Google Analytics Datenschutz

Letztes Update:
14
.
10
.
2024
Lesezeit:
0
Min
Was muss man datenschutzrechtlich bei Google Analytics beachten?➨ Hier erfahren Sie alles, was Sie zu Google Analytics und Datenschutz wissen müssen.
Google Analytics Datenschutz
Die wichtigsten Erkenntnisse
  • Einwilligung der Nutzer für Google Analytics nach DSGVO erforderlich.
  • IP-Adressen anonymisieren mit „anonymizeIp“ für DSGVO-Konformität.
  • Auftragsverarbeitungsvertrag mit Google abschließen.
  • Datenschutzerklärung anpassen und Nutzung von Google Analytics angeben.
  • Altdaten ohne Einwilligung oder Anonymisierung löschen.

Wie hängen Google Analytics und der Datenschutz zusammen?

Google Analytics ist Marktführer unter den Tracking Tools und aus den meisten Marketingabteilungen nicht mehr wegzudenken. Unternehmen können damit Informationen wie Aufenthaltsdauer und Absprungrate ihrer Website oder das verwendete Gerät des/ der Webseitenbesuchers/-in ermitteln. Aus datenschutzrechtlicher Sicht gibt es beim Einsatz von Google Analytics allerdings ein paar Dinge zu beachten, da das Tracking Tool personenbezogene Daten - zu denen auch die IP-Adresse gehört - erfasst und an Google Server in den USA weiterleitet. Da es also zur Verarbeitung von personenbezogenen Daten kommt, greift die DSGVO und Unternehmen müssen sich damit auseinandersetzen, ob bzw. wie Google Analytics oder andere Tracking Tools datenschutzkonform eingesetzt werden können.

Datenschutzfreundliche Alternativen zu Google Analytics und weitere Infos finden Sie außerdem in unserem Blogbeitrag "Google Analytics & Co.: So können Sie Tracking Tools DSGVO-konform nutzen".

Datenschutzrechtliche Regelungen zur Nutzung von Google Analytics

Die DSGVO verlangt für Webtracking-Maßnahmen die Einwilligung des/der Nutzers/-in. Am 14.11.19 bestätigten die Aufsichtsbehörden für den Datenschutz dies nochmal ganz konkret für den Einsatz von „Google Analytics und ähnlichen Diensten“.

Datenschutzrechtlich ist außerdem zu beachten, dass im Falle eines Widerspruchs des Betroffenen gegen die Datenerhebung nicht nur die Nutzung für Werbezwecke, sondern die Datenverarbeitung selbst verhindert werden muss.

Natürlich spielt auch die technische Sicherheit der Daten eine Rolle. Google ist unter dem Privacy Shield zertifiziert, wodurch Google sich verpflichtet, das in der EU vorhandene Datenschutzniveau einzuhalten. Damit kann Google als seriöser Auftragsverarbeiter gesehen werden, sofern Sie alle Vorschriften der DSGVO zum rechtskonformen Webtracking einhalten.

Schritte zum datenschutzkonformen Einsatz von Google Analytics

Für den rechtmäßigen Einsatz von Google Analytics sind besonders folgende sechs Schritte zu beachten.

Abschluss eines AV-Vertrags

Da Google beim Einsatz von Google Analytics als Auftragnehmer und Sie als Auftraggeber im Sinne der DSGVO fungieren, ist mit Google ein Vertrag zur Auftragsverarbeitung abzuschließen. Dieser AV-Vertrag lässt sich im Programm selbst wie folgt abschließen:

  1. Wählen Sie in Google Analytics unter „Verwaltung > Kontoeinstellungen“ die Rubrik „Zusatz zur Datenverarbeitung“ aus.
  2. Klicken Sie nun auf „Zusatz anzeigen“ und bestätigen Sie den Auftragsverarbeitungsvertrag.
  3. Unter „Details zum Zusatz zur Datenverarbeitung verwalten“ müssen Sie dann noch Ihre Firmen- bzw. Kontaktangaben ausfüllen und zum Schluss Ihre Eingaben speichern.

Anonymisierung von IP-Adressen

Eine datenschutzkonforme Nutzung von Google Analytics ist nur möglich, wenn die IP-Adressen der User:innen anonymisiert werden. Dies kann durch die Code-Erweiterung „anonymizeIp“ erreicht werden. Der von Google vorgegebene Tracking-Code erfüllt nicht die Anforderungen der DSGVO, weshalb der Code manuell angepasst werden muss. Durch Nutzung der Code-Erweiterung werden die letzten 8 Bit der IP-Adressen gelöscht und somit „anonymisiert“. Dadurch ist zwar weiterhin eine grobe Lokalisierung möglich, dies ist jedoch von den deutschen Datenschutzaufsichtsbehörden anerkannt und akzeptiert.

Änderung der Aufbewahrungsdauer der Daten

Nach der Voreinstellung von Google Analytics werden die Nutzer- und Ereignisdaten 26 Monate gespeichert. Auch die Option „Bei neuer Aktivität zurücksetzen“ ist standardmäßig aktiviert. Mit Blick auf Art. 25 DSGVO (Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen) sollten Sie diese Funktion deaktivieren und die Aufbewahrungsdauer auf 14 Monate begrenzen.

Anpassung der Datenschutzerklärung

Die Nutzung von Google Analytics ist in der Datenschutzerklärung unbedingt anzugeben. Außerdem sollten Sie in Bezug auf Google Analytics zu folgenden Punkten Angaben in Ihrer Datenschutzerklärung machen:

Einholung einer Einwilligung

Datenschutzkonformes Webtracking ist nur mit einer vorherigen informierten Einwilligung des/der Nutzers/-in möglich. Das Tracking darf erst aktiviert werden, nachdem der Betroffene eingewilligt hat. Eine entsprechende Einwilligung kann beim Aufrufen Ihrer Website durch ein „Cookie-Consent-Tool“ eingeholt werden. Auf folgender Website finden Sie weitere Hinweise zu Cookie-Consent-Tools.

Löschung von Altdaten

Wenn Sie durch Google Analytics in der Vergangenheit bereits Nutzerprofile ohne IP-Anonymisierung oder Einwilligung erstellt haben, sind diese Daten rechtswidrig erhoben worden und somit zu löschen.

Wir beantworten Ihre Fragen zum Thema Google Analytics und Datenschutz

Warum könnte es bei der Verwendung von Google Analytics zu datenschutzrechtlichen Problemen kommen?

Im Zuge der Nutzung von Google Analytics kommt es zur Verarbeitung von personenbezogenen Daten - nämlich IP-Adressen. Darum müssen bei der Verwendung die Vorschriften der DSGVO eingehalten werden, sonst besteht die Gefahr eines Datenschutzverstoßes.

Braucht man für die Verwendung von Google Analytics eine Einwilligung der Website-Besucher:innen?

Ja, das Verhalten eines/ einer Users/-in darf erst getrackt werden, wenn er/sie darüber informiert wurde und dem zugestimmt hat. Eine entsprechende Einwilligung kann mit sogenannten Cookie-Consent-Tools eingeholt werden.

Muss ein Auftragsverarbeitungsvertrag mit Google geschlossen werden?

Ja, da die Software in Ihrem Auftrag personenbezogene Daten verarbeitet, muss ein AV-Vertrag mit Google geschlossen werden. Eine Anleitung dafür finden Sie oben unter "Schritte zum datenschutzkonformen Einsatz von Google Analytics"

Sie haben noch Fragen zum Thema? Lassen Sie sich jetzt kostenlos von unseren Expertinnen und Experten beraten.

Wenn Sie auf der Suche nach einem Partner sind, der Sie auf dem Weg zu Datenschutz und Informationssicherheit unterstützt, wenden Sie sich gern an unser Team aus erfahrenen Experten.
60+ Expertinnen und Experten
Beratung vereinbaren
Themen
Redaktion
Alexander Ingelheim
Co-Founder & CEO
Alexander Ingelheim ist Co-Gründer und CEO von Proliance. Sein Antrieb von Anfang an: Unternehmen bei den Hürden und Herausforderungen des Themas Datenschutz und der DSGVO zu unterstützen. Er bringt umfassende Erfahrungen aus seiner Tätigkeit in der internationalen Beratung mit, darunter Positionen bei Bregal Unternehmerkapital GmbH und McKinsey & Company. Darüber hinaus ist er zertifizierter Datenschutzbeauftragter (TÜV & DEKRA).
Zum Autorenprofil
Zum Expertenprofil
Über Datenschutzexperte
Ein Service der PROLIANCE GmbH.
Proliance steht für Professional Compliance für Unternehmen. Wir sind ein digital getriebenes Legal Tech Unternehmen mit Sitz in München - seit 2017 bestehend aus über 90 Privacy Enthusiasten.
Zu unseren mehr als 2.500 Kunden zählen Start-ups, mittlere Unternehmen und Unternehmensgruppen aus nahezu allen Branchen.
Über uns
Neueste Artikel

Brandheiße Themen, die Sie interessieren könnten

Newsletter

Nichts mehr verpassen – Jetzt Ihren exklusiven Datenschutz-Newsletter abonnieren!