierung.

Zudem muss den Usern eine Widerspruchsmöglichkeit gegen das Erstellen von Nutzungsprofilen geboten werden. Daher muss das Script so adaptiert werden, dass damit die Setzung eines Opt-Out-Cookies möglich ist. Dieses verhindert, dass künftig Daten erfasst werden. Wichtig dabei ist, dass der User auf allen verwendeten Systemen seinen Widerspruch erklärt. Das verhindert ein geräteübergreifendes Zuordnen seiner User-ID. 

3. Einstellen der Zeitspanne der Datenaufbewahrung 

Laut DSGVO müssen Daten zweckgebunden und zeitlich begrenzt verarbeitet werden. Auch Google Analytics hat auf diese Forderung reagiert und bietet zur Datenaufbewahrung neue Steuerelemente an. Nun kann der Nutzer selbst bestimmen, wie lange seine Ereignis- und Nutzerdaten auf den Analytics-Servern liegen. Davon nicht betroffen sind auf aggregierten Daten basierende Berichte.

Wer DSGVO-konform agieren möchte, sollte die Dauer der Aufbewahrung auf 14 Monate begrenzen. Die standardmäßige Voreinstellung bei Analytics sieht eine Speicherung über einen Zeitraum von 26 Monaten vor. Diese kann geändert werden, indem man im Bereich „Verwaltung“ zur Spalte „Property“ geht und anschließend zu „Tracking-Informationen > Datenaufbewahrung“.

4. Anpassung der Datenschutzerklärung

In der Datenschutzerklärung muss die Nutzung von Google Analytics zwingend angegeben werden. Hier muss der Umgang der Datenerhebung beschrieben sein, die Rechtsgrundlage (laut Art. 13 DSGVO), die Dauer der Speicherung, das Widerrufsrecht, ein Hinweis zu anonymizeIp, zum Opt-Out-Cookie sowie zum Deaktivierungs-Add-on.

5. Einholung der Einwilligung des Nutzers

Ein rechtskonformes Webtracking sieht die vorherige informierte Einwilligung des Users vor. Wer darauf verzichtet, muss mit einer Abmahnung oder mit Bußgeldforderungen durch eine der Aufsichtsbehörden rechnen.

Das Tracking darf dabei immer erst nach der Einwilligung des Nutzers aktiviert werden. Diese Einwilligung kann etwa mit Hilfe eines „Cookie-Banners“, der sich auf die Verwendung von Google-Analytics bezieht, eingeholt werden.

6. Altdaten löschen

Nutzerprofile, die mit Google Analytics noch ohne die vorgeschriebene IP-Anonymisierung erstellt wurden, müssen gelöscht werden. In den Analytics-Einstellungen von Google finden Sie die Möglichkeit, entsprechendes Datenmaterial in den Papierkorb zu transferieren, wo es nach 35 Tagen endgültig gelöscht wird.

Tags
  • DSGVO
  • Datenschutz
  • Webseite
  • Marketing
  • Cookie
  • Google
Über den Autor

DataGuard Redaktion

DataGuard

Hier schreibt für Sie die DataGuard Redaktion, bestehend aus einem Team von Journalisten und Datenschutz-Spezialisten. Alles dreht sich um den Datenschutz im Unternehmensumfeld. Sie finden uns ebenfalls bei Twitter und LinkedIn.

Unsere Empfehlung

Angebot erhalten
089 442 550 - 62649