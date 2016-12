Update 2016 Dieser Beitrag stammt aus 2011, ist deswegen aber nicht zwingend überholt. Die Anforderungen haben sich grundsätzlich nicht geändert, aber das Ende der "Safe Harbor" Regelung und Googles ersatzweiser Anschluss an das "Privacy Shield"-Abkommen hat eine neue Fassung des Vertrags (Link im Beitrag unten wurde aktualisiert) erfordert. Wir empfehlen daher auch dann, wenn Sie bereits einen älteren Vertrag haben, diesen mit der Fassung von Anfang September 2016 zu erneuern, indem Sie den Vertrag erneut ausdrucken und einsenden. Ebenso sollten Sie den Datenschutzhinweis aktualisieren, damit dieser zu den Bedingungen des neuen Vertrages passt. Ein aktualisiertes Muster finden Sie ebenso unten im Beitrag.

Endlich! Zumindest vorläufig ist die Debatte um Datenschutzkonformität von Google Analytics zu einem glücklichen Ende gekommen: Der Hamburger Datenschutzbeauftragte Johannes Caspar hat (Update 2016: "hatte" ist hier richtiger, der bisherige Link führt nun leider auf eine Fehlerseite) die genauen Anforderungen an Websitebetreiber auf seiner Website beschrieben, die zu einer sauberen Nutzung von Google Analytics zu erfüllen sind.

Man könnte jetzt aufatmen, wenn da nicht ein paar Kleinigkeiten zu beachten sind: Erstens ist damit die Diskussion, ob man Google diese Daten überhaupt überlassen sollte oder nicht nicht beendet, zweitens gibt es auch technische Aspekte wie z. B. die streng genommen "zu spät" erfolgende Anonymisierung der IP-Adresse. Zudem ist möglicherweise auch eine endgültige Klärung nicht zwingend für alle Geräte wie Smartphones u. A. bereits in trockenen Tüchern. Und das EU-Cookie-Desaster ist sicher auch noch lange nicht ausgestanden



Und zu diesem "Kleinkram" gestellt sich das durchaus reale Problem, dass gefühlte +98% aller Websites betrifft, die aktuell mit Google Analytics versehen sind, auch wirklich die Anonymisierung einsetzen oder gar im Impressum oder den Datenschutzinformationen explizit (und mit dem in den Nutzungsbedinungen von GA genannten Formulierungen) auf den Einsatz von Google Analytics hinweisen. Oder gar auf die Opt-Out-Möglichkeiten hinweisen. Und fast niemand hat wohl bisher einen schriftlichen Vertrag mit Google geschlossen. Mit einer gewissen Wahrscheinlichkeit ist also auch auf Ihrer Website etwas zu tun, wenn Sie mit Google Analytics arbeiten.



Hier die Kernanforderungen ausführlich in der Übersicht:

Um den Nutzungsbedingungen (Link öffnet neues Fenster) von Google Analytics nachzukommen (also schon immer und unabhängig von der Diskussion um datenschutzkonformen Einsatz in Deutschland) muss zwingend auf den Einsatz von Analytics hingewiesen werden. Hier finden Sie ein Muster, mit dem Sie, mit dem Sie auch gleich auf die Möglichkeit des "Ausstiegs" aus dem Tracking per Browsererweiterung hinweisen:



"Diese Website benutzt Google Analytics, einen Webanalysedienst der Google Inc. ("Google"). Google verwendet Cookies. Die durch das Cookie erzeugten Informationen über die Benutzung des Onlineangebotes durch die Nutzer werden in der Regel an einen Server von Google in den USA übertragen und dort gespeichert.



Google wird diese Informationen in unserem Auftrag benutzen, um die Nutzung unseres Onlineangebotes durch die Nutzer auszuwerten, um Reports über die Aktivitäten innerhalb dieses Onlineangebotes zusammenzustellen und um weitere mit der Nutzung dieses Onlineangebotes und der Internetnutzung verbundene Dienstleistungen uns gegenüber zu erbringen. Dabei können aus den verarbeiteten Daten pseudonyme Nutzungsprofile der Nutzer erstellt werden. Wir setzen Google Analytics nur mit aktivierter IP-Anonymisierung ein. Das bedeutet, die IP-Adresse der Nutzer wird von Google innerhalb von Mitgliedstaaten der Europäischen Union oder in anderen Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum gekürzt. Nur in Ausnahmefällen wird die volle IP-Adresse an einen Server von Google in den USA übertragen und dort gekürzt. Die von dem Browser des Nutzers übermittelte IP-Adresse wird nicht mit anderen Daten von Google zusammengeführt.



Sie können die Speicherung der Cookies durch eine entsprechende Einstellung Ihrer Browser-Software verhindern; wir weisen Sie jedoch darauf hin, dass Sie in diesem Fall gegebenenfalls nicht sämtliche Funktionen dieser Website vollumfänglich genutzt werden nutzen können. Sie können darüber hinaus die Erfassung der durch das Cookie erzeugten und auf ihre Nutzung des Onlineangebotes bezogenen Daten an Google sowie die Verarbeitung dieser Daten durch Google verhindern, indem sie das hier verfügbare Browser-Plugin herunterladen und installieren."



Übernehmen Sie ebenfalls den Link zu http://tools.google.com/dlpage/gaoptout?hl=de (bei "hier verfügbare Browser-Plugin") in Ihre Fassung, wenn Sie eine abgewandelte oder erweiterte Form dieser Aufklärung einsetzen wollen. Da der Inhalt vor der Aktualisierung der Bedingungen deutlich anders ausgefallen ist, sollten Sie also auch dann nachbessern, wenn sie bisher bereits den "alten" Hinweis auf Ihrer Website verwendet haben.



Außerdem ist es empfehlenswert - unabhängig davon, ob dieser Schritt für einen datenschutzkonformen Einsatz wirklich erforderlich ist oder nicht - auch an mobile Nutzer oder andere zu denken, für die ein Browser-Plugin keine Lösung darstellt. I. d. R. bietet man hierzu eine eigene "Mobile Opt-Out-Cookie" - Lösung an. Wir bieten Ihnen bei Interesse Infos zum mobilen Opt-Out inkl. Anleitung zur Umsetzung in einem separaten Beitrag.

nachgepflegt werden, wenn diese nicht bereits vorhanden ist. Wer das noch nicht tut oder gar mit dem uralten urchin.js-Codes arbeitet, muss mehr oder weniger umfangreiche Änderungen an seiner Analytics-Implementierung vornehmen; im Idealfall nur an zentraler Stelle in einem Template. Das war ja nicht so schlimm? Na dann: Schließen Sie einen schriftlichen Vertrag mit Google (PDF, neues Fenster) ab. Das ist für den einen vielleicht nur eine ärgerliche Lektüre vor der Unterschrift, in anderen Fällen kann das aber auch für einige Verzögerung in der Rechtsabteilung sorgen. Dennoch ist es erforderlich, wenn man die Bedinungen erfüllen will. Die Frage der Kontrollierbarkeit soll hier nicht gestellt werden... Und wen das noch nicht ausreichend aufgeweckt hat:

Wenn Sie nicht erst seit kurzem mit Analytics arbeiten und schon immer die Anonymisierungsfunktion im Trackingcode hinzugefügt hatten, sind die erhobenen Daten... naja... offenbar nicht wirklich rechtskonform erhoben worden. Trennen Sie sich in diesem Fall daher für den Fall, dass Sie wirklich reinen Tisch machen wollen, von Ihren alten Analytics-Profilen und legen sie neue an. Also ja: Ändern Sie die ID in Ihrem Trackingcode auf die eines ganz neuen Profils. Ohne Altdaten zum Vergleich. Wenn Sie mehr als eine Website bzw. mehr als ein Analytics-Profil betreiben, kann das schon etwas anstrengender ausfallen. Wie genau diese Trennung aussehen soll - Profile löschen oder nur "stilllegen" - mag in der Zukunft noch genauer geklärt werden, aber ein Umstieg auf ein neues Profil ist wohl in den meisten Fällen streng genommen unvermeidlich. Der damit einhergehende Verlust der Vergleichbarkeit mit vorherigen Zeiträumen ist oftmals bestimmt dann auch ein echtes Problem... Auch hier muss in der Praxis jeder selbst entscheiden, wie wahrscheinlich unangenehme Folgen zu erwarten sind, wenn man diesen Schritt nicht geht oder wenigstens auf die Löschung der Altdaten verzichtet, sondern "nur" das Profil wechselt.



Speziell mit der Erfüllung des letzten Punkts wird vielen Webmaster bzw. IT-Verantwortlichen einige Kopfschmerzen bereiten. Je nach Art der Nutzung besteht vielleicht auch gar nicht die Möglichkeit dazu, "einfach so" auf die Altdaten der Webanalyse zu verzichten. Oder in einem größeren Unternehmen: "verzichten zu lassen"... was noch ungleich komplexer ausfallen und eine Menge Zeit in Anspruch nehmen kann.



Trotzdem ist es eine gewisse Erleichterung, dass die ewigen Diskussionen um Bußgelder bei Einsatz von Google Analytics nun zumindest erst einmal ein Ende finden. Für die meisten bedeutet das aber eben noch mehr oder weniger Aufwand bei der Umsetzung der oben genannten Anforderungen. Leider...