Und was ist mit Google Analytics?

Google Analytics ist nicht Alles, hier geht es mehr um die anonyme Nutzung deiner Webseite. Geht das überhaupt noch?

Die Anonyme Nutzung deiner Webseite

Neu in der EU-DSGVO ist, dass die IP-Adresse des Nutzer als personenbezogen gilt. Folglich ist jede Nutzung irgendeiner Webseite dann immer personenbezogen. Das Internet funktioniert nun mal über IP-Adressen. Stichwort: TOR-Netzwerk lassen wir in diesem großen DSGVO XXL-Guide mal bei Seite. Was bedeutet das nun im Kontext mit Google Analytics? Soll ich auf diesen Dienst komplett verzichten? Im Zweifel tun das vereinzelt Blogger schon.

Na na, wir wollen mal die Kirche im Dorf lassen und das Ganze mal aufrollen.

Google hat Allgemein den Ruf einer „Datenkracke“. OK!

Aber wir müssen festhalten, dass die Google-Dienste nach der ISO-27001 (https://support.google.com/analytics/answer/3407084) zertifiziert sind und dem PrivacyShield (https://www.privacyshield.gov/participant?id=a2zt000000001L5AAI) Abkommen zwischen der EU und Amerika verpflichtet sind. Weiter gibt es einen Zusatz der Datenverarbeitung von Google für Nutzer im Geltungsbereich der EU-Datenschutz-Grundverordnung (https://support.google.com/analytics/answer/3379636). Und Google bietet auch Best Practices: Keine personenbezogene Daten senden (https://support.google.com/analytics/answer/6366371?hl=de&ref_topic=2919631) mit Erklärungen an.

todo Liste für den Einsatz von Google-Analytics:

• Du klärst deine Nutzer über die Funktionsweise von Google-Analytics in deiner Datenschutzerklärung auf.
• Du schließt mit Google den Zusatz der Datenverarbeitung ab. Deutschland schriftlich.
• Du anonymisierst die IP-Adresse deiner Nutzer (Das solltest du schon seit Jahren machen)
• Du bietest deinen Nutzern die Möglichkeit mittels Double Opt-Out Verfahren, das Tracken des Nutzerverhaltens auf deiner Webseite abzuschalten.

Die Anonymisierung der IP-Adressen ist recht einfach in JavaScript umzusetzen. Du musst nur genau wissen, welche Art der Integration von Google Analytics du verwendest. Diese Information bekommst du in der Verwaltung deines Google Analytics Accounts.

Der datenschutzkonforme Tracking-Code das klassische Einbindung:

<script type="text/javascript">
  var _gaq = _gaq || [];
  _gaq.push(['_setAccount', 'UA-XXXXXXX-YY']);
  _gaq.push(['_gat._anonymizeIp']);
  _gaq.push(['_trackPageview']);

  (function() {
    var ga = document.createElement('script'); ga.type = 'text/javascript'; ga.async = true;
    ga.src = ('https:' == document.location.protocol ? 'https://ssl' : 'http://www') + '.google-analytics.com/ga.js';
    var s = document.getElementsByTagName('script')[0]; s.parentNode.insertBefore(ga, s);
  })();
</script>

Universal Analytics:

<script>
(function(i,s,o,g,r,a,m){i['GoogleAnalyticsObject']=r;i[r]=i[r]||function(){
(i[r].q=i[r].q||[]).push(arguments)},i[r].l=1*new Date();a=s.createElement(o),
m=s.getElementsByTagName(o)[0];a.async=1;a.src=g;m.parentNode.insertBefore(a,m)
})(window,document,'script','//www.google-analytics.com/analytics.js','ga');

ga('create', 'UA-XXXXXXX-X', 'website.de');
ga('set', 'anonymizeIp', true);
ga('send', 'pageview');
</script>

Google TagManager – Aktuelle Einbindung:

<!-- Global site tag (gtag.js) - Google Analytics -->
<script async src="https://www.googletagmanager.com/gtag/js?id=UA-XXXXXXXX-1"></script>
<script>
  window.dataLayer = window.dataLayer || [];
  function gtag(){dataLayer.push(arguments);}
  gtag('js', new Date());
  gtag('config', 'UA-XXXXXXXX-1', { 'anonymize_ip': true }, { 'allow_display_features': false });
</script>

In der EU-ePrivacy-Verordnung ist es möglich, dass das Remarketing Negativ im Focus steht.

Was immer das bedeuten soll.

Standardmäßig ist das Remarketing in deinem Google-Account aktiviert. Um jetzt deine Nutzer noch Besser vor Remarketing, Demografien- und Interessenberichterstellung zu schützen, solltest du diese Funktion (Schalter) auf FALSE (deaktivieren) setzen.

Im Original bei Google heißt es: Zitat: „Display features tracking can be used to enable Advertising Features in Google Analytics, such as Remarketing, Demographics and Interest Reporting, and more. Because display features are enabled through your Google Analytics admin settings, there may be cases where you need to disable it programmatically. To disable display features using gtag.js, set the parameter allow_display_features to false in your property’s“ Quelle: https://developers.google.com/analytics/devguides/collection/gtagjs/display-features Ich weiß, jetzt brechen Alle Dämme der Marketing-Manager.

Was ist mit Double Opt-In?

Wie schon in der todo Liste im Umgang mit Google erwähnt, wollen wir unseren Nutzern auch noch die Möglichkeit bieten, das Google Tracking komplett zu deaktivieren. Es ist sogar so, dass deine Nutzer explizit dem Tracking zustimmen müssen. Und das muss auch dokumentiert werden. Google Tracking in der Vorauswahl ist verboten.

Ghostery – der datenschutzorientierter Werbeblocker.

Dieses kleine Firefox Add-ons ist eine leistungsstarke Datenschutz-Erweiterung. Damit kannst du Werbung blockieren, Tracker stoppen und somit Webseiten beschleunigen. Dieses Add-one gibt es auch für alle anderen Browser. Quelle: https://addons.mozilla.org/de/firefox/addon/ghostery/

Google-Tracking ausgeschaltet?

Ghostery erkennt keine Tracker mehr. Der Abschalt-Cookie von Google ist platziert und aktiv. Jeder Nutzer, welche für sich das Tracking blockieren möchte, kann sich auf meiner Seite bewegen, ohne das seine Bewegungen von Google aufgezeichnet werden. Dieser Abschalt-Cookie von Google hat eine Lebensdauer bis 31.12.2099, etwas Optimistisch meiner Meinung, aber die Absicht zählt.

Alternative:

Richtig, jetzt habe ich keine Daten zu den Bewegungen meiner Nutzers. Jetzt könnte man ein WP-Plugin: WP Statistics Von Verona Labs.
Quelle: https://de.wordpress.org/plugins/wp-statistics/ direkt einsetzen.

Stichwort: Privacy by Design und Privacy by Default

Fazit:

Nach meiner Auffassung und gesundem Menschenverstand habe ich Alles getan, um Google-Analytics EU-DSGVO gerecht zu verwenden. IP-Adressen werden per Privacy by Default für alle Nutzer anonymisiert. Meine Nutzer haben die Möglichkeit das Tracking Ihrer Bewegungen auf meiner Webseite komplett zu deaktivieren, also eine Privacy by Design Lösung. Die Erklärungen zur Verwendung von Google Analytics stehen in meiner Datenschutzerklärung. Als Betreiber der Webseite habe ich alle Vorgaben zu den Verarbeitungstätigkeiten mit Google vertraglich fixiert und in meinem DSGVO Verzeichnis dokumentiert. Es gibt auch andere Tracking-Lösung, analog solltest du mit anderen Anbietern von Tracking-Lösungen genau so verfahren. Zu diesem Thema User-Tracking empfehle ich weitere Anleitungen im Netz zu suchen.

Im letzten Part des DSGVO XXL-Guide , Quellen, Linklisten und weiterführende Informationen.