Google Analytics datenschutz­konform einsetzen

Vier entscheidende Hinweise

Um Google Analytics 2018 datenschutzkonform und ohne qualitative Einbußen zu nutzen, müssen Unternehmen vier Punkte beachten.

1. Keine Zusammenführung personenbezogener Daten

Google Analytics nutzt die sogenannte cid, um Nutzer gerätespezifisch zu erkennen. Diese ID setzt sich aus zwei zufällig erzeugten 32-Bit-Zahlen zusammen. Sie ist daher anonym und darf zur Datenerhebung genutzt werden. Was nach wie vor verboten bleibt, ist die Anreicherung der ID mit personenbezogenen und/oder personenbeziehbaren Daten wie beispielsweise der IP-Adresse, dem Namen oder der Adresse eines Nutzers.

Wird das mit Universal Analytics eingeführte Feature der userId genutzt, muss darauf geachtet werden, dass mit dieser ID die Daten später nicht einer natürlichen Person zugeordnet werden können. Die userId kann eingesetzt werden, um einen Nutzer auch geräteübergreifend (z.B. nach dem Login auf der Webseite oder in einer App) zu identifizieren. Ohne diese ID würde Universal Analytics hier mehrere Nutzer erkennen, da die cid immer gerätespezifisch ist. Die userId hingegen ist auf allen verwendeten Systemen gleich, man bekommt also eine genauere Vorstellung der eindeutigen Nutzer und der gewählten Geräte.

Die userId ist, genauso wie die cid, weder im Interface noch in den Rohdatenexporten bei BigQuery (Google Analytics 360 Feature) sichtbar und von daher unbedenklich. Problematisch wird es, wenn man die userId zum Beispiel als Custom Dimension an Google Analytics schickt. Hier wäre eine Zuordnung zur natürlichen Person möglich – und deshalb ist dieses Vorgehen datenschutzrechtlich höchst bedenklich.

Ein weiterer Punkt, der häufig vergessen wird: Gibt es beispielsweise einen Newsletter-Sign-up, muss darauf geachtet werden, dass auf der Double Opt-In-Seite nicht die Email-Adresse des Nutzers in Klartext steht. Häufig sieht man hier URLs wie www.domain.com/newletter-success?email=john.doe@mail.com. Auf diesem Weg würde natürlich dann die Mailadresse als personenbezogene Information in den Seitenreportings von Google Analytics erfasst.

2. Auf den Einsatz von Google Analytics gut sichtbar hinweisen

Auf die Nutzung von Google Analytics muss in den Datenschutzerklärungen/Impressum ausdrücklich hingewiesen werden. Ein Beispiel dazu gibt es auf unserer Datenschutzseite.

3. Ein geräterübergreifendes Opt-out ermöglichen.

Jeder Nutzer hat das Recht, sich der Webanalyse zu entziehen. Eine Möglichkeit dazu liefert Google selbst mit einem Browser-Add-on zur Deaktivierung von Google Analytics, auf welches im Datenschutz hingewiesen werden muss. Das Problem an dieser Stelle: Die Opt-Out Lösung funktioniert nicht für mobile Endgeräte. Deshalb ist es nötig, einen entsprechenden Button bereit zu stellen, mit welchem sich der Nutzer durch einen Click aus dem Tracking nehmen kann. Google stellt hierfür eine Lösung bereit, die jedoch persistent vor dem Aufruf jeglicher Tracker stattfinden muss. Das ist in der Regel eher umständlich. Deshalb macht es Sinn, eine Lösung zu bauen, die über ein Tag Manager System getriggert wird.
Eine Lösung ist auch für Firebase verfügbar.

4. Abschluss des Vertrags zur Auftragsdatenverarbeitung mit Google selbst

Um die für den internationalen Datentransfer notwendigen Voraussetzungen zum Einsatz von Google Analytics zu schaffen, hat Google im September 2016 mit seinem Beitritt zum neuen Privacy Shield eine Vorlage herausgebracht. Diese Vorlage muss entsprechend ausgefüllt und per Post an Google geschickt werden. Nicht wundern – eine Antwort dauert in der Regel zwischen vier und sechs Wochen.

Die neu im Mai 2018 in Kraft tretenden Regelungen der Datenschutz-Grundverordnung (DSGVO) werden neue Bestimmungen zu Cookies beinhalten. Cookies sind für das Tracking die Grundvoraussetzung, sodass man voraussichtlich (je nach Auslegung der Verordnung) eine aktive Einwilligungserklärung der Websitebesucher zur Nutzung von Cookies benötigen wird. Bisher war es ausreichend, auf den Opt-out hinzuweisen.

Da die Form der Einwilligungserklärung nicht vorgeschrieben ist, kann man hier die Aktivierung eines Feldes oder Schiebereglers innerhalb eines Banners oder Pop-ups beim Seiteneinstieg nutzen, um eine Zustimmung zur Verwendung der Cookies zu erhalten. Wichtig hierbei ist, dass die Zustimmung aktiv erfolgt und nicht per default eingestellt ist und bloß bestätigt werden muss.

Der Einsatz von Cookie-Bannern hat sich in den vergangenen Jahren als gutes und bekanntes Mittel bewährt. Diesen Banner kann man auch mittels Google Tag Manager einbauen. Letztendlich wird sich eine finale Rechtslage voraussichtlich durch die ePrivacy-Verordnung geschaffen werden. Wann sie jedoch in Kraft tritt, ist aktuell unklar.