Google Analytics IP-Anonymisierung & Opt-Out Cookie

Google Analytics deckt bei den Webanalyse-Tools nach aktuellen Schätzungen etwa 80% des Marktes ab. Einer der Erfolgsfaktoren ist hierbei der geführte, leichte Einbau des Tracking-Codes in Blogs, Webseiten, CMS oder eCommerce-Seiten. Da Google Analytics es einem so einfach und nutzerfreundlich wie möglich macht, fragen die Nutzerinnen und Nutzer nicht nach, wie Google die Daten von Usern auf der Webseite erhebt und verarbeitet bzw. wollen es auch gar nicht wissen.

Durch die mit der Datenschutzgrundverordnung (DSGVO) am 26.05.2018 erfolgten Härtung des geltenden Telemediengesetzs (TMG) in Deutschland muss und erklärt Google Analytics seinen Usern nun so genau wie nötig, was sie an User-Daten auf der Webseite tracken und dann an Google übertragen. Und um maximale Transparenz zu gewähren, können Google Analytics Nutzerinnen und Nutzer die Menge an genutzten Daten auch selbständig unter dem Reiter „Verwaltung“ in ihrem Profil steuern. Wie man als Nutzerin oder Nutzer dies jedoch DSGVO-konform am besten einstellt, verschweigt Google in den ganzen E-Mails und Support-Artikeln.

Wie bekomme ich als Betreiberin/Betreiber einer Webseite oder eines Blogs Google Analytics so eingestellt, dass ich datenschutzkonform Statistiken erheben kann?

1. Wie und was sammelt Google Analytics für Daten

Wenn ein User die Webseite oder den Blog besucht, welche Google Analytics verwenden, so wird der Tracking-Code angesprochen. Dadurch werden bis zu vier Cookies auf dem Rechner des Users gesetzt, welche die Aktivitäten des Users auf der Webseite erlauben zu verfolgen:

• Ein Eigenschaften-Cookie, welches Computerinformationen wie Browser-Version, Bildschirmauflösung, Spracheinstellung u.a. speichert.
• Weiterhin wird ein Wiedererkennungscookie gesetzt. Dieser ermöglicht Google Analytics die Identifizierung von wiederkehrenden Usern.
• Der wiederum gesetzte Session-Cookie ermittelt die Dauer des Besuchs auf der Webseite oder Blog.
• Je nach Konfiguration des Analytics-Kontos wird auch ein Segmentierungs-Cookie gesetzt, der die User in Kategorien einteilt und ein Kampagnen-Cookie, der User bestimmten Online-Kampagnen zuordnet, die der Webmaster gestartet hat.

Sind die Daten registriert, ruft der Trackingcode ein Pixel auf dem Google-Server ab, woran nun das Paket mit den erhobenen Daten gehängt und schliesslich samt der IP-Adresse, von wo der User auf die Webseite oder Blog gegangen ist, an die Google Analytics Webserver gesandt wird.

Mit Hilfe der Google-Analytics-ID können diese Daten zu dem Konto und der dazugehörigen Webseite oder Blog zugeordnet werden. Nun können Nutzerin oder Nutzer und Google diese Daten im Analyitcs Umfeld benutzen.

• Die Art der Besuche: Hier erhebt das Google Analytics Tool Daten aus dem gesetzten Eigenschaften.-Cookie und berechnet diese im Dashboard zu: Art der regionalen Herkunft, verwendetes Betriebssystem sowie Endgerät, mit welchen auf die Website zugegriffen wird.
• Die Herkunft des Traffics: In diesem Segment erfasst Google Analytics Webseitenverweise oder aus welchem sozialen Netzwerk der User auf die Webseite oder den Blog gelangt ist. Verknüpft man ein AdWords-Konto mit dem Analytics Account, so lassen sich auch Daten aus dem Werbeprogramm importieren und verbinden.
• Das Verhalten der User auf der Website: Per Session-Cookie misst und wertet Google Analytics neben Zielseiten, Klickpfaden auch Absprungraten und die Verweildauer auf einzelnen Unterseiten aus.
• Umsatzzahlen: Diese Funktion kann optional bei E-Commerce-Websites aktiviert werden. Ist sie aktiv, speichert Google Analytics auch Umsätze eines Online-Shops. Ebenso können auch Conversion-Ziele wie Downloads oder Newsletter-Abonnements von Google Analytics gespeichert werden.

2. Die Frage nach der Verwendung und dem berechtigten Interesse

Durch die DSGVO wird der Umgang mit personenbezogenen Daten gehärtet. Das heißt als Betreiberin/Betreiber einer Webseite oder Blog muss ich transparent machen, dass ich mich zum einen mit der Datenerhebung und Verarbeitung durch Dienstleister beschäftigt, dieser nachweisen kann und zum anderen, warum ich ein berechtigtes Interesse habe, personenbezogene Daten zu speichern.

Bezogen auf Google Analytics bedeutet diese Fragestellung: Warum gebe ich dem Dienstleister Google Analytics personenbezogene Daten von Usern meiner Webseite oder Blog und welche Daten muss bzw. kann ich ihm geben?

Zweckbindung von Google Analytics: Die von GA für mich erhobenen Daten dienen der Analyse der Leistung meiner Website und im Falle von eCommerce-Seiten u.a. den Leistungen von Marketing-Kamapagnen. Die Ergebnisse dieser Analysen fließen wiederum in die Optimierung von Webinhalten und der Website-Technik ein. So lassen sich durch die Erkenntnisse in Google Analytics wichtige Handlungsempfehlungen für die Internetseite und deren Usern ableiten: Als Beispiel die Platzierung von Bild- oder Textelementen oder die Vereinfachung des Einkaufsprozesses im Warenkorb.

Welche Daten darf ich übertragen? Die an GA übertragenen Daten durch die 4 Cookies erfüllen, wenn man dies im Impressum ausweist und ein Opt-Out anbietet, das berechtigte Interesse zum Zwecke der Webseitenanalyse. Aber Google bietet in seinem Tracking-Code und in seinem Analytics Verwaltungseinstellungen noch mehr „Vereinfachungen“, die mehr als nur diesem Zweck gerecht werden.

Folgende Daten sollten niemals über die Zusatzeinstellungen erhoben bzw. an Google Analytics verschickt werden:

• Name
• E-Mail-Adresse
• Telefonnummer
• Postadresse
• Geburtsdatum
• Zahlungsdaten (z.B. Kreditkartendaten)

Für eine genaue, datenschutzkonforme Einstellung von Google Analytics im Dashboard rate ich nachfolgendes Tutorial an: GA datenschutzkonform einsetzen und konfigurieren

3. Technische Einstellung des Tracking-Codes

Nebst Verwaltungseinstellung muss der Tracking-Code angepasst werden. Wie unter 1. beschrieben schickt das Tracking-Pixel die komplette IP-Adresse des Users an Google mit. Dies wird als personenbezogene Datenquelle verstanden, da ich den User eindeutig identifizieren kann. Natürlich könnte man die IP-Adresse bei sich auf den Webservern aus berechtigtem Interesse der Cyber-Security speichern, aber eine Übersendung an Google als Analyse-Dienstleister ist nicht mehr zulässig. Um zum einen die IP-Anonymisierung (der letzten acht Ziffern) zu gewähren und zum anderen Usern ein Opt-Out für Google Analytics anbieten zu können, sollten folgende Einstellungen vorgenommen werden.

Verwendung des Universal Analytics Scripts:

<script>
(function(i,s,o,g,r,a,m){i[‚GoogleAnalyticsObject‘]=r;i[r]=i[r]||function(){(i[r].q=i[r].q||[]).push(arguments)},i[r].l=1*new Date();a=s.createElement(o),             m=s.getElementsByTagName(o)[0];a.async=1;a.src=g;m.parentNode.insertBefore(a,m)         })(window,document,’script‘,’//www.google-analytics.com/analytics.js‘,’ga‘);         

ga(‚create‘, ‚UA-XXXXXXXX-X‘, ‚auto‘);
ga(’set‘, ‚anonymizeIp‘, true);    
ga(’send‘, ‚pageview‘);
</script>

Verwendung des Global Tags:

<script async src=“https://www.googletagmanager.com/gtag/js?id=UA-110558619-1″></script>
<script>
window.dataLayer = window.dataLayer || [];
function gtag(){dataLayer.push(arguments);}
gtag(‚js‘, new Date());
gtag(‚config‘, ‚UA-XXXXXXXX-X‘, { ‚anonymize_ip‘: true });
</script>

Bei Verwendung des Google Tagmanagers

Diese Einstellungen „schwärzen“ die letzten 8 Ziffern der übertragenen IP-Adressen, womit eine Nachverfolgung für den Dienstleister Google Analytics unmöglich wird.

Opt-Out Cookie Funktion für Google Analytics ergänzen

<!– Opt-Out Option – Google Analytics –>
<script>
var gaProperty = ‚UA-XXXXXXXX-X‚;
var disableStr = ‚ga-disable-‚ + gaProperty; if (document.cookie.indexOf(disableStr + ‚=true‘) > -1) { window[disableStr] = true; }
function gaOptout() { document.cookie = disableStr + ‚=true; expires=Thu, 31 Dec 2099 23:59:59 UTC; path=/‘; window[disableStr] = true; }
</script>

Das Script muss vor dem Analytics-Script eingebaut werden. Per Linkangabe im Impressum ermöglicht man dadurch den gewillten User ein Opt-Out-Cookie, so dass die beim User auf der Webseite oder Blog gesetzten 4 Cookies deaktiviert werden (in dieser Einstellung bis zum 31.12.2099).

Folgender Link (als HMTL) sollte im Datenschutzbereich oder als Cookie Consent Bar im Footer verfügbar gemacht werden, sobald oberes Script global verbaut ist:

<a href=“javascript:gaOptout()“>Opt-Out für Google Analytics</a>

4. Anpassungen der Datenschutzerklärung

Für eine konforme Datenschutzerklärung rate ich nachfolgendes, freies Tool an, um eine Vorlage zu bekommen und diese dann ggf. anzupassen. Verwendet man nur Social Sharing Funktionen und Google Analytics, sollte man als Privatperson auf der sicheren Seite hiermit sein: https://datenschutz-generator.de/

5. Zusammenfassung – Checkliste für Google Analytics

Um weiterhin mit Google Analytics Webseitenanalyse datenschutzkonform betreiben zu können, sollte jede/r Besitzerin/Besitzer einer Webseite/Blog:

• Datenschutzeinstellung im Verwaltungsbereich von Google Analytics aktualisieren: Gute Anleitung unter GA datenschutzkonform einsetzen und konfigurieren
• IP-Anonymisierung des Tracking-Codes einstellen: Siehe unter Punkt 3.
• Opt-Out-Funktion bzw. Hinweis auf Browser-Opt-Out-Addon im Datenschutz anbieten: Siehe unter Punkt 3.
• Die Datenschutzerklärung aktualisieren. Für Privatpersonen z.B. mithilfe des https://datenschutz-generator.de/
• Ggf. eine Cookie-Consent-Bar anbieten, z.B.:
  • https://cookieconsent.insites.com/download/
  • Für WordPress: https://wordpress.org/plugins/cookie-law-bar/
• Zusammenfassend für die Verwendung von Google Analytics: https://www.datenschutzbeauftragter-info.de/fachbeitraege/google-analytics-datenschutzkonform-einsetzen/