Logo Logo
Cookiebot

Die Datenschutz-Grundverordnung (DSGVO) und die Datenschutzrichtlinie für elektronische Kommunikation (ePR) haben Auswirkungen darauf, wie Sie als Websitebesitzer Google Analytics verwenden sollten, um Ihre Besucher aus der EU zu tracken. 

 

Probieren Sie unseren kostenlosen Konformitätstest aus, um zu überprüfen, ob die Verwendung von Cookies und Online-Tracking auf Ihrer Website der DSG-Richtlinie entspricht. 

Google Analytics ist bei Website-Besitzer bei weitem das beliebteste Tool, um Einblick in die Nutzung ihrer Website zu erhalten.

Aber stimmt diese Nutzung mit der DSGVO überein? Kann Google Analytics weiter benutzt werden und die Verordnung trotzdem einhalten werden? Und falls ja, was muss beachtet werden?

In diesem Artikel geben wir eine Einführung in Google Analytics, in die DSGVO, in die gesetzlichen Anforderungen für Ihre Website sowie die Verwendung von Cookies, Online-Tracking und Tools.

Erfahren Sie, was Google in Vorbereitung auf die DSGVO unternimmt, welche Änderungen Sie in Ihrem Google Analytics-Konto implementieren sollten und wie Sie die weitergehende Nutzung von Google Analytics durch Ihre Website sicherstellen können.

Falls Sie die Einleitungen überspringen möchten, scrollen Sie direkt zur Checkliste 1.

Ist mein Nutzen von Google Analytics DSGVO und ePR-konform?

Was ist Google Analytics?


Google Analytics ist Google's leistungsstarkes und weit verbreitete Traffic-Analyse-Tool, mit dem Websitebesitzer in Echtzeit erfahren können, wie und von wem die Website genutzt wird.

Wie finden Nutzer Ihre Website, wie verhalten sie sich darauf, wie lange bleiben sie und wohin gehen sie von dort?

Daher ist Google Analytics im Wesentlichen ein Tool zur Verarbeitung von Benutzerdaten.

Was ist die DSGVO und wie wirkt sie sich auf meine Website aus?


Die Datenschutz-Grundverordnung ist ein EU-Gesetz, das strenge Anforderungen an die Handhabung von Daten von EU-Bürgern festlegt.

Sie wurde am 25. Mai 2018 in Kraft gesetzt und betrifft kleine sowie große Unternehmen, Organisationen und Websites, die mit personenbezogenen Daten von Nutzern aus der EU umgehen.

Für Website-Besitzer bedeutet die Verordnung, dass für alle persönlichen Datenverarbeitungsaktivitäten sichergestellt wird, dass die Anforderungen einhalten werden.

Im Normalfall gibt es Datenverarbeitungsaktivitäten auf Websites von zwei Arten:

  1. einerseits Kontaktformulare, E-Mail-Abonnements und dergleichen, bei welchen die persönlichen Daten explizit angefordert und direkt vom Benutzer eingereicht werden, und andererseits
  2. Cookies und Online-Tracking.

Die DSGVO erfordert, dass beide Arten darauf überprüft und überarbeitet werden müssen, hinsichtlich welche Daten erfasst werden, ob diese Daten wirklich benötigen werden und warum und wie diese gesichert werden.

Aufgrund ihrer vielfachen Verwendung sind Cookies oft der schwierigste Teil, um die Einhaltung der DSGVO sicherzustellen.

Cookies dienen verschiedenen Zwecken, von Funktionalität und Leistung über Statistiken bis hin zu zielgerichtetem Marketing.

Einige sind notwendig, damit die Website funktioniert, andere nicht. Einige verbessern das Benutzererlebnis, andere dienen der Überwachung und Benutzerprofilierung, und manche tun beides.

Manche werden von der Website selbst festgelegt, während die meisten Drittanbieter-Herkunft aufweisen, die in der Regel durch eingebettete Plug-Ins von Drittanbietern festgelegt werden.

Hinzu kommt, dass, Cookies auf Webseiten sich in der Regel ändern, so dass das Erstellen eines einmaligen Überblick nicht ausreicht.

Im Allgemeinen jedoch erfassen Cookies die Aktionen der Benutzer und unterliegen daher der DSGVO. Die Bestimmungen betreffen Ihre Verwendung von Cookies und Online-Tracking, Ihre Cookie-Richtlinie und Datenschutzrichtlinie sowie die Art und Weise, in der Sie die Zustimmung Ihrer Nutzer zum Setzen der Cookies erhalten.

Plugins, eingebettete Inhalte, und Tools, welche auf Ihrer Website verwendet werden, setzen Cookies.

Als Websiteinhaber sind Sie für alle Datenverarbeitungsaktivitäten auf Ihrer Website verantwortlich, unabhängig davon, ob diese von erster oder dritter Partei stammen.

Was gilt in der DSGVO als "personenbezogene Daten"?

Ein Problem bei der Verwendung von Tools wie Google Analytics ist die breite Definition von personenbezogenen Daten in der DSGVO:

Nicht nur IP-Adressen, Kontaktinformationen und sensible Daten wie medizinische und finanzielle Aufzeichnungen sind persönlich, sondern auch alle Daten, die jemanden "direkt oder indirekt" mit "allen Mitteln, die vernünftigerweise verwendet werden können" identifizieren.

Dazu gehören pseudonyme Daten, Online-Identifikatoren und Cookies, die, wie die DSGVO feststellt, mit anderen Daten kombiniert werden können, um "Profile von natürlichen Personen zu erstellen und sie zu identifizieren".

Welche personenbezogenen Daten sammelt Google Analytics?

Google Analytics funktioniert mit Tracking-Code, der den Seiten Ihrer Website hinzugefügt wird. Jeder Nutzer ist mit einer eindeutigen ID registriert, sodass Google Analytics Ihnen Einblick darüber geben kann, wie viele eindeutige Besucher beispielsweise auf der Website sind und wie viele Nutzer zurückkehren.

Mit Google Analytics können Sie ermitteln, wie oft ein einzelner Nutzer die Website besucht hat, welche Seiten er besucht hat, wie lange er geblieben ist und wie er mit der Website interagiert hat.

In Verbindung mit ihren enormen statistischen Daten zu Internetnutzern kann Google Analytics sehr genaue Informationen darüber liefern, welche Segmente Ihrer Website aufgrund von demografischen Merkmalen wie Alter, Geschlecht, beruflichen und privaten Interessen, geografischem Standort usw. ansprechend sind.

Ein genauer Überblick darüber zu bekommen, welche Daten von Google Analytics tatsächlich erfasst werden, ist schwierig zu erreichen, da sich Google Analytics ständig weiterentwickelt und verbessert. Außerdem bietet Google keine Transparenz über seine Methoden.

Gemäß den Google-Nutzungsbedingungen für Anzeigen zum Schutz von Daten: Serviceinformationen erfasst Google Analytics die folgenden Arten personenbezogener Daten:

Um sich einen Überblick darüber zu verschaffen, welche Daten von Google erfasst werden, können Sie sich die Datenschutzrichtlinie von Google ansehen:

"Wir erfassen Informationen, um allen unseren Nutzern bessere Dienste zur Verfügung zu stellen - von der Feststellung grundlegender Aspekte wie zum Beispiel der Sprache, die Sie sprechen, bis hin zu komplexeren Fragen wie zum Beispiel der Werbung, die Sie besonders nützlich finden, den Personen, die Ihnen online am wichtigsten sind, oder den YouTube-Videos, die Sie interessant finden könnten.

Wir erfassen Informationen auf folgende Arten:

1. Daten, die Sie uns mitteilen:
Zur Nutzung vieler Google-Dienste müssen Sie beispielsweise zunächst ein Google-Konto erstellen. Hierfür bitten wir Sie um die Angabe personenbezogener Daten. Dies sind etwa Ihr Name, Ihre E-Mail-Adresse, Ihre Telefon- oder Kreditkartennummer, die im Zusammenhang mit Ihrem Konto gespeichert werden. Falls Sie die von uns angebotenen Funktionen zum Teilen von Inhalten in vollem Umfang nutzen möchten, fordern wir Sie möglicherweise auch dazu auf, ein öffentlich einsehbares Google-Profil zu erstellen, das auch Ihren Namen und Ihr Foto beinhalten kann.

2. Daten, die wir aufgrund Ihrer Nutzung unserer Dienste erhalten:
Wir erfassen Informationen über die von Ihnen genutzten Dienste und die Art Ihrer Nutzung beispielsweise dann, wenn Sie sich ein Video auf YouTube ansehen, eine Website besuchen, auf der unsere Werbedienste verwendet werden, oder wenn Sie unsere Werbung und unsere Inhalte ansehen und damit interagieren. 

Gemäß der oben beschriebenen Definition der personenbezogenen Daten in der DSGVO, entspricht die Verfolgung des Nutzerverhaltens und der Profilerstellung nur dann den EU-Vorschriften, wenn die Website die vorherige Zustimmung des Besuchers einholt. Dies bedeutet das Webseiten Google Analytics blockieren müssen, bis der Besucher seine Zustimmung gegeben hat.

Was unternimmt Google Analytics zur Vorbereitung auf die Durchsetzung der DSGVO?


Auf ihrem Blog Google in Europe hat Google seit August 2017 Informationen darüber verbreitet, wie sie sich darauf vorbereiten, die Anforderungen der DSGVO zu erfüllen. Ende März 2018 veröffentlichten sie ihre aktualisierte EU-Benutzereinwilligungspolitik, Änderungen ihrer Vertragsbedingungen sowie Änderungen an ihren Produkten, welche allesamt vorgenommen wurden, um die Anforderungen zu erfüllen:

Aktualisierte EU-Benutzerzustimmungsrichtlinie

Die EU-Nutzereinwilligungspolitik von Google wurde aktualisiert, um den gesetzlichen Anforderungen der DSGVO Rechnung zu tragen.

Darin werden die Verantwortlichkeiten der Website-Betreiber für die Offenlegung und Einholung von Einwilligungen von Nutzern im Europäischen Wirtschaftsraum (nachstehend EWR genannt) festgelegt.

Gemäß dieser Richtlinie müssen Werbetreibende z.B. die Einwilligung von Nutzern für die Erfassung von Daten für personalisierte Anzeigen (z. B. Remarketing-Tags zum Erstellen von Zielgruppenlisten) und für die Verwendung von Cookies einholen, wenn dies gesetzlich erforderlich ist (z. B. Conversion-Tags).

Die Richtlinie ist weltweit in die Verträge für die meisten Google-Anzeigen und Produkte integriert.

Vertragsänderungen

Seit August 2017 hat Google, gemäß dem Status eines Prozessors oder eines Controllers, Updates für viele Produkte eingeführt (siehe vollständige Klassifizierung der Google-Anzeigenprodukte). Die neuen DSGVO-Bestimmungen ergänzen Ihren Vertrag mit Google und traten am 25. Mai 2018 in Kraft.

Produktänderungen

Um seinen Kunden die Einhaltung der DSGVO zu gewährleisten, nahm Google folgende Änderungen vor:

Mehr Informationen

Unter privacy.google.com/businesses finden Sie weitere Informationen zu den Datenschutzrichtlinien und -ansätzen von Google sowie zu den Bedingungen für die Datenverarbeitung und den Bedingungen für die Datenverarbeitung.

Was SIE jetzt unternehmen sollten

Bleiben diese Schritte jedoch unbeachtet, sind Sie als Eigentümer der Website verantwortlich für die personenbezogenen Daten Ihrer Besucher, die auf Ihrer Website verarbeitet werden.

In diesem nützlichen Artikel erfahren Sie, wie Sie Ihre Verwendung von Google Analytics für die DSGVO vorbereiten können.

Um Ihre Nutzung von Google Analytics für die DSGVO vorzubereiten, müssen Sie im Wesentlichen zwei Dinge tun:

  1. Nehmen Sie Änderungen an Ihren Google Analytics-Kontoeinstellungen vor 
  2. Stellen Sie sicher, dass die Verwendung von Google Analytics und anderen Tools auf Ihrer Website konform ist.

Checkliste 1: Schritte zur Umsetzung der Konformität Ihrer Google Analytics Nutzung


1. Kontrollieren Sie, wie Sie personenbezogene Daten an Google übermitteln

Es reicht nicht aus, persönliche Daten über die Google Analytics-Filter auszufiltern.

Die Übertragung muss auf Codeebene gestoppt werden, um zu verhindern, dass die Daten jemals an Google Analytics gesendet werden.

Überprüfen Sie Ihre Seiten-URLs, Seitentitel und andere Dimensionen. Stellen Sie sicher, dass keine persönlichen Daten gesammelt werden.

Ein häufiges Beispiel für die Erfassung personenbezogener Daten ist die Erfassung einer Seiten-URL, die einen Parameter "email = querystring" enthält.

Wenn dies der Fall ist, ist es wahrscheinlich, dass Sie persönliche Daten an andere Marketingtechnologien weitergeben, die auf Ihrer Website verwendet werden!

2. Aktivieren Sie die IP-Anonymisierung

IP-Adressen sind gemäß der Definition in der DSGVO personenbezogene Daten und werden in der Berichterstellung standardmäßig nicht angezeigt. Google verwendet sie jedoch zur Bereitstellung von Geolokalisierungsdaten.

Daher ist es ratsam, die IP-Anonymisierungsfunktion in Google Analytics zu aktivieren. Durch diese Änderung wird die Genauigkeit der geografischen Berichterstattung in Ihrem Google Analytics-Konto geringfügig verringert.

Um die Anonymisierung zu aktivieren, müssen Sie den Code ändern.

Wenn Sie den Google Tag Manager verwenden, passen Sie das Tag oder die Google Analytics-Einstellungen-Variable an, indem Sie auf Weitere Einstellungen -> Zu setzende Felder klicken und dann ein neues Feld namens "anonymizeIp" mit dem Wert "true" hinzufügen.

Wenn Sie den Google Tag Manager nicht verwenden, wird diese Einstellung möglicherweise für Ihr Tag-Management-System als Option verfügbar gemacht, oder Sie müssen den Code möglicherweise direkt bearbeiten.

Nach der Implementierung wird Google die IP-Adresse anonymisieren, sobald dies technisch möglich ist, indem das letzte Oktett der IP-Adresse vor Beginn der Speicherung oder Verarbeitung entfernt wird (Ihre IP wird 123.123.123.0 - wobei der letzte Teil / das letzte Oktett durch eine '0' ersetzt wird) ). Sobald diese Funktionen aktiviert sind, wird die vollständige IP-Adresse laut Google niemals auf die Festplatte geschrieben.

3. Gehen Sie in Ihrem Google Analytics durch die Sammlung von Pseudonymen Identifikatoren

Ihre Google Analytics-Implementierung verwendet möglicherweise bereits pseudonyme Indentifier. Dazu können gehören:

Benutzer-ID: Kontrollieren Sie, dass die Benutzer-IDs alphanumerische Datenbank-IDs sind und keine Daten, die im Klartext geschrieben sind, wie E-Mails, Benutzernamen usw.

Hashed / Verschlüsselte Daten wie E-Mail-Adresse: Überprüfen Sie, ob Sie auf Hash-Daten oder verschlüsselte Daten verzichten können. Google hat eine Hashing-Mindestanforderung von SHA256. Es wird jedoch empfohlen, das Sammeln von Daten auf diese Weise zu vermeiden.

Transaktions-IDs: Transaktions-IDs sind technisch pseudonymisierte Identifikatoren, da sie bei Verknüpfung mit einer anderen Datenquelle zur Identifizierung einer Person führen können. Stellen Sie sicher, dass diese ID eine alphanumerische Datenbankkennung ist.

Checkliste 2: Schritte zur DGSVO-konformen Verwendung von Google Analytics auf Ihrer Website


1. Geben Sie in Ihrer Datenschutzerklärung und / oder Ihrer Cookie-Richtlinie Transparenz über die Datenverarbeitung auf Ihrer Website

Stellen Sie sicher, dass die tatsächliche Datenverarbeitung, die auf Ihrer Website stattfindet, eindeutig angegeben ist, z. B. in Ihrer Datenschutzerklärung.

Es ist eine Anforderung der DSGVO, dass die Informationen über die Datenerhebung ...   

In unserem Artikel Datenschutzerklärung erfahren Sie mehr über die Anforderungen und die Einhaltung.

Haben Sie eine richtige Cookie-Richtlinie? Die Cookie-Richtlinie sollte für Ihre Benutzer zugänglich sein und darlegen, welche Cookies verwendet werden, welchen Zweck sie erfüllen und wie Nutzer sich dafür und dagegen entscheiden können.

Es spielt keine Rolle, ob Ihre Cookie-Richtlinie ein unabhängiges Dokument oder in Ihre Datenschutzrichtlinie integriert ist, solange die Informationen für Ihre Benutzer leicht zugänglich sind.

Lesen Sie mehr über die Anforderungen für die Cookie-Richtlinie und deren Einhaltung.

Mit Cookiebot kann der monatliche Bericht über den Scan Ihrer Website als integrierter Bestandteil Ihrer Datenschutzerklärung und Cookie-Richtlinie veröffentlicht werden. Auf diese Weise sind Ihre Informationen für Ihre Benutzer stets spezifisch und auf dem neuesten Stand der Datenverarbeitung, unabhängig davon, wie sich Ihre Tools und Cookies ändern.

Außerdem enthält die Erklärung automatisch die obligatorischen Optionen zum Ändern und Widerrufen der Zustimmung.

2. Implementieren Sie eine mit der DSGVO konforme Cookie-Zustimmung

Die korrekte Einwilligung in die Verwendung von Cookies von Ihren Besuchern ist ein wesentlicher Bestandteil der Konformität Ihrer Website mit der DSGVO.

Um konform zu sein, muss die Zustimmung...

Lesen Sie mehr in unserem Artikel über Cookie-Zustimmungen und die DSGVO.

Cookiebot ist eine der wenigen Cookies-Zustimmungs-Lösungen, welche all diese Voraussetzungen erfüllt. Man kann Google nicht kontrollieren. Durch die Implementierung von Cookiebot können Sie jedoch die Verwendung von Cookies und das Online-Tracking DSGVO-konform auf Ihrer Website vornehmen.

Ressourcen


GDPR Report: GDPR and Google Analytics
Digital Third Coast: How does Google Analytics actually work?
Shivarweb: What does Google Analytics do?
Google developers guide: Google Analytics cookie usage on websites
Stackoverflow: What data is collected by Google Analytics (by default)
Google's Privacy policy
Medium: Google Analytics and GDPR Compliance
Google Ads Data Protection Terms: Service Information
GOOGLE IN EUROPE Getting ready for Europe’s new data protection rules
Googles EU User Consent Policy
Full classification of Googles Ads products

Machen Sie heute die Verwendung von Cookies und Online-Tracking auf Ihrer Website DSGVO-/ePR-konform

Jetzt kostenlos testen