Google Analytics wird von vielen Webseitenbetreibern genutzt. Das Tool beobachtet und analysiert das Verhalten von Nutzern und dient einer umfassenden Auswertung. Dafür werden verschiedene Cookies gesetzt. Um diese rechtssicher einbinden zu können, brauchst du die Einwilligung der Nutzer und musst die IP-Adresse verkürzt speichern lassen. Hier erfährst du mehr über die datenschutzfreundlichen Einstellungen bei Google Analytics.
- Google Analytics darf auch im Rahmen der DSGVO verwendet werden. Dafür sind jedoch wichtige Maßnahmen und Einstellungen vorzunehmen, wie beispielsweise das Anonymisieren der IP-Adresse.
- Cookies für Google Analytics dürfen erst gesetzt werden, wenn der Nutzer vorab seine Einwilligung gegeben hat. Diese lässt sich über ein Cookie Banner im Opt-in-Verfahren abfragen.
- Seitenbetreiber müssen mit Google einen Vertrag zur Auftragsdatenverarbeitung abschließen und dürfen keine persönlichen Identifikationsmerkmale der Besucher erfassen. Unrechtmäßig erhobene Daten in der Vergangenheit sind zu löschen.
Google Analytics gehört zu den beliebtesten Tools für die Webanalyse. Dabei werden verschiedene Daten der Besucher gesammelt, die sich der Webseitenbetreiber in einer Statistik anzeigen lassen kann. Dazu gehören beispielsweise die Anzahl der Seitenaufrufe, die Verweildauer oder auch das Nutzerverhalten auf der Seite. Anhand der verschiedenen Parameter können Betreiber feststellen, wie gut die Seite bei den Kunden ankommt. Zudem wird über das Conversion-Tracking genau aufgeführt, welche Aktionen erfolgen. Meldet sich der Besucher zum Newsletter an, kauft er Produkte oder startet er einen Download? Durch die erfolgten Klicks und die Analyse des Nutzerverhaltens lässt sich die Seite besser auf die Wünsche der Kunden anpassen und optimieren.
Mit der Datenschutzgrundverordnung (DSGVO), der Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) in Deutschland und verschiedenen Urteilen der Europäischen Gerichtshofs (EuGH) ist die Verwendung von Google Analytics nicht mehr unbedenklich möglich. Schließlich werden Cookies gesetzt, um das Nutzerverhalten genau zu analysieren und zurückverfolgen zu können. Zudem gelten in den USA andere Rechte, als innerhalb der EU. Die Rechtsgrundlagen zum Transfer der personenbezogenen Daten zwischen den beiden Ländern sind nicht ausreichend geklärt. Trotzdem kann Google Analytics unter verschiedenen Voraussetzungen genutzt werden. Der folgende Ratgeber schlüsselt die Maßnahmen näher auf und gibt dir dazu hilfreiche Informationen.
Welche Cookies genau von Google Analytics gesetzt werden, hängt immer von der genutzten Version, den gewählten Zusatzfunktionen und der Form der Einbindung ab. So wird beispielsweise eine zufällige User-ID generiert, um wiederkehrende Nutzer zu identifizieren und mit den Daten aus vergangenen Besuchen auf der Domain zu verknüpfen. Die Cookies werden bis zu zwei Jahre gespeichert. Andere Cookies werden nur eine Minute lang gespeichert, um bestimmte Informationen an Google Analytics zu senden. Andere Datenübertragungen werden in dieser Zeit unterbunden.
Es wird ebenso ein Cookie gesetzt, wenn der Kunde über eine Google Werbeanzeige auf die Website kommt. Hier muss nachvollziehbar sein, welche Werbeanzeige angeklickt wurde und ob dadurch bestimmte Aktionen oder Erfolge auf der Seite ausgeführt wurden. Außerdem arbeitet Google auch domainübergreifend mit einer User-ID, um den Kunden zu erkennen und personalisierte Werbung auszuspielen. Über Cookies kann also genau gemessen werden, aus welcher Quelle und von welcher Webseite ein Benutzer auf die Seite gekommen ist und wie er sich weiter verhalten hat. Häufige Google Analytics Cookies sind:
- _ga – Wird verwendet, um Benutzer zu unterscheiden. Gültig für 2 Jahre.
- _gid – Wird verwendet, um Benutzer zu unterscheiden. Gültig für 24 Stunden.
- _gac_xxx – Enthält kampagnenbezogene Informationen für den Benutzer. Der „xxx“ Teil des Namens variiert.
- __utma – Dient zur Unterscheidung von Benutzern und Sitzungen. Das Cookie wird erstellt, wenn die JavaScript-Bibliothek ausgeführt wird und es keine vorhandenen __utma-Cookies gibt. Das Cookie wird jedes Mal aktualisiert, wenn Daten an Google Analytics gesendet werden.
- __utmb – Wird verwendet, um neue Sitzungen/Besuche zu bestimmen. Das Cookie wird erstellt, wenn die JavaScript-Bibliothek ausgeführt wird und es keine vorhandenen __utmb-Cookies gibt. Das Cookie wird jedes Mal aktualisiert, wenn Daten an Google Analytics gesendet werden.
- __utmz – Speichert den Traffic-Quell- oder die Kampagne, die erklärt, wie der Benutzer die Seite erreicht hat. Das Cookie wird erstellt, wenn die JavaScript-Bibliothek ausgeführt wird und es keine vorhandenen __utmz-Cookies gibt. Das Cookie wird jedes Mal aktualisiert, wenn Daten an Google Analytics gesendet werden.
- __utmv – Wird verwendet, um benutzerdefinierte Besuchersegmentdaten zu speichern. Das Cookie wird jedes Mal aktualisiert, wenn Daten an Google Analytics gesendet werden.
- __utmx – Wird verwendet, um die Beteiligung des Benutzers an einem A/B-Test zu bestimmen. Es speichert, welche Variante eines Tests einem Benutzer angezeigt wurde.
✅ Einwilligung der Nutzer einholen
Ein einfacher Cookie Hinweis oder eine Opt-out-Möglichkeit gilt laut aktueller Rechtslage nicht mehr. Die Zustimmung der Nutzer muss im Opt-in-Verfahren eingeholt werden. Das heißt: der Google Analytics Cookie ist erst nach der Einwilligung zu setzen und vorher zu blockiert. Das funktioniert am besten über ein vorgeschaltetes Cookie Consent Tool. Es gibt viele verschiedene Tools, die mit wenig Aufwand in die Website integriert werden können.
Auf einem rechtskonformen Cookie Banner sollten die Buttons gleichwertig sein und die Entscheidung des Nutzers nicht durch das Design beeinflusst. Dabei darf die Ablehnung der Cookies nicht mit mehr Aufwand erfolgen, als die Einwilligung. Wer Google Analytics nutzt, muss im Banner explizit auf die Datenübertragung in die USA hinweisen. Außerdem ist der Zweck genauer zu erläutern und sorgt natürlich für Transparenz. Hier reicht es nicht, nur von einem besseren Nutzungsverhalten zu sprechen. Dem Besucher muss klar sein, dass die Cookies zu Analysezwecken gesetzt werden, um den Erfolg der Seite zu messen und genauer zu untersuchen. Gibt der Nutzer seine Zustimmung nicht, muss er die Website trotzdem ohne Einschränkung nutzen können.
🕵️ Anonymisierung der IP-Adresse notwendig
Zur schnellen Identifikation des Nutzers, erhebt Google Analytics die IP-Adresse. Dies ist jedoch im vollen Umfang nicht mehr rechtskonform und muss anonymisiert werden. Das gelingt am besten über die Einstellungen. Über den Google Tag Manager kannst du die IP-Anonymisierung vornehmen. Unter „Weitere Einstellungen“ in den Google Analytics Einstellungen kann ein neues Feld hinzugefügt werden. Der Name lautet „anonymizeIp“ und bekommt den Wert „true“. Anschließend müssen diese Änderungen noch aktiviert und veröffentlicht werden. Achte darauf, dass die Anonymisierung für alle erfassten Daten gilt. Das betrifft Seitenaufrufe als auch Transaktionen. Dieser Fehler kann leicht passieren und verhindert eine rechtskonforme Nutzung der Google Analytics Cookies.
📜 Hinweis in der Datenschutzerklärung
Natürlich benötigt deine Website auch eine aussagekräftige Datenschutzerklärung. Auch hier muss auf die Verwendung von Google Analytics eingegangen werden. Folgende Inhalte sind zu berücksichtigen:
- In welchem Umfang werden die Daten erhoben
- Auflistung dieser Daten
- Hinweis auf die IP-Anonymisierung
- Nennen der Rechtsgrundlage
- Dauer der Speicherung
- Hinweis zur Übertragung und Speicherung im Ausland (USA)
- Hinweis auf den Vertrag zur Auftragsdatenverarbeitung
- Erklärung zum Widerspruch
Diese Datenschutzerklärung muss bei der Nutzung von Google Analytics also genau drauf hinweise, wer der externe Dienstleister ist (in dem Fall Google), dass ein Vertragsverhältnis besteht und dass Informationen auch ins Ausland übertragen werden. Zudem ist diese Erklärung aussagekräftig auf der Website zu kennzeichnen, beispielsweise auch mit dem Link „Datenschutz“. Der Link muss von jeder Unterseite mit nur einem Klick erreicht werden können. Bestenfalls zeigt das Cookie-Banner einen Link zum Impressum und zur Datenschutzerklärung. Diese Links dürfen durch das Banner nämlich nicht verdeckt werden oder sollten direkt per Klick hinführen.
📝 Vertrag zur Auftragsdatenverarbeitung
Durch die gesetzlichen Vorgaben innerhalb der EU und Deutschland ist ein Vertrag zur Auftragsdatenverarbeitung (AVV) notwendig. Dieser muss direkt mit Google geschlossen werden, da Analytics Daten in deinem Auftrag weiterverarbeitet. Der Dienstleister verpflichtet sich dadurch, für die Sicherheit der Daten zu sorgen. Das Google Analytics Interface bietet direkt eine Möglichkeit, diesen Vertrag zu schließen. Nutze folgende Anleitung:
- Gehe zunächst in die Verwaltung und klicke auf Kontoeinstellungen.
- Ganz unten befindet sich ein Bereich „Zusatz zur Datenverarbeitung“.
- Klicke hier auf „Zusatz anzeigen“.
- Es öffnet sich der auf Englisch geschriebene Vertrag in einem Popup.
- Diesem Vertrag musst du zustimmen.
Achte stets auf eine mögliche neue Version des Vertrages. Die neue Fassung muss auf gleichem Weg akzeptiert werden. Im Text unter „Zusatz zur Datenverarbeitung“ steht genau geschrieben, wann für den Vertrag die Zustimmung gegeben wurde.
Google Analytics darf keine persönlichen Identifikationsmerkmale der Besucher erfassen oder übertragen bekommen. Dies ist auch unter der aktiven Einwilligung des Nutzers durch das Cookies Banner gesetzlich verboten. Allerdings hat Google Analytics selbst in den Nutzungsbedingungen formuliert, dass keine Erfassung von persönlichen Identifikationsmerkmalen vorgenommen wird. Dazu gehören beispielsweise:
- Vollständiger Name
- Adresse
- Telefonnummer
- Mailadresse des Nutzers
- Geburtsdatum
- Zahlungsinformationen
Eine Standard-Erfassung ist also ausgeschlossen. Eine einzige Ausnahme besteht, wenn die Daten in einem abgesendeten Formular enthalten sind und über die URL an Google Analytics übertragen werden.
Was jedoch durch die Cookies gespeichert wird, sind User-IDs und Session-ID: So können bereits gesammelte Daten aus der Vergangenheit mit den neuen Daten einer gleichen ID zusammengeführt werden. Auch hier ist vorher eine explizite Zustimmung des Nutzers erforderlich.
⏳ Speicherbegrenzung laut DSGVO
Laut DSGVO dürfen personenbezogene Daten nicht unendlich lange gespeichert werden (und dazu gehört auch eine IP-Adresse). Die Speicherung ist zu begrenzen und orientiert sich am Erhebungszweck. Eingestellt werden kann dies unter dem Punkt „Datenaufbewahrung“ in den Google Analytics Einstellungen. Hier gibst du an, nach welcher Zeit die Daten gelöscht werden. Experten im Bereich Datenschutz empfehlen einen möglichst geringen Zeitraum, beispielsweise 14 Monate. Für eine deutlich längere Speicherung müssen triftige Gründe vorliegen und nachgewiesen werden. Google selbst stellt aber auch keine unbefristete Speicherung ein.
📊 Die Nutzung der Google Analytics Werbefunktion
Google Analytics dient nicht nur zu Analysezwecken und zur Verbesserung der eigenen Webseite. Es können natürlich auch lukrative Werbekampagnen im Browser als Marketing geschaltet werden. Google erkennt dabei Nutzerprofile und die Interessen und spielt entsprechende Anzeigen aus. Diese Funktionen können in den Einstellungen unter zwei Punkten aktiviert werden:
- Remarketing Ads
- Funktion für Werbeberichte
Sobald du das Analytics auch für Werbezwecke nutzen möchtest, muss der Besucher auf dem Cookie-Banner den Analysezwecken und den Werbezwecken zustimmen. Nutzt du also das Remarketing und der Besucher stimmt nur den Analysezwecken zu, darf trotzdem kein Analytics Cookie gesetzt werden. Es entsteht also ein erheblicher Verlust bei den Messungen.
Bestenfalls kann die Zusatzoption für das Remarketing selektiv verwendet werden, wenn der Nutzer beiden Bereich zustimmt. Lehnt er den Werbebereich ab, bleibt die Analyse trotzdem wirksam. Für diesen Fall muss der Google Analytics Code modifiziert werden. Der Aufwand für die Implementierung ist deutlich größer. Verzichtest du aber generell auf die Werbefunktion in den Google Einstellungen, können keine Kampagnen im Remarketing mehr ausgespielt werden.
🏁 Fazit – Google Analytics darf noch genutzt werden
Auch mit dem Inkrafttreten der DSGVO darf Google Analytics noch zur Messung von Seitenbesuchen und selbst zu Werbekampagnen genutzt werden. Dafür sind jedoch die oben genannten Voraussetzungen zu erfüllen, wie die Anonymisierung der IP-Adressen oder eine aussagekräftige Datenschutzerklärung. Außerdem muss vorab immer die aktive Zustimmung des Nutzers erfolgen.
In der Datenschutzerklärung sind die erhobenen Daten genauer angegeben. Dazu gehören Zweck, Rechtsgrundlage und Speicherdauer. Auch auf eine effektive Widerspruchsmöglichkeit muss eingegangen werden. Zudem solltest du die IP-Anonymisierung bei Google Analytics genauer prüfen und aktivieren. Ein Auftragsdatenverarbeitungsvertrag (AVV) ist notwendig. Es ist also mit etwas höherem Aufwand verbunden, Google Analytics Cookies rechtskonform zu implementieren. Trotzdem greifen viele Betreiber von Websites auf den Komfort und den Umfang des Tools zurück. Aber auch andere Tracking- oder Remarketing-Tags sind von den Datenschutzgesetzen betroffen, wie der Facebook Pixel.