Mit Google Analytics lernen wir unsere Besucher und Leser besser kennen. Es gibt wohl kaum einen Seitenbetreiber, der nicht zu dem Google-Dienst greift. Doch gerade beim Thema Datenschutz tappen Seitenbetreiber im Dunkeln, wenn es um Google Analytics geht.

Wussten Sie beispielsweise, dass ein Vertrag zur Auftragsdatenverarbeitung mit Google obligatorisch ist, wenn Sie Analytics rechtskonform nutzen wollen? Wir haben mit Christopher Zapf von der Online-Marketing-Agentur Catbird Seat über den rechts- und datenschutzkonformen Einsatz von Google Analytics gesprochen.

Interview mit Christopher Zapf

Was dürfen Seitenbetreiber über ihre Nutzer wissen und was nicht? 

Christopher Zapf: In dem Fall geht es gar nicht darum, was der Seitenbetreiber wissen darf, sondern was Google wissen darf oder nicht. Seitenbetreiber dürfen durchaus die Daten ihrer Nutzer speichern, sie dürfen sie aber nicht an Drittanbieter weitergeben.

Deswegen müssen bei Google Analytics alle persönlichen Daten, wie Name, E-Mail oder Kontaktdaten pseudonymisiert werden. Das bedeutet, dass Drittanbieter diese Daten nicht zurückverfolgen können.

Wie kann ich sichergehen, dass ich Analytics rechts- und datenschutz-konform verwende? 

Christopher Zapf: Um Google Analytics gesetzestreu zu nutzen, müssen einige Standards eingehalten werden. 2009 hat der Düsseldorfer Kreis, der aus den Datenschutzbeauftragten des Bundes und der Länder besteht, folgende Punkte dazu festgesetzt:

  • Vertrag zur Datenverarbeitung
    Jeder Seitenbetreiber sollte einen Vertrag mit Google abschließen, der ihm erlaubt, mit den erhobenen Daten zu arbeiten.

  • IP-Daten anonymisieren
    Nach deutschem Recht gelten IP-Adressen als persönliche Daten und müssen daher anonymisiert werden. 

  • Widerspruchsrecht
    Der Nutzer muss dem Tracking durch Google Analytics widersprechen können. Für dieses sogenannte Opt-out muss der Webseitenbetreiber dem Nutzer unterschiedliche Möglichkeiten innerhalb der Datenschutzerklärung anbieten:
  1. Link auf das offizielle Google Analytics Opt-Out Plugin
  2. Zusätzlich: Link auf einen Opt-Out Cookie, der das Tracking blockiert, da auf Smartphones keine Browserplugins funktionieren

  • Angepasste Datenschutzerklärung
    In der Datenschutzerklärung sollte stehen, dass man Google Analytics nutzt.
     
  • Löschung von Altdaten
    Alle Daten, die nicht anonymisiert gesammelt wurden, müssen gelöscht werden.

Zusätzlich gilt es, die folgenden Punkte des Bundesdatenschutzgesetzes einzuhalten. 

  • Persönliche Daten herausfiltern
    Es dürfen keine persönlichen Daten an Google Analytics gesendet werden. Manche Webseitenbetreiber übertragen beispielsweise bei der Nutzerregistrierung URLs an Google Analytics, die die E-Mail-Adressen enthalten.
     
  • User IDs müssen pseudonymisiert werden
    User IDs dürfen nicht nachverfolgbar sein und keinerlei Hinweise auf die tatsächliche Identität geben. Anwender sollten User IDs also so definieren, dass keine Rückschlüsse auf die persönlichen Daten der Besucher möglich sind.

Für misstrauische User gibt es ein Browser-Add-On, um Analytics zu deaktivieren. Wie stellt man sich als Analytics-Spezialist drauf ein?

Christopher Zapf: Es lässt sich schwer sagen, wie weit diese Add-Ons verbreitet sind. Bei Webseiten mit technikaffinem Publikum ist der Prozentsatz sicherlich höher als bei anderen. Unserer Erfahrung nach blockieren rund fünf Prozent der Nutzer Google Analytics. Alleine das Add-on Ghostery hat schon mehr als 2,5 Millionen Downloads und auch Tracking Blocker für Smartphones kommen immer mehr in Mode.

Der Analyst muss jedoch respektieren, dass Nutzer der Add-ons einfach nicht getrackt werden wollen. Die Anzahl bleibt aber meist konstant und ist recht überschaubar, so dass man mit den restlichen Daten immer noch gut arbeiten kann.

Welche Informationspflichten habe ich als Seitenbetreiber? Genügt ein entsprechender Passus in der Datenschutzerklärung?

Christopher Zapf: Grundsätzlich sollte sich auf jeder Webseite eine gesonderte Unterseite mit der Datenschutzerklärung befinden, die auf alle Tools und Cookies hinweist, nicht nur auf Google Analytics. Die Datenschutzerklärung sollte zudem gut sichtbar und von jeder Seite erreichbar sein, am besten im Footer. 

Zudem besagt eine EU-Richtlinie, dass man auf die Nutzung von Cookies hinweisen muss. Der Nutzer muss also nicht dem cookie-basierten Tracking zustimmen, es reicht aus, dass er den Hinweis gesehen hat. Auch, wenn der sogenannte Cookie Consent nicht in DE verpflichtend ist, sollte man ihn zusätzlich implementieren, um auf Nummer sicherzugehen. Cookie Layer sind Banner, die oben am Anfang der Seite “schweben”. Dort wird dann auf die Nutzung von Cookies hingewiesen.

Hat der Cookie Layer Einfluss auf das Nutzerverhalten?

Christopher Zapf: Ein A/B Test hat untersucht, ob es einen Unterschied im Nutzungsverhalten macht, ob man einen Cookie Layer nutzt oder nicht. Es hat sich gezeigt, dass der Layer keinen negativen Einfluss hat. Da der Layer nur beim ersten Seitenaufruf aktiv ist, nehmen die Nutzer ihn kaum wahr. Im Test haben nur 0,7 Prozent mit dem Layer interagiert.

Wie ist es bei Ihren international ausgerichteten Kunden? Weichen die Analysedaten aufgrund unterschiedlicher, internationaler Datenschutzvorschriften und Analytics-Versionen stark voneinander ab?

Christopher Zapf: Meiner Meinung nach liegen Datenabweichungen nicht an unterschiedlichen Gesetzen, sondern eher an verschiedenen Kulturen. Durch die NSA-Affäre und das Safe-Harbour-Abkommen hat sich in Deutschland ein sehr starkes Bewusstsein für Datenschutz entwickelt.

In den USA hingehen haben weniger Menschen Bedenken darüber. Die entsprechenden Gesetze wirken sich auch kaum auf die Funktionalität aus. In den USA werden beispielsweise die IP-Daten gespeichert, was in Deutschland verboten ist. Die Analysedaten sind aber in beiden Ländern ungefähr die gleichen.

Um Google Analytics rechtssicher zu nutzen, können Seitenbetreiber einen Vertrag zur Auftragsdatenverarbeitung abschließen. Für wen ist dieser Vertrag notwendig und sinnvoll?

Christopher Zapf: Um auf der sicheren Seite zu stehen, sollte grundsätzlich jeder Seitenbetreiber, der Google Analytics einsetzt, diesen Vertrag abschließen. Ein Vertrag muss aber immer von beiden Seiten abgeschlossen werden, deswegen sollte man sichergehen, dass ihn auch Google unterzeichnet.

Das kann bei Google allerdings oft ein wenig dauern. Wer den Vertrag also nicht zeitnah von Google zurückgeschickt bekommt, sollte durchaus ein wenig Druck bei dem Konzern machen und die Unterlagen notfalls noch ein zweites Mal losschicken.

In Google Universal Analytics gibt es die Möglichkeit, Nutzerdaten ganz ohne die Verwendung von Cookies zu erheben. Damit reagiert Google darauf, dass viele Nutzer Cookies ohnehin blockieren. Empfiehlt sich der Verzicht auf Cookies? Welche Auswirkung hat das auf den Datenbestand?

Christopher Zapf: Erst einmal müssen wir die unterschiedlichen Arten von Cookies betrachten. Google Analytics nutzt 1st-Party-Cookies, das sind auch die Cookies, die beispielsweise den Login auf einer Webseite speichern, ohne die ein Online-Shop gar nicht mehr funktionieren würde. Daneben gibt es noch sog. 3rd-Party-Cookies, die beispielsweise für das Remarketing genutzt werden.

Da viele Webseiten ohne 1st-Party-Cookies nicht richtig funktionieren, werden diese Cookies eher selten von Nutzern blockiert. Google Universal Analytics bietet das sogenannte Feature Measurement Protocol an. Mit Hilfe dieses Features kann man serverseitig direkt Daten an Analytics senden – ohne dass erst der Browser des Nutzers ein Skript ausführen muss. Das Protokoll muss aber genauso datenschutzkonform implementiert werden. Allerdings ist diese Art des Trackings genauso abhängig von dem Google-Analytics-Cookie wie das Standard-Tracking. Ohne den Cookie könnte Google Analytics nicht feststellen, ob der Nutzer schon einmal auf der Webseite war. 

Gesetzlich ist es jedoch so: wenn der Nutzer dem Tracking widerspricht, muss ich es respektieren und so implementieren. Es macht keinen Unterschied, ob das serverseitig oder clientseitig geschieht – die Gesetze sind identisch.

Wer nutzt serverseitiges Tracking dann überhaupt?

Christopher Zapf: Serverseitiges Tracking wird dann genutzt, wenn der Nutzer Aktionen ausführt, deren Daten noch nicht gleich verfügbar sind.

Beispielsweise bei Angeboten, die erst noch von den Mitarbeitern berechnet werden müssen. Diese Daten existieren im Moment noch nicht, sollen aber auch in Google Analytics genutzt werden. Hier ist ein serverseitiges Tracking sinnvoll.

Wie hoch ist das Risiko, als Seitenbetreiber über Google Analytics selber von Hackern angegriffen zu werden? Wie kann man sich schützen?

Christopher Zapf: Ein Google-Account kann natürlich gehackt werden und so können Fremde Zugriff auf die Daten bekommen. Allerdings bietet Google eine 2-Faktor-Authentifizierung an. So ist das Konto eigentlich relativ gut geschützt. 

Problematisch ist das serverseitige Tracking, denn das erlaubt, beliebige Daten an ein fremdes Analytics-Konto zu senden. So könnte ich beispielsweise Daten an ein Google-Analytics-Konto der Konkurrenz senden und es somit unbrauchbar machen. 

Dagegen kann man sich kaum schützen und muss im Nachhinein die Daten händisch auseinander sortieren. Aber ich bin sicher, dass Google diese Schwachstelle kennt und sie bald schließen wird. 

Fazit: Google darf nicht alles wissen – was Seitenbetreiber erfahren, entscheiden die Nutzer

Wer Google Analytics nutzt, muss die deutschen Datenschutzrechte einhalten. Google darf deshalb keinen Zugriff auf personenbezogene Daten der Nutzer haben. Die Namen, E-Mail-Adressen oder gar Wohnorte von Seitenbesuchern sind und bleiben für den Suchmaschinen-Riesen tabu.

Als Seitenbetreiber darf man natürlich mehr über seine Besucher wissen – im Zeitalter von Online-Bestellformularen ist alles andere auch undenkbar. Einschränkungen gibt es aber auch hier: Besucher müssen darüber informiert werden, wenn eine Webseite Tracking-Tools verwendet. Wenn Nutzer das Tracking unterbinden, müssen Seitenbetreiber das respektieren – einen rechtssicheren Aus- oder Umweg gibt es nicht.

 

Die Relevanz von Analytics nimmt übrigens weiter zu. Das zeigt The CMO Survey: Die darin befragten CMOs planen, in den kommenden drei Jahren 66 % mehr Budget in Marketing Analytics zu investieren. Lernen Sie jetzt, wie Sie beeindruckende Berichte erstellen und daraus strategische Entscheidungen ableiten.

 New Call-to-action

Ursprünglich veröffentlicht am 20. Juli 2016, aktualisiert am Juli 09 2018