DSGVO Website

So wird Google Analytics DSGVO fit

Hinweis 1.7.2023: Google Analytics (UA) wurde mit heutigem Tag eingestellt, die nachfolgenden Informationen sind daher nicht mehr aktuell. Eine Alternative zu Google Analytics

Durch den Einsatz von Google Analytics beauftragt man Google mit Websiteanalysen und die eigene Website gibt die Besucherdaten inkl. IP Adresse an Google weiter. Da die IP Adresse als personenbezogene Daten lt. DSGVO eingestuft wurde, sind einige Schritte zu setzen, um datenschutzkonform mit berechtigtem Interesse die Besucherströme auf der eigenen Website analysieren zu dürfen.

Hinweis:
Wenn Sie das Thema rechtssicher beantworten wollen, führt kein Weg an einer Rechtsberatung oder Datenschutz-Spezialisten vorbei. Für alle anderen, hier meine pragmatische Annäherung an das Thema:

4 Schritte, um Google Analytics DSGVO fit zu machen:

  1. Google Analytics anonymisieren
  2. Vertrag zur Auftragsverarbeitung mit Google abschließen
  3. Aufbewahrungsdauer der Google Analytics Daten anpassen
  4. Datenschutzerklärung anpassen

Hier im Detail:

1. Google Analytics anonymisieren

Beim Einsatz von Google Analytics wird die IP-Adresse von Website-BesucherInnen – und damit personenbezogene Daten – bei Google gespeichert. Lt. DSGVO muss die IP-Adressen anonymisiert werden, damit sie nicht einer Person zuordenbar ist. Es reicht, eine Zeile Code beim Google Analytics Code für die eigene Website zu ergänzen:

ga(’set‘, ‘anonymizeIp‘, true);

und zwar zwischen den 2 Befehlen für ‚create‘ und  ’send‘, das schaut dann so ungefähr so aus:

ga(‘create‘, ‘UA-1234567-1′, ‘auto‘);
ga(’set‘, ‘anonymizeIp‘, true);
ga(’send‘, ‘pageview‘);

2. Vertrag zur Auftragsverarbeitung mit Google abschließen

DSGVO konform wird die Weitergabe der Daten an Google nur, wenn ein Auftragsverarbeitungsvertrag mit Google als Auftragnehmer abgeschlossen wird, da dann die hinreichende Risikominderung für Betroffene als Erlaubnisgrundlage vorliegt (Art. 28 Abs. 3 S.1 DSGVO). Damit überwiegen dann die berechtigten Interessen des Website-Betreibers.

Der Vertrag mit Google kann online abgeschlossen werden:

[/av_textblock]

1
2
3
GA-Zusatz
1

Verwaltung

2

Kontoeinstellungen

3

Zusatz anzeigen


Links im Menü „Verwaltung“ (1) auswählen > dann „Kontoeinstellungen“ (2). Auf dieser Seite hinunter scrollen bis „Zusatz zur Datenverarbeitung“ (3) > den „Zusatz anzeigen“ und „Zustimmen“. In Zukunft steht dann beim Zusatz zur Datenverarbeitung das Datum der Zustimmung. (Eine noch detailliertere Beschreibung mit Screenshots gibt es hier.)

Theoretisch müsste man unterhalb noch Kontaktdaten hinzufügen, das geht aber nur über eine bezahlt-Version von Google Analytics (360 Suite Google Analytics).

3. Aufbewahrungsdauer der Google Analytics Daten anpassen

Die Aufbewahrungsdauer der nicht aggregierten Daten (mit Cookies, Nutzer-IDs oder Werbe-IDs verknüpfte Daten) können Sie ändern und soll nach DSGVO nicht länger als notwendig sein. Die Grundeinstellung ist seltsamerweise nicht überall gleich, empfohlen wird „14 Monate“, falls es keine berechtigten Gründe gibt, auf länger zurückliegende Daten zurückzugreifen.

4. Die Datenschutzerklärung anpassen

Die Nutzung von Google Analytics muss in die Datenschutzerklärung aufgenommen werden. Passenden Text liefern diverse Generatoren für die Datenschutzerklärung. Links finden sich unter Punkt 10 in meinem Beitrag zu den Basics für die DSGVO bezüglich Homepage.

 

Weitere Informationen: