DSGVOSicherheitWordpress

Google Analytics und die DSGVO

Einleitung

In diesem Artikel möchte ich Ihnen ein paar Tipps vermitteln, wie Sie die (wirklich sehr hilfreichen) Statistik-Funktionen von Google Analytics trotz Datenschutz-Grundverordnung (DSGVO) weiterhin verwenden können.

Und da ich hier in einigen Fällen auf rechtlich relevante Punkte eingehe, ist an dieser Stelle zunächst einmal ein Haftungsausschuss angebracht. Alle in diesem Artikel gemachten Angaben geben meine persönlichen Ansichten wieder. Ich habe mich zwar in das Thema DSGVO gründlich eingelesen, aber ich bin Webdesigner und kein Anwalt (und selbst die sind sich bei diesem Thema höchst uneins). Und deswegen stellt dieser Artikel auch keine rechtliche Beratung dar. Wenn Sie sich unsicher sind, sollten Sie sich Zweifelsfall von einem auf dieses Gebiet spezialisierten Anwalt beraten lassen.

Dieser Artikel geht in den folgenden Absätzen zunächst einmal auf die gültige Rechtslage ein und gibt dann im zweiten Teil Tipps zur eigentlichen Konfiguration von Google Analytics auf einer Wordpress-Website.

Was ist „Tracking“ im Sinne der DSGVO

Die deutsche „Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder“ (DSK) hat im März 2019 mit der „Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien“ klargestellt, welche Arten des Web-Trackings ihrer Ansicht nach einwilligungsbedürftig sind und schafft damit zumindest in einigen Punkten etwas mehr Klarheit (wenn auch leider noch immer keine echte Rechtssicherheit).

Zunächst einmal definiert die DSK den Begriff des Tracking wie folgt: „Bei Tracking handelt es sich um Datenverarbeitungen zur – in der Regel website-übergreifenden – Nachverfolgung des individuellen Verhaltens von Nutzern.“.

Und mit Hilfe dieser Definition lassen sich zwei Gruppen von Tracking unterscheiden.

Die Erfassung des Nutzerverhaltens eines Individuums

In diesen Bereich fallen ganz automatisch alle Tracking-Verfahren, die regelmäßig das Nutzerverhalten eines Individuums erfassen. Davon sind mit Sicherheit alle zur Werbung genutzten Tracking-Verfahren (meistens über sog. Tracking-Pixel, beispielsweise bei „Facebook Ads“ oder „Google AdSense“) betroffen.

Ebenfalls betroffen dürften sämtliche Tracking-verfahren sein, bei denen mithilfe einer eindeutigen Nutzer-ID ein Nutzerprofil erstellt wird. Und zwar unabhängig davon, ob das nun website-übergreifend geschieht oder nicht. Damit dürfte auch jeder Webshop betroffen sein, der mithilfe der Anmeldedaten das Nutzerverhalten aufzeichnet und die dadurch erstellten Nutzerprofile für personalisierte Werbung nutzt.

Die allgemeine statistische Erfassung der Website-Nutzung

Anders sieht es hingegen dann aus, wenn über das Tracking nur die allgemeine Nutzung der Website in anonymisierter Form erfasst wird, beispielsweise zur Messung der Besucherzahlen, zur ungefähren Standortbestimmung mithilfe des ersten Teils der IP-Adresse, zum Missbrauchsschutz oder zur Messung von Abbruchquoten oder ähnlichem.

Hier sollte kein Tracking im Sinne der Definition der DSK vorliegen und damit eine Berufung auf das in der DSGVO definierte „berechtigte Interesse“ des Website-Betreibers (DSGVO, Artikel 6, Absatz 1, Punkt F) möglich sein.

Die Einwilligung des Benutzers zur Datenerfassung

Grundsätzlich gibt es für die Einwilligung des Benutzers zur Datenerfassung zwei verschiedene Arten.

Die Widerspruchslösung

Die Widerspruchslösung besagt, dass ein Tracking zunächst stattfinden darf und erst nach einem Widerspruch des Nutzers beendet werden muss. Dieses Verfahren wird auch als „Opt-Out-Verfahren“ bezeichnet.

Diese Lösung sollte meiner Meinung nach dann anwendbar sein, wenn ausschließlich allgemeine und anonymisierte statistische Daten erfasst werden und ein „berechtigtes Interesse“ des Website-Betreibers an der Erfassung dieser Daten vorliegt.

Die Einwilligungslösung

Die Einwilligungslösung besteht darin, dass ein Tracking erst dann stattfinden darf, wenn der Nutzer hierzu vorher explizit seine Genehmigung erteilt. Dieses Verfahren wird auch als „Opt-In-Verfahren“ bezeichnet.

Diese (erheblich kompliziertere) Lösung muss immer dann angewendet werden, wenn das Tracking der Erfassung eines Profils eines individuellen Nutzers dient, die Daten also nicht mehr ausschließlich anonymisiert und zu rein statistischen Zwecken erfasst werden.

Die Umsetzung mit Google Analytics

Grundsätzlich lassen sich die Möglichkeiten von Google Analytics auch ganz hervorragend im Rahmen der Datenschutz-Grundverordnung nutzen. Zumindest dann, wenn Sie auf die Erstellung von Profilen für individuelle Benutzer verzichten möchten (und zwar durch Sie selbst und durch Google).

Und Sie können Google Analytics auch durchaus auf ein (nahezu) rein statistisches Werkzeug reduzieren. Sie müssen dazu lediglich auf ein paar Möglichkeiten verzichten, die Ihnen Google so anbietet, und eine grundsätzliche Entscheidung treffen.

Denn in Google Analytics lässt sich durchaus festlegen, dass IP-Adressen anonymisiert werden und bestimmte Daten (zum Remarketing, zu den Werbeberichten und vor allem zur User-ID) nicht erfasst werden.

Wenn Sie also Google Analytics nur zur statistischen Erfassung nutzen wollen (und dafür ist es wohl das beste verfügbare System) und ausschließen möchten, dass Google (oder Sie selbst) Ihren Website-Nutzern über gewisse Grenzen hinaus „nachspioniert“, dann zeigen Ihnen die folgenden Absätze, wie Sie das hinbekommen.

Sollten Sie sich weitergehende Ergebnisse und die Einbindung von AdSense und/oder Google Ads in Ihre Website wünschen, dann sollten Sie vorsichtshalber vorher einen darauf spezialisierten Anwalt kontaktieren. Denn die Einbindung dieser Tools und die Erfassung benutzerspezifischer Daten ist meiner Meinung nach datenschutzrechtlich sehr problematisch und stellt Sie als Website-Betreiber vor erhebliche juristische Hürden. Das gilt übrigens auch für vergleichbare Werbeprogramme anderer Anbieter.

Und deswegen befasst sich dieser Artikel in den folgenden Absätzen mit einer meiner Meinung nach DSGVO-konformen Einbindung von Google Analytics mit seinen Statistikfunktionen in Ihre Website, das Thema Werbung mit AdSense (oder ähnlichen Produkten anderer Anbieter) klammere ich hier bewusst aus.

Voraussetzungen für die weiteren Schritte

Dieser Artikel setzt voraus, dass Sie über ein bestehendes Konto in Google Analytics verfügen und dass Ihre Website bereits als Property angelegt wurde. Außerdem sollten Sie eine grundsätzliche Vorstellung davon haben, wie Sie auf Ihr Analytics-Konto zugreifen und Änderungen vornehmen können.

Sollte das nicht der Fall sein, sollten Sie sich vorab ein Analytics-Konto anlegen und sich ein wenig mit der grundsätzlichen Bedienung vertraut machen. Hilfe bei der Erstellung eines Analytics-Kontos und zu den grundsätzlichen Funktionen in Analytics finden Sie hier auf den Google-Hilfeseiten, weitere Information zum Einrichten einer Property finden Sie hier.

Die Konfiguration Ihres Google-Analytics-Kontos

Melden Sie sich jetzt zunächst einmal in Google Analytics an, wählen Sie oben links das gewünschte Property (Ihre Website) aus und klicken Sie danach auf die Schaltfläche für die Einstellungen unten links.

Als Resultat sollten Sie jetzt ein Fenster sehen, dass ungefähr so aussieht.

Die Kontoeinstellungen

Klicken Sie jetzt zunächst einmal auf den Link „Kontoeinstellungen“ unterhalb Ihres Kontonamens und scrollen Sie im sich dann öffnenden Fenster hinunter, bis Sie zu den „Einstellungen für die Datenfreigabe“ kommen. Ihr Bildschirm sollte jetzt ungefähr so aussehen.

Hier sollten Sie jetzt die Häkchen bei allen Punkten entfernen.

  • Google-Produkte und –Dienste
  • Benchmarking
  • Technischer Support
  • Account Specialists
  • Geben Sie allen Google-Verkaufsspezialisten Zugriff auf Ihre Daten und Ihr Konto, um umfassende Analysen, Einblicke und Empfehlungen für Google-Produkte zu erhalten.

Da Sie als Website-Betreiber als Auftraggeber und Google als Auftragnehmer fungieren, sollten Sie jetzt noch den „Vertrag zur Auftragsverarbeitung“ abschließen, falls dies nicht bereits geschehen ist.

Scrollen Sie dazu noch ein wenig weiter hinunter, bis Sie zu dem Punkt „Zusatz zur Datenverarbeitung“ kommen.

Wenn Sie diesen Punkt bereits erledigt haben, sehen Sie unterhalb der Erklärung eine Zeile mit dem Inhalt „Die Zustimmung für den Zusatz zur Datenverarbeitung für dieses Konto erfolgte am …………….“. In diesem Fall können Sie mit dem nächsten Schritt fortfahren.

Ansonsten klicken Sie auf die Schaltfläche „Zusatz anzeigen“ klicken und bestätigen Sie den Vertrag zur Auftragsverarbeitung“. Unter dem Link „Details zum Zusatz zur Datenverarbeitung verwalten“ können Sie dann noch Ihre Firmen- und/oder Kontaktangaben ausfüllen und alles mit einem Klick auf die Schaltfläche „Speichern“ bestätigen.

Nach dem Speichern der Informationen können Sie mit der Schaltfläche „Zurück“ wieder zum Hauptmenü zurückkehren.

Die Datenerfassungs-Einstellungen

Klicken Sie jetzt auf den Link „Tracking-Informationen“ in der Mitte des Bildschirms unterhalb der Property-Auswahl und wählen Sie aus dem sich öffnenden Untermenü den Punkt „Datenerfassung“. Scrollen Sie in dem sich öffnenden Bildschirm hinunter bis zum Punkt „Remarketing“. Ihr Bildschirm sollte jetzt ungefähr so aussehen.

Da Sie die Werbefunktionen von Google nicht nutzen möchten, sollten Sie unter den beiden Punkten „Remarketing“ und „Funktionen für Werbeberichte“ als Einstellung „Aus“ wählen.

Die Datenaufbewahrungs-Einstellungen

Nach dem Speichern der Einstellungen klicken Sie bitte im Menü auf der linken Seite auf den Punkt „Datenaufbewahrung“. Ihr Bildschirm sollte jetzt ungefähr so aussehen.

Wählen Sie hier die folgenden Einstellungen aus:

  • Aufbewahrung von Nutzer- und Ereignisdaten: 14 Monate
  • Bei neuer Aktivität zurücksetzen: EIN

Die Einstellungen zur User-ID

Nach dem Speichern der Einstellungen klicken Sie bitte im Menü auf der linken Seite auf den Punkt „User-ID“. Ihr Bildschirm sollte jetzt ungefähr so aussehen.

Wenn Sie den oben gezeigten Bildschirm sehen, dann wurden die Einstellungen zur User-ID bisher nicht geändert. Und damit ist aus datenschutzrechtlicher Sicht alles so, wie es sein sollte.

Falls Sie einen Bildschirm mit anderen Informationen sehen, dann ist oder war die Benutzer-Zuordnung in diesem Analytics-Property bereits einmal aktiviert. Sie können die Einstellung n diesem Falle ändern, indem Sie die Einstellung unter „Ich stimme der Richtlinie zur User ID zu.“ wieder zu „Aus“ ändern. Sie sollten in diesem Fall allerdings die Property in Analytics löschen und neu erstellen. Eine Anleitung zum Löschen einer Property finden Sie hier in der Google-Hilfe.

Und damit haben Sie jetzt Ihr Analytics-Konto so eingestellt, dass nur noch anonyme Daten erfasst werden. Wenden wir uns daher jetzt den nötigen Änderungen in Wordpress zu.

Die Konfiguration in Wordpress

Herzlichen Glückwunsch! Sie haben gerade Google angewiesen, sich zurückzuziehen und die Privatsphäre Ihrer Website-Besucher zu respektieren. Damit sind Sie der Konformität zur Datenschutz-Grundverordnung schon ein erhebliches Stück nähergekommen.

Jetzt sind nur noch ein paar Änderungen auf der Website selbst notwendig, um Google Analytics völlig regelkonform einbinden zu können. Das können Sie natürlich manuell erledigen (dazu gleich mehr) oder das ziemlich geniale Plug-In „CAOS“ (das steht für „Complete Analytics Optimization Suite“) des niederländischen Entwicklers Daan van den Bergh verwenden (auf dieses Plug-In gehe ich unten noch einmal gesondert ein).

Die manuelle Anonymisierung der IP-Adresse

Um Google Analytics DSGVO-konform einsetzen zu können, benötigen Sie eine Anonymisierung der übertragenen IP-Adresse. Dabei wird bei den IP-Adressen vom Typ IPv4 das letzte Oktett (die letzten drei Ziffern) und bei IP-Adressen vom Typ IPv6 die letzten 80 Bits entfernt. Dadurch ist die Lokalisierung der IP-Adresse zwar weiterhin möglich, die Identifizierung eines individuellen Nutzers im Sinne der DSGVO ist damit allerdings nicht mehr möglich.

Wenn Sie den Tracking-Code von Google Analytics manuell in Ihre Website eingebunden haben (die meisten Themes stellen diese Funktion bereit), ist hierzu eine kleine Änderung im Code-Snippet notwendig. Ihr Tracking-Code sollte ungefähr so aussehen :

<!– Global site tag (gtag.js) – Google Analytics –>
<script async src=“https://www.googletagmanager.com/gtag/js?id=UA-????????-??“></script>
<script>
  window.dataLayer = window.dataLayer || [];
  function gtag(){dataLayer.push(arguments);}
  gtag(‚js‘, new Date());
  gtag(‚config‘, ‚UA-????????-??‘);
</script>

Um Google anzuweisen, die IP-Adressee künftig nur noch anonymisiert zu verwenden, ändern Sie einfach die vorletzte Zeile dieses Snippets („gtag(‚config‘, ‚UA-????????-??‘);“) wie folgt ab :

  gtag(‚config‘, ‚UA-????????-??‘ , {‚anonymize_ip‘: true});

Und damit wäre dann auch die letzte Hürde beseitigt und Ihre Website benutzt ab sofort Google Analytics in einer datenschutzrechtlich unbedenklichen Form.

Falls Sie sich an den manuellen Eingriff nicht so recht herantrauen oder falls Sie Google Analytics bisher noch gar nicht auf Ihrer Website implementiert haben, sollten Sie das Plug-In „CAOS“ verwenden. Dieses Plug-In erledigt die Anonymisierung auf Knopfdruck und sorgt zusätzlich noch für eine erhöhte Geschwindigkeit Ihrer Website.

CAOS – Die bequeme und schnelle Variante

Hier geht’s jetzt noch einmal um das ziemlich geniale Plug-In „CAOS“ (das steht für „Complete Analytics Optimization Suite“) des niederländischen Entwicklers Daan van den Bergh.

Denn dieses Plug-In kann Ihnen nicht nur die Arbeit der Anonymisierung abnehmen, sondern sorgt auch gleich noch für das automatische Hinzufügen des Tracking-Codes zu Ihrer Site (in der Kopf- oder Fußzeile) und für die lokale Speicherung der JavaScript-Dateien auf Ihrem Server. Und das wiederum sorgt dafür, dass Ihre Website ein ganzes Stückchen schneller läuft (was wiederum Google gerne sieht).

Und es kann (für den Fall, dass Sie eine vollständige Opt-In- oder Opt-Out-Lösung bevorzugen) auch noch auf bestimmte Cookies reagieren und das Laden der Analytics-Dateien abhängig von einem Cookie entweder ausführen oder blockieren (dazu mehr weiter unten).

Nach der Installation des Plug-Ins finden Sie in der Verwaltungsoberfläche von Wordpress unter dem Menüpunkt „Einstellungen“ den zusätzlichen Punkt „Optimize Analytics“. Ein Klick auf diesen Menüpunkt zeigt Ihnen den folgenden Bildschirm.

Hier müssen Sie jetzt lediglich die folgenden Einstellungen vornehmen:

  1. Tragen Sie unter dem Punkt „Google Analytics Tracking ID“ Ihre Analytics-Tracking-ID ein (die finden Sie in der Property-Verwaltung von Analytics unter „Tracking-Informationen -> Tracking-Code in der Form „UA-????????-??“)
  2. Klicken Sie das Auswahlfeld hinter „Anonymize IP?“ an
  3. Klicken Sie auf den Button „Änderungen speichern“

Und das war’s auch schon. Ab jetzt läuft Google Analytics auf Ihrer Website völlig konform zur Datenschutz-Grundverordnung und Sie können ab sofort die sehr guten Statistik-Informationen aus Analytics für sich nutzen.

Die Datenschutzerklärung anpassen

Jetzt müssen Sie nur noch die Datenschutzerklärung auf Ihrer Website für die Nutzung von Google Analytics anpassen. Die vollständige Erklärung zu einer Datenschutzerklärung würde den Rahmen dieses Artikels sprengen, Sie finden aber im Internet finden Sie jede Menge Generatoren, die das für Sie ganz hervorragend erledigen können. Sie können auch gerne den entsprechenden Passus aus meiner Datenschutzerklärung kopieren und gegebenenfalls anpassen.

Die vollständige Opt-In- oder Opt-Out-Lösung

Meines Erachtens nach ist diese Lösung für die Einbindung von Google Analytics auch ohne eine Opt-In-Lösung komplett rechtssicher in Bezug auf die DSGVO. Andererseits bin ich aber weder Anwalt noch Richter, führe keine Rechtsberatung durch und gebe hier nur meine persönliche Meinung wieder.

Falls Sie sich also doch lieber für eine vollständige Opt-In- oder Opt-Out-Lösung entscheiden möchten, finden Sie in meinem Artikel „Opt-In oder Opt-Out für Wordpress einrichten“ weiterführende Informationen und auch Tipps zur Nutzung des Plug-Ins „CAOS“ in Zusammenhang mit einer solchen Lösung.

Claus Nehring

Der Autor ist freiberuflichler Web-Entwickler mit Sitz in Luxemburg. Er entwickelt seit mehr als 25 Jahren Websites für seine Kunden und hat sich in den letzten 12 Jahen auf Websites auf Basis von Wordpress spezialisiert. Er publiziert ständig Artikel zu Themen rund ums Internet in verschiedenen Foren.

Related Articles

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.


Durch das Abschicken des Kommentars werden die eingegebenen Daten in der Datenbank dieser Website gespeichert. Ausserdem speichern wir aus Sicherheitsgründen Ihre IP-Adresse für einen Zeitraum von 60 Tagen. Weitere Informationen zur Datenverarbeitung finden Sie in der Datenschutz-Erklärung.

Back to top button
Close