Google Analytics datenschutzkonform (mit Remarketing) nutzen

In dem Artikel “Google Analytics, Datenschutz und die Bundesliga” habe ich bereits kurz das Thema datenschutzkonforme Einbindung von Google Analytics angerissen, auch bei meinem Artikel zum Thema „Remarketing mit Google Analytics“ wurde noch einmal auf den Datenschutz und die Anpassungen, die vorgenommen werden müssen hingewiesen. Dennoch gibt es immer wieder Informationsbedarf über die Umsetzung in der Praxis. In diesem Artikel werde ich eine etwas detailliertere Einleitung in das Thema datenschutkonforme Einbindung von Google Analytics (mit Remarketing) geben.

In aller Kürze müssen die folgenden Punkte umgesetzt werden, um Google Analytics datenschutzkonform nutzen zu können:

1. Anonymisierung der IP-Adressen (Code Erweiterung anonymizeIP)
2. Widerspruchsrecht der Betroffenen (Information über Browser Plugins bereitstellen)
3. Angepasster Datenschutzhinweis bereitgestellt von Google (hier zu finden unter Punkt 8)
4. Vertrag zur Auftragsdatenverarbeitung mit Google (§ 11 BDSG – Vertrag Download)
5. Löschung von Altdaten (bestehende Google Analytics Profile)
6. Anpassungen bei der Benutzung des neuen Remarketing Features

Nun aber zu der detaillierten Ausführung der Maßnahmen, die von euch getroffen werden müssen um mit Google Analytics aus Datenschutz Sicht auf der sicheren Seite zu sein.

1. Anonymisierung der IP-Adressen (Code Erweiterung anonymizeIP)

Bei Google Analytics wird die Anonymisierung der IP-Adressen durch die Funktion “anonymizeIP” realisiert, welche manuell zum Tracking Code hinzugefügt werden muss. Von der Platzierung her muss die Funktion unterhalb von “_setAccount” und oberhalb von “_trackPageview” integriert werden. Bei der asynchronen Variante des Codes sieht der Analytics Code mit “anonymizeIP” dann wie folgt aus:

<script type=“text/javascript“>

var _gaq = _gaq || [];

_gaq.push([‚_setAccount‘, ‚UA-XXXXX-X‘]);
_gaq.push ([‚_gat._anonymizeIp‘]);
_gaq.push([‚_trackPageview‘]);
(function() {
var ga = document.createElement(’script‘); ga.type = ‚text/javascript‘; ga.async = true;
ga.src = (‚https:‘ == document.location.protocol ? ‚https://ssl‘ : ‚http://www‘) + ‚.google-analytics.com/ga.js‘;
var s = document.getElementsByTagName(’script‘)[0]; s.parentNode.insertBefore(ga, s);
})();

</script>

Falls ihr noch mit der synchronen Variante unterwegs seid empfehle ich euch zuerst auf den asynchronen Code umzusteigen (Vorteil: genaueres Tracking eurer User). Falls ihr dieses nicht möchtet, dann sieht die Integration von “anonymizeIP” wie folgt aus:

<script type=“text/javascript“>
var gaJsHost = ((„https:“ == document.location.protocol) ? „https://ssl.“ : „http://www.“);
document.write(unescape(„%3Cscript src='“ + gaJsHost + „google-analytics.com/ga.js‘ type=’text/javascript’%3E%3C/script%3E“));
</script>
<script type=“text/javascript“>
try{
var pageTracker = _gat._getTracker(„UA-xxxxxx-x“);
_gat._anonymizeIp();
pageTracker._trackPageview();
} catch(err) {}</script>

Hinweis! Durch die Verwendung von “anonymizeIP” wird das letzte Oktett der IP-Adressen vor der Speicherung entfernt. Die IP Adressen werden in Google Analytics für die geographischen Reports verwendet, in denen es nach dem Einsatz von “anoymizeIP” zu leichteren Unschärfen kommt.

2. Widerspruchsrecht der Betroffenen (Information über Browser Plugins bereitstellen)

Die Betroffenen müssen der Aufzeichnung der Daten widersprechen dürfen, zum Glück ist dieses bei uns in Deutschland noch nicht wie in UK nach der EU Richtlinie gestaltet. Aktuell reicht es aus die Möglichkeiten (Browser Plugins) zur Verhinderung des Trackings in den Datenschutzbestimmungen zu erwähnen. Google selbst bietet die Installation der Browser Plugins für alle gängigen Browser(Internet Explorer, Mozilla Firefox, Apple Safari und Opera) an. In der Praxis sieht der Hinweis dann wie folgt aus:

“Sie können die Speicherung der Cookies durch eine entsprechende Einstellung Ihrer Browser-Software verhindern; wir weisen Sie jedoch darauf hin, dass Sie in diesem Fall gegebenenfalls nicht sämtliche Funktionen dieser Website vollumfänglich werden nutzen können. Sie können darüber hinaus die Erfassung der durch das Cookie erzeugten und auf Ihre Nutzung der Website bezogenen Daten (inkl. Ihrer IP-Adresse) an Google sowie die Verarbeitung dieser Daten durch Google verhindern, indem sie das unter dem folgenden Link verfügbare Browser-Plugin herunterladen und installieren: http://tools.google.com/dlpage/gaoptout?hl=de.”

3. Angepasster Datenschutzhinweis bereitgestellt von Google (hier zu finden unter Punkt 8)

Der im nächsten Punkt folgende “Vertrag zur Auftragsdatenverarbeitung” enthält den Datenschutzhinweis, der auf der Webseite eines Google Analytics Benutzers eingebunden werden muss. Auf der offiziellen Google Analytics Website (wurde aktualisiert) wird dieser Hinweis, der früher unter Punkt 8.1 aufgeführt wurde, aktuell nicht mehr angezeigt.

Folgender Hinweis muss demnach unter den Datenschutzbestimmungen einer Webseite, die Google Analytics verwendet integriert werden:

„Diese Website benutzt Google Analytics, einen Webanalysedienst der Google Inc. („Google“). Google Analytics verwendet sog. „Cookies“, Textdateien, die auf Ihrem Computer gespeichert werden und die eine Analyse der Benutzung der Website durch Sie ermöglichen. Die durch den Cookie erzeugten Informationen über Ihre Benutzung dieser Website werden in der Regel an einen Server von Google in den USA übertragen und dort gespeichert. Im Falle der Aktivierung der IP-Anonymisierung auf dieser Webseite, wird Ihre IP-Adresse von Google jedoch innerhalb von Mitgliedstaaten der Europäischen Union oder in anderen Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum zuvor gekürzt. Nur in Ausnahmefällen wird die volle IPAdresse an einen Server von Google in den USA übertragen und dort gekürzt. Im Auftrag des Betreibers dieser Website wird Google diese Informationen benutzen, um Ihre Nutzung der Website auszuwerten, um Reports über die Websiteaktivitäten zusammenzustellen und um weitere mit der Websitenutzung und der Internetnutzung verbundene Dienstleistungen gegenüber dem Websitebetreiber zu erbringenDie im Rahmen von Google Analytics von Ihrem Browser übermittelte IP-Adresse wird nicht mit anderen Daten von Google zusammengeführt.

4. Vertrag zur Auftragsdatenverarbeitung mit Google (§ 11 BDSG – Vertrag Download)

Da die Daten von einem Dritte (Google) per Google Analytics erhoben und verarbeitet werden, muss der Vertrag zur Auftragsdatenverarbeitung geschlossen werden. Den Vertrag könnt ihr hier downloaden und unterschrieben an Google übersenden.

5. Löschung von Altdaten (bestehende Google Analytics Profile)

Keine dieser Maßnahmen bezieht sich auf eure alten Daten, so dass die bisher erhoben Daten gelöscht werden müssen. D. h. ihr müsst die Profile mit den “Altdaten” löschen und mit der Datensammlung nach der Umsetzung für die datenschutzkonforme Nutzung von Google Analytics neu beginnen.

6. Anpassungen bei der Benutzung des neuen Remarketing Features

Falls ihr in Zukunft das neue Remarketing Feature in Google Analytics nutzen wollt, dann müsst ihr auch hier eure Datenschutzhinweise anpassen. Google liefert hierzu keine offizielle Vorlage, sondern weist in der offiziellen Remarketing Hilfe  nur darauf hin, dass die Regelungen in den Ländern verschieden sind und deshalb keine standardisierte Version zur Verfügung gestellt wird. Goolge selbst schreibt, dass folgende Informationen in euren Datenschutzbestimmungen erwähnt werden müssen:

– Welche Features der von Google Analytics für Display Advertiser genutzt werden (Remarketing)
– Infos zum OptOut (Browser Plugin und OptOut für das Google Werbenetzwerk)

Zusätzlich müssen noch folgende Informationen zu den Datenschutzbestimmungen hinzugefügt werden:

– Wie ihr selber Remarkting nutzt, um Online zu werben
– Wie Drittfirmen, Google einbezogen, eure Ads ausliefern
– Wie ihr und Drittfirmen, Google einbezogen, First-Party Cookies (z. B. Google Analytics) und Third-Party Cookies (z. B. Doubleclick) zusammen benutzt, um Werbung aus Basis von vorherigen Besuchen auszuliefern und zu optimieren

Falls ihr den Original Text lesen möchtet, dann könnt ihr diesen in englisch hier tun.

Quellen:

Google Analytics Remarketing Hilfe

Google Analytics Vertrag zur Auftragsdatenverarbeitung

Blogpost Datenschutzbeauftragter.info

Geschrieben von Mario Hillmers