Das Thema Google Analytics und Datenschutz hat vor einer Weile hohe Wellen geschlagen.
Von einer neuen Abmahnwelle war da schon die Rede, was aber sicherlich übertrieben war. Trotzdem haben einige Website- und Blog-Betreiber vorsichtshalber den Analytics-Code schon mal entfernt.
Nun hat es aber offenbar die Wende gegeben. Google Analytics wurde von Datenschützern unter bestimmten Bedingungen für datenschutzkonform erklärt.
Google Analytics datenschutzkonform einsetzen
Google hatte ja schon vor längerer Zeit auf die Kritik der Datenschützer reagiert und Instrumente wie die IP-Maskierung eingeführt.
Es gab viele Gespräche seitens Google mit den Datenschutzbehörden, vertreten durch den Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit.
Nun hat dieser erklärt, dass Google Analytics unter bestimmten Voraussetzungen problemlos in Deutschland nutzbar ist.
Anforderungen an den Analytics Einsatz
Wer nur den Standard-Code von Google Analytics kopiert und in seine Website einfügt, ist noch nicht aus dem Schneider.
Die folgenden Punkte müssen erfüllt sein, damit man ohne Ärger zu bekommen Analytics einsetzen kann:
- Datenschutzerklärung
In der eigenen Datenschutzerklärung muss darauf hingewiesen werden, dass Google Analytics eingesetzt wird. Diverse Datenschutz-Generatoren bieten diesen Text. - IP-Maskierung
Die IP-Maskierung (wie hier im Artikel beschrieben) muss eingesetzt werden. - Browser AddOn und Opt-Out-Script
In der Datenschutzerklärung muss zudem darauf hingewiesen werden, dass der Nutzer mit dem Google Browser-Addon Google Analytics in den wichtigsten Browsern (Google Chrome, Firefox, Internet Explorer, Safari und Opera) komplett deaktivieren kann. Zudem muss man noch einen Link in die Datenschutzerklärung einbauen (samt einem JS-Code auf jede Seite der eigenen Website), um das Opt-Out durch einen Cookie zu ermöglichen. Auch diesen Code bieten Datenschutz-Generatoren mittlerweile häufig an. - Neue Nutzungsbedingungen
Google selber hat seine Nutzungsbedingungen angepasst, damit sie die geforderten Regelungen zu Auftragsdatenverarbeitung enthalten. Diesen Vertrag muss man dann auch ausdrucken und unterschrieben zu Google senden. - Altdaten löschen
Es wird zudem gefordert, dass man die Analytics-Altdaten löscht, indem man seinen Account schließt und einen neuen anlegt. Das finde ich recht problematisch, da Statistiken ja gerade dann Sinn machen, wenn man diese lange sammelt. Zudem habe ich die IP-Maskierung schon lange im Einsatz. Und wie will man das denn überhaupt überprüfen? Nun gut, das muss jeder selber wissen.
Punkt 1 ist klar und war ja auch bisher schon so erforderlich.
Punkt 2 ist manuell kein Problem. Wer jedoch z.B. in WordPress ein Analytics-Plugin nutzt, dass den Code automatisch erzeugt, könnte Probleme bekommen. Die US-Plugins unterstützen in der Regel nicht die Möglichkeit, den Maskierungs-Code einzubauen. Da bleibt aktuell also nur die manuelle Einbauweise.
Punkt 3 sollte auch kein Problem sein. Ich muss das in den kommenden Tagen noch ergänzen.
Punkt 4 mag rechtlich wichtig sein, aber ich glaube nicht, dass sich bisher auch nur ein Website- / Blog-Betreiber die Nutzungsbedingungen durchgelesen hat. 🙂
Punkt 5 lasse ich mal so stehen. 🙂
Am Ende sind es also 3 einfache Maßnahmen, die man durchführen muss, damit man zumindest bzgl. Google Analytics keinen Ärger durch Datenschützer etc. erwarten muss.
Auf Blogprojekt.de habe ich diese 5 Maßnahmen nochmal ausführlich Schritt für Schritt erläutert.
Fazit
Die Geschichte hat sich sehr lang hingezogen und das, obwohl nun ein paar einfache Maßnahmen ausreichen, um das Problem aus der Welt zu schaffen.
Ich finde es aber natürlich gut, dass dieses Problem nun endgültig geklärt scheint und die Website- und Blogbetreiber nun Rechtssicherheit haben.
Es gibt zwar mittlerweile schon recht kritische Meinungen dazu, aber ich hoffe, dass das Thema nun endlich vom Tisch ist.
Hoffen wir mal, dass sich die Situation um Facebook ebenso gut klärt und wir das Thema Datenschutz in Zukunft zumindest wieder etwas entspannter und mit weniger Aufregung beobachten können.
- Danke für 16 tolle Jahre - 13. Juli 2023
- So erstellst du deine erste Newsletter-Mail in 10 Schritten mit CleverReach - 13. Juli 2023
- Die 5 besten Features des Amazon Affiliate WordPress Plugin – AAWP - 12. Juli 2023
Danke für diese Infos. 🙂 Werde ich demnächst dann auch mal angehen.
Gruß
Thomas
Hallo Peer,
vielen Dank für diese positiven Nachrichten. Ich hoffe dieser Zirkus hat jetzt endlich ein Ende gefunden. Jetzt kann auch der Hamburger Datenschutzbeauftragte Johannes Caspar endlich seine Seite wieder online stellen 😉
https://www.taz.de/!64232/
Hallo.
Das ist eine gute Neuigkeit. Auch wenn ich Analytics rausgenommen habe und nicht wieder aktivieren werde, weil mir die Alternative PIWIK besser gefällt sorgt das bei seitenbetreibern sicherlich für ein gehöriges Aufatmen.
Gruß, Max
Hallo Peer,
auch wenn der GA-Code leicht per Hand einzubauen ist: wer GA lieber über ein WordPress-Plugin einbauen will, sollte sich einmal das Analytics-Plugin von Yoast anschauen, da funktioniert die IP-Maskierung schon seit längeren – einfach ein Häkchen setzen, fertig.
Die Nutzungsbedingungen (Punkt 4 in Deiner Liste) sollte man nicht einfach übergehen, da hier auch die Regelungen zur Auftragsdatenverarbeitung enthalten sind. Und das Bundesdatenschutzgesetz sieht für einige dieser Regelungen die Schriftform als erforderlich an. Also dem Link folgen, das Google-Formular ausdrucken, ausfüllen, unterschreiben und an Google senden. Erst wenn man es von dort unterschrieben zurück erhält, ist man genau genommen auf der rechtlich sicheren Seite.
Naja, vielleicht solltest Du in Deinem Artikel die Bewertung von Thomas Stadler mit einließen lassen. http://www.internet-law.de/2011/09/google-analytics-neuerdings-datenschutzkonform.html
@ Silvia
Danke für den Plugin-Hinweis. Das schaue ich mir gleich mal an.
@ Ole
Besser doppelt gemoppelt, als gar nicht. 😀
Dass das alles etwas unlogisch ist, ist für mich an dieser Stelle nicht so relevant. Es gibt kein rechtliches Risiko mehr, das ist für mich das entscheidende.
Also was Punkt 4 angeht:
Da wäre ich besser vorsichtig, denn es kann JEDEM ruckzuck passieren das irgendein findiger Anwalt oder rechtlich informierter Nutzer daherkommt und einen verklagt, nur weil man diesen Abschnitt “vergessen” hat einzufügen mit der Begründung das dass Impressum oder den Datenschutzhinweis eh niemand liest.
@ Stefan
Da gibt es ein Missverständnis. Ich meine damit die Nutzungsbedingungen, die man akzeptiert, wenn man sich bei Google Analytics als Website-Betreiber anmeldet.
Die hat doch keiner gelesen.
Die Datenschutz-Infos auf der eigenen Seite sollte man natürlich einbauen.
Hallo!
Ich denke auch das ein Grossteil der Nutzer die Nutzungsbedigungen nicht…ja nicht einmal bis zur zweiten Zeile…gelesen haben!!!
Jetzt Ehrlich…wer hat schon diese bei Google, Amazon…oder den anderen verwendeten Diensten gelesen???
MfG
Csaba
Hm….irgendwie steht mal wieder überall was anderes:sad:
Das hatte ich gerade in meinem Reader
http://spreerecht.de/datenschutz/2011-09/google-analytics-rechtssicher-nutzen-anleitung-fuer-webmaster
Bei dir hört sich das ein bisschen einfacher an….welches ist denn nun richtig?
Mich nervt dieser dauernde Datenschutzstress einfachnur noch
LG
Tina
Ausserhalb von Hamburg sollten wir alle noch nicht zu früh jubeln!
Die Vereinbarung ist bislang nur für Hamburg binden, fehlen also noch 15 Bundesländer, die uns noch andere Hürden in den Weg stellen können!
Von daher: leise und bedächtig freuen, wenn überhaupt
Na das sind ja mal gute Nachrichte. Mal sehen ob die Auswirkungen bald spürbar sind.
@ Tina
Was ist da genau schwerer?
Den Vertrag müsste man nochmal ausdrucken und an Google senden.
Und beim Löschen der Daten ist das eher eine Vermutung des Artikelautors, zumal er ja selber schreibt, dass das sowieso keiner prüfen kann.
@ Marcus
Soweit ich das verstanden habe, war der HH-Datenschutzbeauftragte der Verhandlungsführer der Datenschützer. Die Vereinbarung gilt aber Bundesweit, meiner Meinung nach.
zu Punk2: Wie kann ich denn die IP Maskierung bzw. das Plugin dazu, in meine statische Website einbauen? Gibt es dazu irgendwo eine ausführliche Beschreibung? Was genau muss ich jetzt da in meinem Analytics Quellcode verändern bzw. ergänzen??
Wäre dankbar wenn mir jemand helfen kann:???:
Was mir da gerade durch den Kopf geht: Wenn der Besucher per Browser-Add-on Analytics deaktivieren kann, wie aussagekräftig ist dann diese Statistik noch? Niemand weiß wie viel Prozent der Besucher dieses Add-On zum Deaktivieren von Analytics nutzen…
@Dirk: Frag mal irgendjemanden ob er schon mal von Analytics oder einem Datenschutz-Add-on gehört hat – mehr als verständnislose Blicke wirst du nicht ernten 🙂 Da bleiben glaube ich noch genug Leute übrige die gezählt werden
Gerhard
@Dirk
Auch wenn man das Analytics Script ohne weiteres _theoretisch_ blockieren kann, so bin ich mir ziemlich sicher, wird das der Großteil sowieso nicht machen. Aus dem einfachen Grund weil es den meisten Leuten egal ist. Glaube kaum, dass sich daran was ändern wird, nur weil ein Hinweis in der Datenschutzerklärung steht. Wie viele Leute lesen diese überhaupt, wenn sie eine Webseite besuchen? 😉
Was gibt es den für Alternativen , die ähnlich viel leisten können und die auch was taugen ? Wäre über Tipps dankbar
Mich wunderte ein wenig, dass die Datenschützer im hohen Norden plötzlich vernünftig geworden sind. IP-Anonymizer, Browser-Plugins und einen Hinweis hierzu in der Dateschutzerklärung gibt es ja nicht erst seit gestern. Ist jetzt Facebook der neue Bösewicht mit seinem Like-Button?
Ich hatte eine Zeit lang versucht auf GA zu verzichten und nur auf ein Datenschutz-konformes Piwik zu setzen. Piwik ist sicher für viele Seite völlig ausreichend, doch bei GA stimmt einfach das Komplettpaket und dort muss Piwik noch hin kommen.
Mich freut die Entscheidung auf jeden Fall, auch wenn das sicher noch immer nicht das letzte Wort hierfür war.
Das ist ein guter Anfang, auch wenn noch keine allgemein gültige – also deutschlandweite Lösung gefunden wurde. Gebe da Marcus recht – nicht zu früh freuen.
Die Diskussion mit den Google Analytics und dem aus Sicht der Datenschützer verletzten Datenschutzrecht wird meiner Meinung nach noch länger andauern. Mal sehen.
Super, danke für die Info. das wird gleich umgesetzt und damit ist das Thema dann hoffentlich endlich erledigt.
es fehlt Punkt 5: Löschung von Altdaten
na endlich ist diese sache vorbei…aber das solche sachen gibt es auch immer nur in deutschland habe ich das gefühl, ich hab bisher noch nicht gehört, dass in anderen ländern ähnliche datenschutz-debatten geführt werden
@ cs
Ich habe den Punkt 5 mal ergänzt. 🙂
Ist es gewollt, dass bei Punkt 5 steht, dass du es NICHT problematisch findest? ich finde das mehr als problematisch…
@ Loco
Mein Fehler. Ich finde es problematisch.
Beim Punkt “4. Neue Nutzungsbedingungen: Google selber hat seine Nutzungsbedingungen angepasst, damit sie die geforderten Regelungen zu Auftragsdatenverarbeitung enthalten.” muss beachtet werden, dass der Vertrag zur Auftragsdatenverarbeitung schriftlich erfolgen muss und Google sogar den Vertrag gegenzeichnet: siehe http://static.googleusercontent.com/external_content/untrusted_dlcp/www.google.de/de/de/intl/de/analytics/tos.pdf
Auch wenn RA Stadler das etwas skeptischer sieht ( http://www.internet-law.de/2011/09/google-analytics-neuerdings-datenschutzkonform.html )
Mir persönlich ist nicht klar, was soll der Punkt mit dem Vertrag? Muss ich da nun wirklich handeln und Google etwas zu schicken, nur um langfristig Analytics zu nutzen?
Muss ich das je Projekt, je Account, was passiert, wenn ich nichts mache?
Hallo Karina,
ich schätze mal, dass die meisten diesen Vertrag nicht ausfüllen und an Google senden.
Wenn, dann reicht aber sicher ein Vertrag je Account und nicht für jedes Projekte darin.
Ich habe nur eine Website( Medizin als Info. meiner Arbeit ) die man sich ansehen sollte, aber schon der Kontakt via E-Mail möchte ich so gut wie möglich unterbinden. Ich verweise auf den telefonischen Kontakt. Habe keinen Newsletter, Kontaktformular, Online Terminkalender.
Nun habe ich den ganzen Klimbim wie Goggle Analy., Cookies und frage mich jetzt das alles löschen zu lassen.
Was braucht man dann ausser der Datenschutzerklärung die auf meine Arbiet ausgerichtet ist. Ein Impressum mit den Kontaktdaten meiner Praxis. Mein Webmaster macht schon eine Welle und ist der Meinung das alles angepaßt und ergänzt und erneuert werden muss..
Ich bin da skeptisch, was man dann wirklich braucht um der DSGVO gerecht zu werden..
Kann mir jemand da eine auskunft geben ?