Google Analytics DSGVO konform einstellen: Vier Schritte Guide

Laut dem Urteil des BGH bestätigt Deutschland, dass die Nutzung von Google Analytics zum Zwecke der Werbung und Marktforschung eine aktive Einwillung des Besuchers bedarf (BGH, 28.05.2020 – Cookie-Speicherung).

Welche Maßnahmen bedarf es, um Google Analytics DSGVO konform zu nutzen? Durch diesen neuen Beschluss des Bundesgerichtshofs ist genauer festgelegt, wie die Einwilligung für die Verarbeitung von Analytics Daten eingeholt werden muss. Außerdem ist festgelegt wie die Speicherung (Cookies) von Daten bei Nutzern einer Website eingeholt werden muss. In diesem Blog Beitrag von Mix-Werbung wird erklärt wie Analytics DSGVO konform einzubinden ist, um Abmahnungen zu vermeiden.

DSGVO: Analytics Datenaufbewahrung

Über die Einstellungen des Programms kann bestimmt werden, welche Daten gesammelt und wie sie aufbewahrt werden. Für DSGVO Konformität bedarf es (a) Einstellungen in Analytics selbst und (b) Änderungen der Cookie Einwilligung.

(a) Einstellungen in Google Analytics

Als erster Schritt hin zu einer DSGVO konformen Nutzung von Google Analytics müssen Unternehmer die Einstellungen des Programms beachten. Denn die Einstellungen in GA bestimmen welche Pflichten Du bei der Cookie Einwilligung hast. In diesem Abschnitt erklärt die Redaktion von Mix-Werbung.de den Umgang mit persönlichen Daten in Analytics.

1. Nutze Daten in Google Analytics DSGVO konform

Was sind persönliche Daten? Persönliche Daten ermöglichen es die Identität einzelner Nutzer zurück zu verfolgen. Bezüglich Google Analytics sind dabei zwei Einstellungen wichtig.

Zuerst sind Websitebetreiber in jedem Fall in der Pflicht IP Adressen zu anonymisieren. Die Anonymisierung der IP Adressen erfolgt über einen Zusatz bei dem Tracking Code. Enthält der Tracking Code die folgende Zeile? ga(’set‘, ‚anonymizeIp‘, true); …Prima, der erste Schritt zu einer DSGVO konformen Nutzung ist getan. Denn die Code Zeile löscht die letzten 8 Bit der IP Adresse jedes Besuchers. So ist zwar eine grobe Lokalisierung der Besucher weiter möglich, allerdings reicht diese Änderung, um die deutschen Datenschutzbehörden zu besänftigen.

Die zweite GA Einstellung in Bezug auf persönliche Daten bezieht sich auf eine mögliche Erstellung von Zielgruppen oder die Verknüpfung mit einem Google Ads Werbekonto. Sollte eine dieser beiden Einstellungen genutzt werden: Werden Zielgruppen erstellt, oder ein Werbekonto genutzt. So beschloss der BGH, dass Google Analytics in jedem Fall keine für die Funktionen der Website nötige Applikation ist. Hier wird die Trackingsoftware für Werbezwecke genutzt. Das hat zur Folge, dass GA ein Cookie Opt-in benötigt: In anderen Worten, der Besucher der Website muss aktiv der Nutzung von Google Analytics zustimmen. Was ein Cookie Opt-in ist und wie es aussieht, wird im Abschnitt „DSGVO: Google Analytics Cookie Einwilligung beschrieben“.

2. Speichere Daten in Google Analytics DSGVO konform

Standardmäßig ist Google Analytics so eingestellt, dass Cookies 26 Monate lang gespeichert werden. Leider schreibt die DSGVO keine genaue zeitliche Begrenzung für die Daten Aufbewahrung vor. Lediglich wurde beschlossen, dass die Dauer der Daten Aufbewahrung zeitlich begrenzt sein muss und die Dauer begründet sein muss. Zudem geht mit dem Urteil des BGH seit dem Jahr 2020 die Pflicht einher, dass die Länge der Daten jedem Besucher offen gelegt werden muss.

Die Offenlegung geschieht über die Datenschutzerklärung. Mix Werbung empfiehlt zum Zwecke der Optimierung die Datenspeicherung auf maximal 52 Monate zu begrenzen. Wer allerdings konservativ agieren möchte, sollte die Daten lediglich 14 Monate speichern. Die Entscheidung liegt in dem Ermessen Deines Datenschutzbeauftragten.

(b) Cookie Einwilligung DSGVO konform einholen

Laut DSGVO und dem Urteil des BGH reicht es nicht aus, dass Besucher lediglich auf die Verwendung von Cookies hingewiesen werden. Stattdessen müssen Nutzer der Website bei Cookies, die funktionell nicht zwingend notwendig sind, aktiv ihre Einwilligung geben. Diese aktive Einwilligung der Cookies nennt sich in Fachkreisen Opt-in.

3. Cookie-Opt-in für Google Analytics

Google Analytics gilt als nicht zwingend nötig. Das heißt, dass seit dem Jahr 2020, neue Besucher gefragt werden müssen, ob der Analytics Cookie gespeichert werden darf (Cookie-Opt-in). Ist der Besucher einverstanden, wird das Nutzerverhalten darunter Klicks und besuchte Seiten aufgezeichnet. Gibt der Nutzer nicht seine Einwilligung, sondern ist nur mit funktionellen / essenziellen Cookies einverstanden, erscheinen Informationen der Besucher nicht in der Statistik. Zwar wird bei Option zwei der Klick in der Statistik verzeichnet, allerdings fehlen alle personenbezogenen Daten (Quelle, Interessen, etc.).

4. Cookie Einwilligung zu Google Analytics gemäß DSGVO konform einholen

Bei der Abfrage der GA Cookie Einwilling müssen Nutzer über drei Punkte informiert werden.

• Lege offen, ob IP Adressen gespeichert, oder interessenbezogene Daten gesammelt werden. Des Weiteren muss ersichtlich sein, ob Profiling Funktionen (Alter, Geschlecht, etc.) genutzt werden.
• Mache ersichtlich, wie lange Daten gespeichert werden.
• Hinterlege Google LLC als Anbieter von Analytics inklusive der Datenschutzerklärung von Google als Link (https://policies.google.com/privacy).

Werden die vier Schritte befolgt, brauchst Du Dir keine Sorgen mehr über den Datenschutz bei Google Analytics zu machen. Glückwunsch: Du befolgst alle Beschlüsse des BGH Stand 28.05.2020! Du hast Fragen oder benötigst Hilfe bei der Einrichtung von Google Analytics bzw. der DSGVO konformen Cookie Einwilligung? Kontaktiere uns!