Analytics Datenschutz

Google-Analytics-KeyAls Webseitenbetreiber interessiere ich mich dafür, wer meine Webseite besucht, wie er sich auf der Webseite verhält, über welche Suchbegriffe er mich gefunden hat und mit welcher Technologie er auf meine Webseite zugreift. Anhand dieser Informationen kann ich meine Webseite optimieren, um mehr Leser zu bekommen oder mehr Produkte zu verkaufen. Dabei die Einhaltung des Datenschutzes zu gewährleisten ist jedoch nicht ganz trivial.

Als prominenteste Software ist sicherlich Google Analytics (GA) zu nennen. Durch seinen Funktionsumfang und  die kostenfreie Verwendung hat Google Analytics einen Marktanteil von 82% (GoogleWatchBlog)

Doch bei der Verwendung von Google Analytics werden Besucherdaten an einen Google Server in den USA übertragen. Das ist aus Datenschutz Sicht äußerst kritisch, da Google für seinen Datenhunger bekannt ist und die USA im Thema Datenschutz auf einem Level mit China und Rußland liegt, gibt es hier gleich zwei Argumente gegen Analytics, zumal es mitlerweile auch Datenschutzkonforme Tools wie z.B. Piwik gibt.

Eine Beschreibung aller Informationen die an Google Analytics übergeben werden können finden Sie hier.

Trotzdem möchte ich Ihnen an dieser Stelle eine Möglichkeit aufzeigen Google Analytics Datenschutz konform einzusetzen. Hierfür haben sich die Bundes- und Landesdatenschutzbeauftragten (Düsseldorfer Kreis) mit Googles Chefentwicklern und Datenschützern zusammengesetzt und bis November 2009 ein Konzept entwickelt welches erlaubt, Google Analytics einzusetzen ohne gegen das deutsche Datenschutzrecht zu verstoßen. Hierzu nennt der Düsseldorfer Kreis 6 Punkte des TMG die besonders zu beachten sind:

  1. Möglichkeit zum Widerspruch [§15(3), TMG]
  2. Pseudonymisierung/Löschung der Nutzerdaten [§13(4)6, TMG]
  3. Hinweis in der Datenschutzerklärung [§15(3), TMG]
  4. Notwendigkeit bei Erhebung personenbezogener Daten [§15(1), TMG]
  5. Anonymisierung der IP-Adresse [TMG / BDSG]
  6. Vertrag zur Auftragsdatenverarbeitung (Nachsatz) [§11, BDSG]

Zu1: Möglichkeit zum Widerspruch

Um der Datenerfassung von Google Analytics zu widersprechen hat Google ein Browserplugin für die Webbrowser Internet Explorer, Chrome, Firefox, Safari und Opera erstellt, welches die Datenerhebung technisch unterbindet.

Zu2: Pseudonymisierung/Löschung der Nutzerdaten

Google Analytics erhebt in der Regel keine Namen, daher ist eine Pseudonymisierung nicht notwendig. Auf die Anonymisierung der IP-Adresse wird in Punkt 5 eingegangen.

Zu3: Hinweis in der Datenschutzerklärung

Bis vor kurzem gab es eine Textvorlage von Google welche in die Datenschutzerklärung übernommen werden konnte. Da Google diese mittlerweile entfernt hat, stelle ich Ihnen diese hier zur Verfügung:

Diese Website benutzt Google Analytics, einen Webanalysedienst der Google Inc. („Google“). Google Analytics verwendet sog. „Cookies“, Textdateien, die auf Ihrem Computer gespeichert werden und die eine Analyse der Benutzung der Website durch Sie ermöglichen. Die durch den Cookie erzeugten Informationen über Ihre Benutzung dieser Website werden in der Regel an einen Server von Google in den USA übertragen und dort gespeichert. Im Falle der Aktivierung der IP-Anonymisierung auf dieser Webseite, wird Ihre IP-Adresse von Google jedoch innerhalb von Mitgliedstaaten der Europäischen Union oder in anderen Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum zuvor gekürzt. Nur in Ausnahmefällen wird die volle IP-Adresse an einen Server von Google in den USA übertragen und dort gekürzt. Im Auftrag des Betreibers dieser Website wird Google diese Informationen benutzen, um Ihre Nutzung der Website auszuwerten, um Reports über die Websiteaktivitäten zusammenzustellen und um weitere mit der Websitenutzung und der Internetnutzung verbundene Dienstleistungen gegenüber dem Websitebetreiber zu erbringen. Die im Rahmen von Google Analytics von Ihrem Browser übermittelte IP-Adresse wird nicht mit anderen Daten von Google zusammengeführt. Sie können die Speicherung der Cookies durch eine entsprechende Einstellung Ihrer Browser-Software verhindern; wir weisen Sie jedoch darauf hin, dass Sie in diesem Fall gegebenenfalls nicht sämtliche Funktionen dieser Website vollumfänglich werden nutzen können. Sie können darüber hinaus die Erfassung der durch das Cookie erzeugten und auf Ihre Nutzung der Website bezogenen Daten (inkl. Ihrer IP-Adresse) an Google sowie die Verarbeitung dieser Daten durch Google verhindern, indem sie das unter dem folgenden Link (http://tools.google.com/dlpage/gaoptout?hl=de) verfügbare Browser-Plugin herunterladen und installieren.

Zu4: Notwendigkeit bei Erhebung personenbezogener Daten

Für die Ausführung des Google Analytics Codes werden – in der Regel – außer der IP-Adresse keine personenbezogenen Daten benötigt und auch nicht erhoben.

Zu5: Anonymisierung der IP-Adresse

Um Google Analytics zu verwenden müssen Sie in den Quelltext Ihrer Homepage einen Link auf eine JavaScript Datei (ga.js bei Google Analytics und analytics.js bei Universal Analytics) schreiben, welche auf den Servern von Google hinterlegt ist. Jedes mal wenn jemand Ihre Webseite aufruft, erfasst die Java-Script Datei, die von Google Analytics benötigten Daten (Unter anderem die IP-Adresse des Besuchers). Da ich anhand dieser IP-Adresse den Besucher eindeutig identifizieren kann, gilt sie als personenbezogen.

Da diese Verarbeitung von den deutschen Datenschützern korrekterweise untersagt wurde, hat Google reagiert und eine Option zur IP-Anonymisierung eingeführt. Die Anonymisierung erfolgt über den Aufruf von anonymizeIP. Hierbei wird das letzte Oktet der IP-Adresse maskiert um eine eindeutige Zuordnung zu verhindern:

Um die IP Anonymisierung zu aktivieren gibt es für die einzelnen Versionen von Analytics unterschiedliche Vorgehensweisen:

Zu5.1 Für Universal Analytics (analytics.js)

Hinzufügen der Zeile: ga(’set‘, ‚anonymizeIp‘, true);

<script>
  (function(i,s,o,g,r,a,m){i['GoogleAnalyticsObject']=r;i[r]=i[r]||function(){
  (i[r].q=i[r].q||[]).push(arguments)},i[r].l=1*new Date();a=s.createElement(o),
  m=s.getElementsByTagName(o)[0];a.async=1;a.src=g;m.parentNode.insertBefore(a,m)
  })(window,document,'script','//www.google-analytics.com/analytics.js','ga');

  ga('create', 'UA-40869962-1', 's4v3.de');
  ga('set', 'anonymizeIp', true);
  ga('send', 'pageview');

</script>
Zu5.2 Für Google Analytics (ga.js)

Hinzufügen der Zeile: _gaq.push([‚_gat._anonymizeIp‘]);

<script type=”text/javascript”>
var _gaq = _gaq || [];
 _gaq.push(['_setAccount', 'UA-40869962-1']);
 _gaq.push(['_gat._anonymizeIp']);
 _gaq.push(['_trackPageview']);
(function() {
 var ga = document.createElement(‘script’); ga.type = ‘text/javascript’; ga.async = true;
 ga.src = (‘https:’ == document.location.protocol ? ‘https://ssl’ : ‘http://www’) + ‘.google-analytics.com/ga.js’;
 var s = document.getElementsByTagName(‘script’)[0]; s.parentNode.insertBefore(ga, s);
 })();
</script>

Zu6: Vertrag zur Auftragsdatenverarbeitung (Nachsatz)

Da Sie als Webseitenbetreiber Google mit der Erstellung von Nutzerprofilen beauftragen, müssen Sie selbstverständlich auch einen Vertrag zur Auftragsdatenverarbeitung nach §11, BDSG erstellen. Hier hat Google freundlicherweise ->einen Vertrag<- für Sie vorbereitet, der nur angepasst und unterschrieben werden muss. Wichtig ist, dass Sie Ihren Google Analytics Account angeben müssen und dass Sie statt technische und organisatorische Maßnahmen vorzugeben, mit der Einsicht in den Prüfbericht eines unabhängigen Wirtschaftsprüfers einverstanden sind (Vertragsabschnitt 5).

1 Kommentar zu „Analytics Datenschutz

  1. Vielen Dank für diesen sehr informativen Beitrag. Im Gegensatz zu vielen anderen Blogs ist diese nicht ganz unkomplizierte Thematik sehr ansprechend und verständlich aufbereitet. Insbesondere der link zu dem Vertrag sowie die Datenschutzerklärung bieten echten Mehrwert. Meiner Erfahrung nach ist das Wissen um die datenschutzkonforme Verwendung von Google Analytics unter den usern noch ausbaufähig. Im Hinblick auf die aktuelle Datenschutzproblematik (Presse und TV) steigt vielleicht die Zahl derer, die die Notwendigkeit eines Datenchutztes, der diesen Namen auch verdient, erkennen etwas an. Auch im Bereich Social Media, speziell bei Facebook sollten die user dazu übergehen, den Datenschutz etwas ernster zu nehmen http://werbung-adkunden.de/

Schreibe einen Kommentar