Wenn Sie für die Webanalyse Google Analytics einsetzen, sollte Sie darauf achten, dass die Nutzung datenschutzkonform ist. Dazu müssen Sie folgende Vorgaben haben bzw. einhalten (nicht rechtlich verbindlich):
- Vertrag mit Google zur Auftragsdatenverarbeitung
- Löschung der Altdaten
- Datenschutzerklärung zum Einsatz von Google Analytics
- Anonymisierung der IP-Adressen bei der Erfassung der Nutzerdaten
- Einbindung einer Widerspruchslösung
Eine detaillierte Auflistung zu den oben genannten Punkten, erhalten Sie auf der Webseite Datenschutzbeauftragter-Info. Hier finden Sie auch eine Vorlage des Vertrags, der mit Google zur Auftragsverarbeitung abgeschlossen werden muss.
Die zusätzliche Einbindung einer Widerspruchslösung wird jedoch häufig vergessen. Über die Installation eines Google Analytics Add-ons oder eines Opt-Out Cookies bekommt der User die Möglichkeit, die Erfassung seiner Daten zu unterbinden. Dieses Angebot ist in den EU-Ländern Pflicht und kann bei Missachtung zu kostspieligen Folgen führen.
Nach der Einführung der neuen Datenschutzverordnung (DSGVO) am 25.05.2018 wird nun umso mehr deutlicher, dass diese Anpassungen ernst zu nehmen sind. Der Google Analytics deaktivieren Link muss auf jeder Seite mit Google Analytics als Tracking-Tool eingebaut werden.
Wir zeigen Ihnen in diesem Artikel, wie sie den Widerspruchszusatz richtig erstellen und implementieren.
Hinweis zur Nutzung von Webanalyse im Datenschutz
Beim Einsatz von Webanalyse ist es unerlässlich, den Datenschutz Ihrer Webseite regelmäßig zu kontrollieren und aktuell zu halten.
Abbildung 1: Auszug Datenschutz-Seite der internetwarriors GmbH (I)
Aber neben der reinen schriftlichen Darlegung sind Sie verpflichtet, einen Widerspruchszusatz zu implementieren. Dabei gibt es mehrere Möglichkeiten den Google Analytics Tracking Code zu deaktivieren:
- Installation des Google Analytics Add-ons, welches die Datenerhebung für alle gängigen Browser durch Analytics unterbindet. Das Add-on arbeitet dabei losgelöst von den besuchten Webseiten und verhindert ganz generell die Datenerfassung von Google Analytics.
- Setzung eines sogenannten Opt-Out Cookies.
Um Google Analytics datenkonform zu nutzen, müssen beide Varianten umgesetzt werden.
Entscheidet sich der User, für das Opt-Out Cookie, bezieht sich dieses lediglich auf die eingetragene UA-Nummer der Google Analytics Property, die im Cookie definiert ist.
Abbildung 2: Auszug Datenschutz-Seite der internetwarriors GmbH (II)
Google Analytics deaktivieren mit dem Opt-Out-Cookie
Zur Implementierung des Opt-Out Cookies müssen Sie zunächst ein JavaScript schreiben und auf Ihren Seiten einbauen. Über einen Link auf Ihrer Datenschutzseite kann der User im Anschluss die Ausführung des Skriptes und damit die Deaktivierung von Google Analytics starten. Das JavaScript sollten Sie in Ihrem Quellcode vor dem schließenden einbauen. Es ist unbedingt notwendig, dass das Skript vor dem eigentlichen Google Analytics Code eingebaut ist, damit das aktivierte Skript vor der Datenerfassung greifen kann. Nutzen Sie den Google Tag Manager ist hier ebenfalls darauf zu achten, dass Sie den Cookie vor dem Google Tag Manager steht.
Das Skript des Opt-Out Cookies sieht folgendermaßen aus:
Abbildung 3: Das Skript des Opt-Out Cookies
Die Zeichenfolge ‚UA-XXXXXXX-X‘ in der ersten Zeile ist durch Ihre Google Analytics Property zu ersetzen. Die folgenden vier Zeilen bis window[disableStr] = true;} bewirken die Deaktivierung des Analytics Cookies.
Der Befehl function gaOptout() setzt den Opt-Out Cookie, sobald der entsprechende Link auf der Datenschutzseite eingebaut und geklickt wurde. Das gesetzte Opt-Out Cookie ist in unserem Beispiel, wenn es nicht vorab vom User gelöscht wird, bis zum 31. Dezember 2099 um 23:59:59 Uhr gültig.
Haben Sie das obige Skript erstellt und in den Head-Bereich Ihrer Seiten eingebaut, setzen Sie im zweiten Schritt einen HTML-Link auf Ihre Datenschutzseite, damit der Befehl „function gaOptout()“ ausgeführt werden kann.
Die Verlinkung kann folgendermaßen aussehen:
<a href="javascript:gaOptout();" onclick="alert('Google Analytics wurde deaktiviert');">Erfassung von Daten durch Google Analytics für diese Website deaktivieren</a>
Über den Zusatz: onclick=“alert(‚Google Analytics wurde deaktiviert‘) wird dem Nutzer nach dem Klick in einem kleinen Fenster mitgeteilt, dass Google Analytics nun deaktiviert ist.
Abbildung 4: Mit einem „alert“ öffnet sich ein zusätzliches Fenster
Möchten Sie als Webseitenbetreiber sicherstellen, dass der Cookie gesetzt wird, empfehlen wir Ihnen, zunächst alle Ihre Cookies in den Browsereinstellungen zu löschen. Besuchen Sie im Anschluss Ihrer Datenschutzwebseite und klicken dort auf den Link zur Deaktivierung von Google Analytics. Nun sollte zunächst das Infofenster erscheinen. Im nächsten Schritt können Sie nun überprüfen, ob der Opt-Out Cookie (ga-disable-UA-XXXXXX-X) gesetzt wurde:
Abbildung 5: Überprüfung, ob Opt-Out Cookie gesetzt wurde (Darstellung aus Google Chrome; UA-Nummer ist anonymisiert)
Eine Alternative ist die Nutzung des Browser-Plugins EditThisCookie zur Kontrolle, ob der Google Analytics Opt-Out Cookie funktioniert.
Abbildung 6: Kontrolle, ob der Opt-Out Cookie gesetzt wurde – mit dem Ad-On „EditThisCookie“
Hinweis: Sollte der User JavaScript deaktiviert haben, löst zwar das Cookie nicht aus, aber Google Analytics würde trotzdem keine Daten erhalten, da Analytics ebenfalls über ein JavaScript eingebaut ist.
Sollten Sie den Google Analytics Opt-Out Link mit dem WordPress Visual Composer auf der Datenschutzseite einfügen, beachten Sie bitte, dass das Baukastensystem Visual Composer das JavaScript Snippet überschreibt und der Opt-Out Cookie nicht mehr gesetzt wird. Die Lösung hierfür ist, dass Sie das Script im HTML-Modus der Seite einbinden.
Der zusätzliche Cookie Hinweis
Viele Webseiten setzen zur Zeit einen zusätzlichen Cookie-Hinweis. Dieser weist den Besucher darauf hin, dass die Seite Cookies einsetzt, um die Usability zu verbessern. Zudem gibt es die Möglichkeit, dies über den OK-Button zu bestätigen oder sich auf die Datenschutzseite weiterleiten zu lassen.
Abbildung 7: Cookie Hinweis auf Webseiten
Ein gutes Tool für eine einfache Implementierung des Cookie-Hinweises erhalten Sie kostenlos auf der Webseite Cookie Consent.
Abbildung 8: Mit dem Cookie Consent Tool können Sie sich einen Cookie-Hinweis für Ihre Seite bauen
Das Tool bietet eine einfache Oberfläche, um einen Cookie-Hinweis Snippet zu bauen. Sie haben die Wahl zwischen verschiedenen Positionen, Layout und Farben. Der Link zu weiteren Informationen, also zu der Datenschutzseite können Sie direkt im Tool angeben.
Unter „Compliance type“ können Sie auswählen, ob der Banner nur einen Hinweis auf Ihrer Webseite zeigen soll, oder ob Sie in dem Banner direkt einen Opt-Out Cookie setzen wollen, alternativ ginge auch ein Opt-In Cookie. Allerdings sind hier JavaScript Kenntnisse Voraussetzung, um die entsprechenden Scripte korrekt auf Ihrer Webseite bzw. im Google Tag Manager einzubauen.
Auf der rechten Seite befindet sich der Code, der im Header der Seite eingebunden wird. Bitte beachten Sie, dass der Code vom dem abschließenden im Quelltext Ihrer Seite implementiert wird.
Die rechtliche Grundlage dazu können Sie auf der Seite von www.e-recht24.de nachlesen.
Aktuell wird zudem überlegt, statt einem Widerrufszusatz eine Opt-In-Lösung für die Datenerfassung verpflichtend einzuführen. Genaues dazu ist jedoch noch nicht bekannt, sodass Sie vorerst mit der Implementierung des Opt-Out Cookies und/oder der Setzung des Links zum Google Analytics Add-on auf der richtigen Seite sein sollten.
Die sogenannte ePrivacy Verordnung würde den Grundstein legen, für eine komplett verpflichtende Opt-In Lösung. Es gibt noch keine verbindliche Information, wann neben der DSGVO nun auch die ePrivacy in Kraft treten wird. Für weitere Informationen und den aktuellen Stand empfehlen wir Ihnen die Seite vom Bundesverband Digitale Wirtschaft (BVDW) e.V.
Was wir für Sie tun können
Änderungen in den Vorgaben für den Datenschutz können schnell beschlossen werden. Dann heißt es für Sie schnell reagieren, bevor es teuer wird. Wir unterstützen Sie gerne bei der Umsetzung von Online Marketing Maßnahmen an Ihrer Webseite und achten stets nach bestem Wissen und Gewissen darauf (ohne rechtliche Verbindlichkeit), die Vorgaben zum Datenschutz auch in den Themengebieten Webanalyse, Google AdWords und Social Media einzuhalten. Bei Fragen stehen wir Ihnen gerne zur Seite. Wir freuen uns auf Ihre Anfrage.
Mich würde interressieren, weshalb der Vertrag zur Auftragsdatenverarbeitung mit Google benötigt wird, wenn durch die verwendete Anonymisierung per se gar keine personenbezogenen Daten an Google übermittelt werden?
Unter https://support.google.com/analytics/answer/2763052?hl=de wird ausdrücklich darauf hingewiesen, dass die Maskierung der IP unmittelbar durchgeführt wird, bevor eine Speicherung oder Verarbeitung der Daten in Googles Netzwerk stattfindet.
Hallo webseit und vielen Dank für Ihre Nachfrage.
Es gab vor einigen Jahren lange Verhandlungen zwischen deutschen Datenschutzbeauftragten und Google, wie Webseitenbetreiber in Deutschland eine Möglichkeit haben, Google Analytics rechtssicher und datenschutzkonform nutzen zu können. Dabei wurde unter anderem beschlossen, dass neben der Anonymisierung der IP-Adresse auch der Vertrag zur Auftragsdatenverarbeitung nach § 11 BDSG schriftlich mit Google abgeschlossen werden muss. Grund dafür ist, dass nach Ansicht von Aufsichtsbehörden der Webseitenbetreiber als Auftraggeber und Google als Auftragnehmer agieren. (Quelle: http://www.datenschutzbeauftragter-info.de)
Einen von Google und Datenschutzbeauftragten entwickelten Mustervertrag können Sie unter dieser URL: https://static.googleusercontent.com/media/www.google.de/de/de/analytics/terms/de.pdf herunterladen und unterschrieben an Google schicken.
Ich hoffe, damit konnte ich Ihre Frage beantworten.
Mit besten grüßen
Bettina Wille
Hallo, ich betreibe eine Webseite, nutze aber Google Analytics nicht. Jedoch der eine oder andere Drittanbieter wie bspw. Vimeo. Muss ich dennoch einen Opt-Out (habe ja eigentlich keine UA-Nummer) oder reicht der Verweis auf den Drittanbieter??
Hallo Sigi,
das Opt-Out-Verfahren, wie wir es hier beschrieben haben, gilt nur für Google Analytics. Da Drittanbieter-Cookies auf Ihrer Webseite vorhanden sind, sollte aber auch hier ein Opt-Out-Verfahren verwendet werden. Da mit der neuen DSGVO das Thema nochmal neu aufgestellt wird, sollte am besten gleich ein allgemeines Opt-In-Verfahren verwendet werden.
Lieben Gruß,
Toni
Hallo, danke für den ausführlichen Bericht. Ich schließe folglich, dass das die Implementierung des Opt-Out Cookies nicht zwangsläufig vorgenommen werden muss, wenn der Link zum Google Analytics Add-on vorhanden ist. Oder?
Hallo Carolin,
um Google Analytics datenkonform einzupflegen müssen beide Varianten vorgenommen werden. Nur so keine eine Einhaltung des derzeitigen EU-Datenschutzes gewährleistet werden, da das Add-on nur auf Desktop verfügbar ist und auf Mobile-Geräte nicht verwendet werden kann.
Lieben Gruß,
Toni
Vielen Dank für die Anleitung!
Obwohl der Javascript code jetzt im header steht, lässt WordPress den link „href=”javascript:gaOptout()”“ nicht zu. Er wird rot markiert und verschwindet, sobald ich „Update“ drücke. (Ebenso falls ich
Erfassung von Daten von Google Analytics für diese Webseite deaktivieren
im Text-Editor setze, verschwindet der code und nur der Text bleibt stehen.
Gibt es einen alternativen Code, den ich setzen könnte?
Danke!
Hallo Carolin,
in dem Fall wird die Ausführung von JavaScript in deinem Editor oder deinem Tool zur Seitenerstellung, z.B. Visual Composer o.ä., unterdrückt. Das ist eine gängige Praxis, um die Sicherheit in einem CMS zu erhöhen. Für WordPress gibt es aber Plugins, die diese Funktionalität nachträglich einbauen. Da ich nicht weiß, welche Tools du nutzt, empfehle ich dir, einfach mal nach „WordPress Javascript Editor“ oder ähnlichen Begriffen zu googeln, da sollten dann Suchergebnisse für dich dabei sein.
Ich hoffe ich konnte dir helfen.
VG
Thorsten
Hallo, in der Verlinkung zum Artikel von eRecht24 hat sich ein kleiner Fehler versteckt, die URL startet mit httpss:// anstatt https:// und führt damit zu einer leeren Seite!
Viele Grüße
Philipp
Hi Philipp,
super, vielen Dank! Haben wir angepasst.
VG
Thorsten
Hallo,
erstmal vielen Dank für den Artikel!
Muss ich für jede meiner Website auf der ich Analytics benutze einen Vertrag mit Google abschließen?
Viele Grüße
Frank
Hallo Frank,
mit der neuen Datenschutz Grundverordnung kannst du diese Einstellung seit dem 25.05.2018 in deinem Google Analytics Account auf Konto-Ebene vornehmen. Logge dich hierfür in Google Analytics ein und wechsel zu einer Datenansicht. Dort klickst du in der linken Spalte auf den untersten Punkt „Verwaltung“ und gelangst so in den Einstellungsbereich für dein Google Analytics. In der linken Spalte klickst du auf „Kontoeinstellungen“ und kannst dann dort den Vertrag für dein Konto abschließen.
Ich hoffe das hilft dir.
VG
Thorsten
Hallo Bettina,
Danke für die hilfreichen Informationen. Ich wollte allerdings schauen, wie Ihr selbst auf eurer Datenschutz-Unterseite den Code eingesetzt habt. Ich stelle gerade fest. Ihr habt den Code nicht. Habt Ihr evtl. eine andere Alternative verwendet? Oder den Code einfach aktualisiert. (Dieser Artikel ist 2 Jahre alt).
Im Voraus Danke für die Rückmeldung.
Grüße aus Bonn
Marcelo Cox
Hallo Marcelo,
meinst du den Code für das Opt-Out Cookie? Der ist bei uns eingebaut, ich habe es gerade noch mal überprüft. Wenn du im Quellcode im
Bereich guckst, wirst du einen Kommentar sehen, der wie folgt lautet: „Start Google Analytics Opt-Out Cookie Validierung“. Hinter diesem beginnt das Code-Schnipsel.VG
Thorsten
Danke, funzt tlw. gut. Musste den Link aber irgendwie anpassen damit er in nem WP Shortcode funktioniert. Und Dein Code snippet musste ich aus deinem Quelltext kopieren, da Du ihn nur als Bild eingebaut hast. Dennoch Danke für den Hinweis. So ist mir das viel lieber als mit nem Plugin!
Hallo und vielen Dank für den Post. Ich habe die Anleitung zum Einbau des OptOut gAnalytcs Cookies befolgt, bekomme aber nun in der Console folgende Fehlermeldung:
Uncaught TypeError: document.cookie.indexof is not a function at
in Bezug auf folgenden script Teil:
.indexof(disablestr + ‚=true‘) > -1) {
Hallo Edi,
das ist etwas schwieriger, weil es diverse Gründe haben kann. Zum Beispiel könnte deine Webseite mehrere jQuery-Versionen nutzen oder du hast einen Rechtschreibfehler im Skript o.ä. Ich würde zunächst auf letzteres tippen, da das „disablestr“ wie du es auf deiner Seite hast, als „disableStr“ ausgegeben werden muss. Du kannst mir aber auch sehr gerne die URL deiner Webseite geben und ich gucke mal nach (allerdings natürlich ohne Garantie). Schreibe einfach an info@www.internetwarriors.de, ich habe schon in die Wege geleitet, dass die Nachricht dann zu mir kommt.
Viele Grüße
Thorsten