DatenschutzSicherheitWordpress

Google Analytics und die DSGVO

Zuletzt aktualisiert am 20. Januar 2020 von Claus Nehring

Einleitung

In diesem Artikel möchte ich Ihnen ein paar Tipps vermitteln, wie Sie die (wirklich sehr hilfreichen) Statistik-Funktionen von Google Analytics auch in Zeiten der Datenschutz-Grundverordnung (DSGVO) verwenden können.

Und da ich hier auf rechtlich relevante Punkte eingehe, ist an dieser Stelle ein Haftungsausschuss angebracht. Alle in diesem Artikel gemachten Angaben geben meine persönlichen Ansichten wieder. Ich habe mich zwar in das Thema DSGVO gründlich eingelesen, aber ich schreibe und recherchiere Artikel über Tech-Themen und bin kein Anwalt (wobei auch die sich bei diesem Thema höchst uneins sind). Deswegen stellt dieser Artikel keine rechtliche Beratung dar. Wenn Sie sich unsicher sind, sollten Sie sich im Zweifelsfall von einem auf dieses Gebiet spezialisierten Anwalt beraten lassen.

Dieser Artikel geht in den folgenden Absätzen zunächst einmal auf die gültige Rechtslage ein und gibt dann im zweiten Teil Tipps zur eigentlichen Konfiguration von Google Analytics auf einer WordPress-Website.

Was ist „Tracking“ im Sinne der DSGVO

Die deutsche „Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder“ (DSK) hat im März 2019 mit der „Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien“ klargestellt, welche Arten des Web-Trackings ihrer Ansicht nach einwilligungsbedürftig sind und schafft damit zumindest in einigen Punkten etwas mehr Klarheit (wenn auch leider noch immer keine echte Rechtssicherheit).

Zunächst einmal definiert die DSK den Begriff des Tracking wie folgt: „Bei Tracking handelt es sich um Datenverarbeitungen zur – in der Regel website-übergreifenden – Nachverfolgung des individuellen Verhaltens von Nutzern.“.

Und mit Hilfe dieser Definition lassen sich zwei Gruppen von Tracking unterscheiden.

Die Erfassung des Nutzerverhaltens eines Individuums

In diesen Bereich fallen alle Tracking-Verfahren, die regelmäßig das Verhalten eines bestimmten Individuums erfassen. Davon sind mit Sicherheit alle zur Werbung genutzten Tracking-Verfahren (meistens über sog. Tracking-Pixel, beispielsweise bei „Facebook Ads“ oder „Google AdSense“) betroffen.

Ebenfalls betroffen sind alle anderen Tracking-Verfahren, bei denen mithilfe einer eindeutigen Nutzer-ID ein Nutzerprofil erstellt wird. Und zwar unabhängig davon, ob das nun website-übergreifend geschieht oder nicht. Womit auch jeder Webshop betroffen sein dürfte, der mithilfe der Anmeldedaten das Nutzerverhalten aufzeichnet und die dadurch erstellten Nutzerprofile für personalisierte Werbung nutzt.

Die allgemeine statistische Erfassung der Website-Nutzung

Anders sieht es hingegen aus, wenn über das Tracking nur die allgemeine Nutzung der Website in anonymisierter Form erfasst wird, beispielsweise zur Messung der Besucherzahlen, zur ungefähren Standortbestimmung mithilfe des ersten Teils der IP-Adresse, zum Missbrauchsschutz oder zur Messung von Abbruchquoten oder ähnlichem.

Hier liegt laut der Definition der DSK kein Tracking vor. Demnach ist eine Berufung auf das in der DSGVO definierte „berechtigte Interesse“ des Website-Betreibers (DSGVO, Artikel 6, Absatz 1, Punkt F) möglich.

Die Einwilligung des Benutzers zur Datenerfassung

Grundsätzlich gibt es für die Einwilligung des Benutzers zur Datenerfassung zwei verschiedene Arten.

Die Widerspruchslösung (Opt-Out)

Die Widerspruchslösung besagt, dass ein Tracking zunächst stattfinden darf und erst nach einem Widerspruch des Nutzers beendet werden muss. Dieses Verfahren wird auch als „Opt-Out-Verfahren“ bezeichnet.

Diese Lösung sollte dann anwendbar sein, wenn ausschließlich allgemeine und anonymisierte statistische Daten erfasst werden und ein „berechtigtes Interesse“ des Website-Betreibers an der Erfassung dieser Daten vorliegt.

Die Einwilligungslösung (Opt-In)

Die Einwilligungslösung besteht darin, dass ein Tracking erst dann stattfinden darf, wenn der Nutzer hierzu vorher explizit seine Genehmigung erteilt. Dieses Verfahren wird auch als „Opt-In-Verfahren“ bezeichnet.

Diese (erheblich kompliziertere) Lösung muss immer dann angewendet werden, wenn das Tracking der Erfassung eines Profils eines individuellen Nutzers dient, die Daten also nicht mehr ausschließlich anonymisiert und zu rein statistischen Zwecken erfasst werden.

Zusammenfassung

Dass für den Betrieb einer Website die Sammlung anonymisierter Daten zur Messung der Besucherzahlen und zum Nachvollziehen des Nutzerverhaltens auf der Website notwendig ist, wird allgemein als berechtigtes Interesse anerkannt. In diesen Fällen, und damit für die meisten Websites, ist ein „Opt-Out-Verfahren“ ausreichend. Erst wenn der Website-Betreiber über diese anonymisierte Erfassung hinausgeht, wird die Einholung der Einwilligung über ein „Opt-In-Verfahren“ notwendig.

Die Umsetzung mit Google Analytics

Grundsätzlich lassen sich die Möglichkeiten von Google Analytics auch ganz hervorragend im Rahmen der Datenschutz-Grundverordnung nutzen. Zumindest dann, wenn Sie auf die Erstellung von Profilen für individuelle Benutzer verzichten möchten (und zwar durch Sie selbst und durch Google).

Und Sie können Google Analytics auch durchaus auf ein (nahezu) rein statistisches Werkzeug reduzieren. Sie müssen dazu lediglich auf ein paar Möglichkeiten verzichten, die Ihnen Google so anbietet, und eine grundsätzliche Entscheidung treffen.

Denn in Google Analytics lässt sich durchaus festlegen, dass IP-Adressen anonymisiert werden und bestimmte Daten (zum Remarketing, zu den Werbeberichten und vor allem zur User-ID) nicht erfasst werden.

Wenn Sie also Google Analytics nur zur statistischen Erfassung nutzen wollen (und dafür ist es wohl das beste verfügbare System) und ausschließen möchten, dass Google (oder Sie selbst) Ihren Website-Nutzern über gewisse Grenzen hinaus „nachspioniert“, dann zeigen Ihnen die folgenden Absätze, wie Sie das hinbekommen.

Sollten Sie sich weitergehende Ergebnisse und die Einbindung von AdSense und/oder AdWords in Ihre Website wünschen, dann sollten Sie vorsichtshalber vorher einen darauf spezialisierten Anwalt kontaktieren. Denn die Einbindung dieser Tools und die Erfassung benutzerspezifischer Daten ist und bleibt datenschutzrechtlich sehr problematisch und stellt den Website-Betreiber vor erhebliche juristische Hürden. Das gilt übrigens auch für vergleichbare Werbeprogramme anderer Anbieter.

Deswegen befasst sich dieser Artikel im Folgenden mit der DSGVO-konformen Einbindung von Google Analytics mit seinen Statistikfunktionen in eine Website, das Thema Werbung mit AdSense (oder ähnlichen Produkten anderer Anbieter) klammere ich hier bewusst aus.

Voraussetzungen für die weiteren Schritte

Dieser Artikel setzt voraus, dass Sie über ein bestehendes Konto in Google Analytics verfügen und dass Ihre Website bereits als Property angelegt wurde. Außerdem sollten Sie eine grundsätzliche Vorstellung davon haben, wie Sie auf Ihr Analytics-Konto zugreifen und Änderungen vornehmen können.

Sollte das nicht der Fall sein, sollten Sie sich vorab ein Analytics-Konto anlegen und sich ein wenig mit der grundsätzlichen Bedienung vertraut machen. Hilfe bei der Erstellung eines Analytics-Kontos und zu den grundsätzlichen Funktionen in Analytics finden Sie hier auf den Google-Hilfeseiten, weitere Information zum Einrichten einer Property finden Sie hier.

Die Konfiguration Ihres Google-Analytics-Kontos

Melden Sie sich jetzt zunächst einmal in Google Analytics an, wählen Sie oben links das gewünschte Property (Ihre Website) aus und klicken Sie danach auf die Schaltfläche für die Einstellungen unten links auf der Seite.

Als Resultat sollten Sie jetzt ein Fenster sehen, dass ungefähr so aussieht.

Die Kontoeinstellungen

Klicken Sie jetzt zunächst einmal auf den Link „Kontoeinstellungen“ unterhalb Ihres Kontonamens und scrollen Sie im sich dann öffnenden Fenster hinunter, bis Sie zu den „Einstellungen für die Datenfreigabe“ kommen. Ihr Bildschirm sollte jetzt ungefähr so aussehen.

Hier sollten Sie jetzt die Häkchen bei allen Punkten entfernen.

  • Google-Produkte und –Dienste
  • Benchmarking
  • Technischer Support
  • Account Specialists
  • Geben Sie allen Google-Verkaufsspezialisten Zugriff auf Ihre Daten und Ihr Konto, um umfassende Analysen, Einblicke und Empfehlungen für Google-Produkte zu erhalten.

Vertrag zur Auftragsverarbeitung

Da Sie als Website-Betreiber als Auftraggeber und Google als Auftragnehmer fungieren, sollten Sie jetzt noch den „Vertrag zur Auftragsverarbeitung“ abschließen, falls dies nicht bereits geschehen ist.

Scrollen Sie dazu noch ein wenig weiter hinunter, bis Sie zu dem Punkt „Zusatz zur Datenverarbeitung“ kommen.

Wenn Sie diesen Punkt bereits erledigt haben, sehen Sie unterhalb der Erklärung eine Zeile mit dem Inhalt „Die Zustimmung für den Zusatz zur Datenverarbeitung für dieses Konto erfolgte am …………….“. In diesem Fall können Sie mit dem nächsten Schritt fortfahren.

Ansonsten klicken Sie auf die Schaltfläche „Zusatz anzeigen“ und bestätigen Sie den Vertrag zur Auftragsverarbeitung. Unter dem Link „Details zum Zusatz zur Datenverarbeitung verwalten“ können Sie dann noch Ihre Firmen- und/oder Kontaktangaben ausfüllen und alles mit einem Klick auf die Schaltfläche „Speichern“ bestätigen.

Nach dem Speichern der Informationen können Sie mit der Schaltfläche „Zurück“ wieder zum Hauptmenü zurückkehren.

Die Datenerfassungs-Einstellungen

Klicken Sie jetzt auf den Link „Tracking-Informationen“ in der Mitte des Bildschirms unterhalb der Property-Auswahl und wählen Sie aus dem sich öffnenden Untermenü den Punkt „Datenerfassung“. Scrollen Sie in dem sich öffnenden Bildschirm hinunter bis zum Punkt „Remarketing“. Ihr Bildschirm sollte jetzt ungefähr so aussehen.

Da Sie die Werbefunktionen von Google nicht nutzen möchten, sollten Sie unter den beiden Punkten „Remarketing“ und „Funktionen für Werbeberichte“ als Einstellung „Aus“ wählen.

Die Datenaufbewahrungs-Einstellungen

Nach dem Speichern der Einstellungen klicken Sie bitte im Menü auf der linken Seite auf den Punkt „Datenaufbewahrung“. Ihr Bildschirm sollte jetzt ungefähr so aussehen.

Wählen Sie hier die folgenden Einstellungen aus:

  • Aufbewahrung von Nutzer- und Ereignisdaten: 14 Monate
  • Bei neuer Aktivität zurücksetzen: EIN

Die Einstellungen zur User-ID

Nach dem Speichern der Einstellungen klicken Sie bitte im Menü auf der linken Seite auf den Punkt „User-ID“. Ihr Bildschirm sollte jetzt ungefähr so aussehen.

Wenn Sie den oben gezeigten Bildschirm sehen, dann wurden die Einstellungen zur User-ID bisher nicht geändert. Und damit ist aus datenschutzrechtlicher Sicht alles so, wie es sein sollte.

Falls Sie einen Bildschirm mit anderen Informationen sehen, dann ist oder war die Benutzer-Zuordnung in diesem Analytics-Property bereits einmal aktiviert. Sie können die Einstellung n diesem Falle ändern, indem Sie die Einstellung unter „Ich stimme der Richtlinie zur User ID zu.“ wieder zu „Aus“ ändern. Sie sollten in diesem Fall allerdings die Property in Analytics löschen und neu erstellen. Eine Anleitung zum Löschen einer Property finden Sie hier in der Google-Hilfe.

Und damit haben Sie jetzt Ihr Analytics-Konto so eingestellt, dass nur noch anonyme Daten erfasst werden. Wenden wir uns daher jetzt den nötigen Änderungen auf einer Website zu.

Die Konfiguration der Analytics-Skripte

Herzlichen Glückwunsch! Sie haben gerade Google angewiesen, sich zurückzuziehen und die Privatsphäre Ihrer Website-Besucher zu respektieren. Damit sind Sie der Konformität zur Datenschutz-Grundverordnung schon ein erhebliches Stück nähergekommen.

Jetzt sind nur noch ein paar Änderungen auf der Website selbst notwendig, um Google Analytics völlig regelkonform einbinden zu können. Das können Sie natürlich manuell erledigen, dazu finden Sie in den nächsten Absätzen mehr.

Als Anwender von WordPress sollten Sie allerdings das ziemlich geniale Plug-In „CAOS“ (das steht für „Complete Analytics Optimization Suite“) des niederländischen Entwicklers Daan van den Bergh verwenden, auf das ich weiter unten getrennt eingehe.

Vorher möchte ich allerdings noch kurz auf die verschiedenen Möglichkeiten der Implementierung von Analytics auf einer Website zu sprechen kommen.

ga.js, analytics.js oder gtag.js?

Grundsätzlich lässt sich Googlee Analytics auf drei verschiedene Weisen auf einer Website einbinden. Zu diesem Zweck gibt es drei verschiedene Skript-Dateien namens ga.js, analytics.js und gtag.js, die sich durch ihren Funktionsumfang unterscheiden.

Die veraltete Lösung : ga.js

Das Skript ist seit 2014 überholt und wird von Google auch nicht weiter gepflegt, es existiert nur noch aus Kompatibilitäts-Gründen. Alle neueren Funktionen von Google Analytics werden nicht mehr unterstützt.

Da es jedoch von älteren Websites nach wie vor benutzt wird, funktioniert es auch weiterhin. Allerdings gibt es keine Gründe, die für die Nutzung sprechen würden, die neueren Skripte erledigen alles besser und schneller.

Aber selbst das alte ga.js lässt sich auch mit anonymisierten IP-Adressen nutzen. Dazu ist eine Code-Änderung im Skript erforderlich, die weiter unten beschrieben wird.

Die empfohlene Lösung : analytics.js

Das Skript analytics.js unterstützt den gesamten Funktionsumfang von Google Analytics und wird von Google aktiv gepflegt. Wenn Sie die Einbindung weiterer Google-Dienste nicht benötigen, dann sollte für Sie die Verwendung von analytics.js der perfekte Weg zur Verbindung mit Google Analytics sein.

Wie Sie das Skript analytics.js so umbauen können, dass es die Anonymisierung von IP-Adressen unterstützt, erfahren Sie etwas weiter unten.

Die komplette Lösung : gtag.js

Wenn Sie Analytics mit dem in der Analytics-Konsole zur Verfügung gestellten Tracking-Code verwenden, dann verwenden Sie wahrscheinlich gtag.js. Das wiederum macht eigentlich nur dann Sinn, wenn Sie neben den reinen Statistikfunktionen von Google Analytics noch weitere Google-Dienste, hauptsächlich AdWords, nutzen möchten. Und aufgrund des derzeitigen Fehlens verlässlicher Richtlinien würde ich aus datenschutzrechtlichen Gründen vom Einsatz eher abraten.

Außerdem sollten Sie wissen, dass es sich bei gtag.js um eine sogenannte Wrapper-Bibliothek handelt, das Skript lädt also andere Skripte automatisch nach. Für die statistischen Funktioen von Google Analytics wird weiterhin das Skript analytics.js genutzt, für das Tracking von AdWords wird das Skript conversion.js aufgerufen.

Wenn Sie also nur die statistischen Funktionen von Google Analytics nutzen möchten, dann fügen Sie Ihrer Website durch die Verwendung von gtag.js lediglich einige unnötige zusätzlich Anfragen hinzu.

Zur Verdeutlichung: Die Dateigröße von gtag.js beträgt ungefähr 60 KB, dazu kommt analytics.js mit einer Größe von ungefähr 30 KB. Wenn Sie also nur Google Analytics und nichts anderes verwenden möchten, fügen Sie also 90 KB statt 30 KB Code und eine zusätzliche Anfrage hinzu, um exakt denselben Funktionsumfang zu erhalten. Mit den bekannten Auswirkungen auf das Pagespeed-Ranking Ihrer Website.

Aber natürlich können Sie auch gtag.js mit anonymisierten IP-Adressen verwenden. Die notwendige Code-Änderung finden Sie weiter unten.

Die manuelle Anonymisierung der IP-Adresse

Um Google Analytics DSGVO-konform einsetzen zu können, benötigen Sie eine Anonymisierung der übertragenen IP-Adresse. Dabei wird bei den IP-Adressen vom Typ IPv4 das letzte Oktett (die letzten drei Ziffern) und bei IP-Adressen vom Typ IPv6 die letzten 80 Bits entfernt. Dadurch ist die Lokalisierung der IP-Adresse zwar weiterhin möglich, die Identifizierung eines individuellen Nutzers im Sinne der DSGVO allerdings nicht mehr.

Weiter oben haben wir gelernt, dass es drei verschiedene Skripts zum Einbinden von Google Analytics in eine Website gibt. Um Google mitzuteilen, dass die IP-Adressen nur anonymisiert verarbeitet werden sollen, müssen diese Skripte leicht geändert werden. Und diese Änderung müssen Sie manuell vornehmen, wenn Sie den Tracking-Code von Google Analytics manuell in Ihre Website eingebunden haben.

Hier finden Sie hier eine Anleitung zur Änderung des Tracking-Skripts für die drei Varianten.

ga.js

Wenn Sie ga.js verwenden, dann sollte Ihr Tracking-Code ungefähr so aussehen:

var _gaq = _gaq || [];
_gaq.push([‚_setAccount‘, ‚UA-XXXXXXXX-X‘]);
_gaq.push([‚_trackPageview‘]);
(function() {
var ga = document.createElement(’script‘); ga.type = ‚text/javascript‘; ga.async = true;
ga.src = (‚https:‘ == document.location.protocol ? ‚https://ssl‘ : ‚http://www‘) + ‚.google-analytics.com/ga.js‘;
var s = document.getElementsByTagName(’script‘)[0]; s.parentNode.insertBefore(ga, s);
})();

Fügen Sie einfach nach der zweiten Zeile wie folgt eine zusätzliche Zeile ein, um künfig IP-Adressen anonymisiert verarbeiten zu lassen:

var _gaq = _gaq || [];
_gaq.push([‚_setAccount‘, ‚UA-XXXXXXXX-X‘]);
_gaq.push ([‚_gat._anonymizeIp‘]);
_gaq.push([‚_trackPageview‘]);
(function() {
var ga = document.createElement(’script‘); ga.type = ‚text/javascript‘; ga.async = true;
ga.src = (‚https:‘ == document.location.protocol ? ‚https://ssl‘ : ‚http://www‘) + ‚.google-analytics.com/ga.js‘;
var s = document.getElementsByTagName(’script‘)[0]; s.parentNode.insertBefore(ga, s);
})();

Bitte beachten Sie, dass sich diese Änderung nur auf die nach der Änderung erfassten Daten auswirkt. Falls Sie vorher bereits Google Analytics genutzt haben und nur anonymisierte Daten in Ihrem Konto speichern möchten, sollten Sie die vorherige Löschung des existierenden Analytics-Kontos und die Erstellung eines neuen Kontos in Erwägung ziehen. Allerdings stellt auch diese Kontenlöschung nicht unbedingt sicher, dass die gesammelten Daten nicht auch weiterhin in den Google-Datenbanken gespeichert bleiben.

analytics.js

Wenn Sie analytics.js einsetzen, sollte Ihr Tracking-Code ungefähr so aussehen:

(function(i,s,o,g,r,a,m){i[‚GoogleAnalyticsObject‘]=r;i[r]=i[r]||function(){
(i[r].q=i[r].q||[]).push(arguments)},i[r].l=1*new Date();a=s.createElement(o),
m=s.getElementsByTagName(o)[0];a.async=1;a.src=g;m.parentNode.insertBefore(a,m)
})(window,document,’script‘,’https://www.google-analytics.com/analytics.js‘,’ga‘);
ga(‚create‘, ‚UA-XXXXXXXX-X‘, ‚auto‘);
ga(‚require‘, ‚displayfeatures‘);
ga(‚require‘, ‚linkid‘, ‚linkid.js‘);
ga(’send‘, ‚pageview‘);

Fügen Sie einfach vor der letzten Zeile wie folgt eine zusätzliche Zeile ein, um künfig IP-Adressen anonymisiert verarbeiten zu lassen:

(function(i,s,o,g,r,a,m){i[‚GoogleAnalyticsObject‘]=r;i[r]=i[r]||function(){
(i[r].q=i[r].q||[]).push(arguments)},i[r].l=1*new Date();a=s.createElement(o),
m=s.getElementsByTagName(o)[0];a.async=1;a.src=g;m.parentNode.insertBefore(a,m)
})(window,document,’script‘,’https://www.google-analytics.com/analytics.js‘,’ga‘);
ga(‚create‘, ‚UA-XXXXXXXX-X‘, ‚auto‘);
ga(‚require‘, ‚displayfeatures‘);
ga(‚require‘, ‚linkid‘, ‚linkid.js‘);
ga(’set‘, ‚anonymizeIp‘, true);
ga(’send‘, ‚pageview‘);

Bitte beachten Sie, dass sich diese Änderung nur auf die nach der Änderung erfassten Daten auswirkt. Falls Sie vorher bereits Google Analytics genutzt haben und nur anonymisierte Daten in Ihrem Konto speichern möchten, sollten Sie die vorherige Löschung des existierenden Analytics-Kontos und die Erstellung eines neuen Kontos in Erwägung ziehen. Allerdings stellt auch diese Kontenlöschung nicht unbedingt sicher, dass die gesammelten Daten nicht auch weiterhin in den Google-Datenbanken gespeichert bleiben.

gtag.js

Wenn Sie das Skript gtag.js nutzen, dann sollte Ihr Tracking-Code ungefähr so aussehen :

<!– Global site tag (gtag.js) – Google Analytics –>
<script async src=“https://www.googletagmanager.com/gtag/js?id=UA-XXXXXXXX-X“></script>
<script>
  window.dataLayer = window.dataLayer || [];
  function gtag(){dataLayer.push(arguments);}
  gtag(‚js‘, new Date());
  gtag(‚config‘, ‚UA-XXXXXXXX-X
);
</script>

Um Google anzuweisen, die IP-Adressee künftig nur noch anonymisiert zu verwenden, ändern Sie einfach die vorletzte Zeile dieses Snippets

gtag(‚config‘, ‚UA-XXXXXXXX-XX‘);

wie folgt ab :

 gtag(‚config‘, ‚UA-XXXXXXXX-XX‘ , {‚anonymize_ip‘: true});

Bitte beachten Sie, dass sich diese Änderung nur auf die nach der Änderung erfassten Daten auswirkt. Falls Sie vorher bereits Google Analytics genutzt haben und nur anonymisierte Daten in Ihrem Konto speichern möchten, sollten Sie die vorherige Löschung des existierenden Analytics-Kontos und die Erstellung eines neuen Kontos in Erwägung ziehen. Allerdings stellt auch diese Kontenlöschung nicht unbedingt sicher, dass die gesammelten Daten nicht auch weiterhin in den Google-Datenbanken gespeichert bleiben.

Und damit wäre dann auch die letzte Hürde beseitigt und Ihre Website benutzt ab sofort Google Analytics in einer datenschutzrechtlich unbedenklichen Form.

CAOS – Die bequeme und schnelle Variante für WordPress

Falls Sie WordPress verwenden, stellt Ihnen das Plug-In „CAOS“ (das steht für „Complete Analytics Optimization Suite“) des niederländischen Entwicklers Daan van den Bergh eine einfache und sehr sinnvolle Alternative zu dieser manuellen Änderung zur Verfügung.

Das Plug-In kann Ihnen nämlich nicht nur die Arbeit der manuellen Anpassung der Skripte abnehmen, sondern sorgt auch gleich noch für das automatische Hinzufügen des Tracking-Codes zu Ihrer Site (in der Kopf- oder Fußzeile) und für die lokale Speicherung der JavaScript-Dateien auf Ihrem Server. Und das wiederum sorgt dafür, dass Ihre Website ein ganzes Stückchen schneller läuft (was wiederum Google gerne sieht).

Und es kann (für den Fall, dass Sie eine vollständige Opt-In- oder Opt-Out-Lösung bevorzugen) auch noch auf bestimmte Cookies reagieren und das Laden der Analytics-Skripte abhängig von einem Cookie entweder ausführen oder blockieren (dazu mehr weiter unten).

Ich würde Ihnen empfehlen, vor der Installation des Plug-Ins den Google-Tracking-Code vollständig von Ihrer Website zu entfernen.

Nach der Installation des Plug-Ins finden Sie in der Verwaltungsoberfläche von WordPress unter dem Menüpunkt „Einstellungen“ den zusätzlichen Punkt „Optimize Analytics“. Ein Klick auf diesen Menüpunkt zeigt Ihnen den folgenden Bildschirm.

Hier müssen Sie jetzt lediglich die folgenden Einstellungen vornehmen:

  1. Tragen Sie unter dem Punkt „Google Analytics Tracking ID“ Ihre Analytics-Tracking-ID ein (die finden Sie in der Property-Verwaltung von Analytics unter „Tracking-Informationen -> Tracking-Code“ in der Form „UA-XXXXXXXX-XX“)
  2. Klicken Sie das Auswahlfeld hinter „Anonymize IP?“ an
  3. Klicken Sie auf den Button „Änderungen speichern“

Und das war’s auch schon. Ab jetzt läuft Google Analytics auf Ihrer Website völlig konform zur Datenschutz-Grundverordnung und die dazugehörige Javaskript-Datei wird lokal von der Website geladen.

Wichtig: Wenn Sie die datenschutzrechtlich unbedenklichere Variante wählen möchten und nur die statistischen Funktionen von Google Analytics nutzen möchten, dann sollten Sie die Einstellung unter „Which files to download?“ unbedingt auf „analytics.js“ belassen. Die Unterschiede zwischen „analytics.js“ und „gtag.js“ finden Sie weiter oben.

Unter dem Menüpunkt „Allow tracking…“ könnten Sie übrigens auch dafür sorgen, dass das Laden der Analytics-Skripte von einem bestimmten Cookie abhängig gemacht wird. Damit lassen sich Opt-In- und Opt-Out-Lösungen umsetzen.

Die Datenschutzerklärung anpassen

Jetzt müssen Sie nur noch die Datenschutzerklärung auf Ihrer Website für die Nutzung von Google Analytics anpassen. Die vollständige Erklärung zu einer Datenschutzerklärung würde den Rahmen dieses Artikels sprengen, Sie finden aber im Internet finden Sie jede Menge Generatoren, die das für Sie ganz hervorragend erledigen können. Empfehlenswert ist beispielsweise der für Privatpersonen kostenlose und sehr umfangreiche Generator von e-recht24.de.

In jedem Fall sollte Ihre Datenschutzerklärung korrekt und vollständig über die Speicherung und Verarbeitung der Nutzer-Daten im Rahmen von Google Analytics hinweisen. Darüber hinaus sollte ein Hinweis darauf enthalten sein, dass die Funktion anonymizeIP genutzt wird und es sollte ein Hinweis die Widerspruchsmöglichkeit durch den Nutzer enthalten sein.

Sie können sich bei Bedarf auch gerne den entsprechenden Passus aus meiner Datenschutzerklärung kopieren und ihn auf Ihre Bedürfnisse anpassen.

Fazit

Auch nach einem aktuellen Urteil des Europäischen Gerichtshofes über die Anforderungen an eine Einwilligung beim Setzen von Cookies vom 1. Oktober 2019 (Rechtssache C-673/17) hat sich die rechtliche Situation nicht großartig geändert. Bis zur endgültigen Abklärung aller eventuell relevanten Fragen durch Gerichte wird vieles im Unklaren bleiben.

Trotzdem scheint es zumindest in Bezug auf statistische Daten immer klarer zu werden, dass eine anonymisierte Datenerfassung in Verbindung mit einer Opt-Out-Lösung (siehe oben) allen rechtlichen Ansprüchen genügen dürfte.

Bitte beachten Sie aber, dass die Umsetzung einer solchen Opt-Out-Lösung auch in technischer Hinsicht einwandfrei funktionieren muss. Sie sollten also durch Funktionstests sicherstellen, dass die von Ihnen gewählte Lösung im Falle eines Ablehnung durch den Benutzer auch tatsächlich keine Daten mehr an Google Analytics überträgt.

Außerdem sollten Sie wissen, dass dieser Artikel keine Rechtsberatung darstellt, sondern lediglich die Meinung des Autors wiedergibt. Gerade in diesem Bereich ist eine klare Abgrenzung aufgrund fehlender Gerichtsentscheidungen und unklarer Gesetzestexte sehr schwierig, selbst die Datenschutz-Beauftragten der Länder sind sich diesbezüglich nicht einig.

Als Website-Betreiber sind Sie einzig und allein für die Einhaltung der DSGVO verantwortlich und sollten sich im Zweifelsfall kompetent juristisch beraten lassen.

Claus Nehring

Ich bin freiberuflicher Autor, Journalist und Texter (aka "Schreiberling") aus Luxemburg. Als Informatiker und Statistiker habe ich jahrelange Erfahrung in der Visualisierung und Modellierung großer Datenmengen. Ich beschäftige mich seit mehr als 30 Jahren mit Infektionskrankheiten und publiziere Artikel zu diesem Thema, aus verschiedenen anderen Wissenschafts-Bereichen und aus dem Bereich Internet & Gesellschaft,

Ein Kommentar

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert


Durch das Abschicken des Kommentars werden die eingegebenen Daten in der Datenbank dieser Website gespeichert. Ausserdem speichern wir aus Sicherheitsgründen Ihre IP-Adresse für einen Zeitraum von 60 Tagen. Weitere Informationen zur Datenverarbeitung finden Sie in der Datenschutz-Erklärung.

Schaltfläche "Zurück zum Anfang"