Google Analytics & DSGVO -
Webanalyse vs. Datenschutz

Mit Hilfe von Google Analytics können Internetseiten-Betreiber das Verhalten der Website-Besucher nachvollziehen. Es kann beispielsweise verfolgt werden, wie lange die Nutzer auf der Website bleiben, welche Unterseiten sie aufrufen und welche Aktionen sie ausführen. Neben Google Analytics erfüllen auch andere Tools diese Aufgaben. Google Analytics ist jedoch das am häufigsten genutzte Tracking Tool. Das liegt zunächst an der Bekanntheit von Google und Googles Kenntnisse über Nutzerdaten. Darüber hinaus sind die meisten Funktionen von Google Analytics kostenlos nutzbar.

Wie funktioniert Google Analytics?
Um Google Analytics verwenden zu können, brauchen Sie zunächst ein Google-Konto. Mit diesem können Sie die Website anmelden, deren Nutzung sie nachverfolgen wollen. Dafür erhalten Sie von Google eine eine ID, die Sie in den Quellcode Ihrer Website einbauen. Sobald die Website aufgerufen wird, werden Daten gesammelt, an einen Server gesendet und Ihnen in Ihrem Konto zur Verfügung gestellt.

Welche Daten werden erhoben?
Google Analytics erhebt zahlreiche Daten, um dem Website-Betreiber möglichst viele Informationen über den Erfolg seiner Website mitzuteilen.

1. Google Analytics sammelt Daten über den Nutzer selbst, also beispielsweise seinen Herkunftsort und sein Endgerät, mit dem er die Website aufruft.
2. Ein weiterer wichtiger Datensatz betrifft den Datenverkehr. Es werden unter anderem folgende Fragen beantwortet: Von welcher Website kam der Nutzer? Welche Accounts hat er?
3. Für viele Seitenbetreiber ist das Verhalten des Nutzers auf der Website am wichtigsten. Es geht unter anderem darum, wie viel Zeit er auf ihr verbracht und welche Links er angeklickt hat.
4. Teilweise werden darüber hinaus die Umsatzzahlen durch Werbung oder Online-Shops gespeichert.

Außerdem erhebt Google Analytics Daten, die der Betreiber der Website nicht zu sehen bekommt. Zur letzten Kategorie gehören insbesondere die vollständigen IP-Adressen der Nutzer.

Wie werden sie erhoben?
Die Daten werden mithilfe von mehreren verschiedenen Cookies erhoben. Welche Cookies verwendet werden, hängt von der Konfiguration von Google Analytics ab. Folgende Cookies sind möglich:

• Der Wiedererkennungs-Cookie stellt fest, ob der Nutzer bereits zuvor auf der Website war.
• Der Session-Cookie stellt fest, wie lange der Nutzer die Website besucht hat.
• Der Segmentierungs-Cookie teilt Nutzer in Kategorien ein.
• Der Kampagnen-Cookie ordnet den Nutzern eine Online-Kampagne zu.
• Mit Hilfe eines Tracking-Codes werden die Daten an einen Server übermittelt und dem konkreten Google-Nutzerkonto zugeordnet.

Wozu werden die Daten genutzt?
Website-Betreiber nutzen die von Google Analytics gesammelten Daten, um ihr Angebot zu optimieren. Sie lernen beispielsweise, welche Inhalte viele Klicks generieren und die Nutzer lange auf der Website halten. Sie erfahren auch, ob sie ihre Zielgruppe erreichen oder vielleicht zufällig eine andere Gruppe von Internetnutzern.

Datenschützer kritisieren Google Analytics, weil es die Daten, insbesondere die vollständigen IP-Adressen, an einen Server in den USA übermittelt und speichert. Über die Verwendung und Verarbeitung klärt Google die Nutzer jedoch nur unzureichend auf. Dennoch ist es möglich Google Analytics rechtskonform zu verwenden, wenn die Vorgaben der DSGVO eingehalten werden. Dafür ist es wichtig, im Google Konto die richtigen Einstellungen vorzunehmen und die eigene Website an Datenschutz-Bestimmungen (insbes. die DSGVO) anzupassen. Details zu beiden Themen finden Sie im nächsten Absatz. Sollten Sie Google Analytics bisher nicht DSGVO-konform verwendet haben, ist es empfehlenswert alle gesammelten Daten zu löschen, da diese auf einem rechtlich unzulässigen Weg gesammelt worden sind.

Die Datenschutzgrundverordnung (DSGVO) ist 2018 in Kraft getreten. Dadurch haben sich die Regeln zum Umgang mit personenbezogenen Daten erheblich verschärft. Auch in Bezug auf Tracking-Tools, wie Google-Analytics, gibt es einiges zu beachten.

1. Vertrag zur Auftragsverarbeitung
Sobald ein Webseitenbetreiber Daten an einen Dritten weitergibt, damit dieser sie verarbeitet, ist gem. Art. 28 DSGVO ein Vertrag zur Auftragsverarbeitung notwendig. Dieser Vertrag wird zwischen dem für die Daten Verantwortlichen und dem Dienstleister geschlossen und enthält Details zum Umgang mit den Daten. Da Google Analytics die Daten sammelt, speichert, verarbeitet und weitergibt, muss ein solcher Vertrag geschlossen werden. Dies kann in den Kontoeinstellungen getan werden. Wenn jedoch die Standard-Einstellungen von Google Analytics unverändert gelassen werden, reicht dies allein nicht aus. Vielmehr sind der Webseitenbetreiber und Google in diesem Fall gemeinsam für die Daten verantwortlich. Aus diesem Grund sollten die Standardeinstellungen genauestens auf die eigenen Bedürfnisse und die rechtliche Zulässigkeit geprüft werden.

2. IP Anonymisierung
Google-Analytics erfasst die IP-Adressen der Nutzer. Der Tracking-Code kann jedoch händisch an die Anforderungen der DSGVO angepasst werden.

3. Einwilligung
Der Zweck der DSGVO und auch deutscher Vorschriften zum Datenschutz ist es, dem Nutzer möglichst viel Kontrolle über die Nutzung seiner eigenen Daten zurückzugeben. Aus diesem Grund dürfen seine Daten nur aus rechtlich vorgegebenen Gründen oder aufgrund seiner Einwilligung getrackt werden. Sowohl der Europäische Gerichtshof als auch die Aufsichtsbehörden haben bekannt gegeben, dass für die Verwendung von Google Analytics nur eine Einwilligung in Betracht kommt. Dafür muss der Nutzer zunächst ausführlich informiert werden, bevor er freiwillig und aktiv zustimmt.

4. Möglichkeit zum Widerruf
Der Nutzer muss die Möglichkeit haben, seine Einwilligung zu widerrufen. Dafür kann entweder ein Consent Tool oder ein Browser PlugIn verwendet werden. Da letzteres auf mobilen Endgeräten nicht funktioniert, kann stattdessen ein Opt-out Cookie zum Einsatz kommen. Dafür muss ein html-Code mit Javascript eingefügt werden.

5. Datenschutzerklärung
In der Datenschutzerklärung wird der Nutzer darüber aufgeklärt, welche seiner personenbezogenen Daten gesammelt werden und was mit ihnen passiert. In Bezug auf Google Analytics ist anzugeben, aufgrund welcher Rechtsgrundlage und in welchem Umfang Daten erhoben werden. Weiterhin muss die Speicherdauer der Daten genannt und der Nutzer über sein Widerrufsrecht aufgeklärt werden.

Auch bei einem sehr sorgsamen Umgang mit Google Analytics bleiben bei der Verwendung datenschutzrechtliche Bedenken. Um diesen zu entgehen, können verschiedene Alternativen genutzt werden.

• Die bekannteste Alternative heißt Matomo. Dabei handelt es sich um ein Open-Source Tracking-Tool, das unabhängig von Unternehmen arbeitet. Auf die gesammelten Daten kann nur der Webseitenbetreiber und nicht Matomo zugreifen. Matomo anonymisiert die gesammelten IP-Adressen, wenn die Standardeinstellungen beibehalten werden.
• Fathom ist eine kostenlose Alternative, die ausschließlich die Verwendung der Website (also beispielsweise Besucherzahlen) trackt und dabei keinerlei weitere personenbezogene Daten über die Nutzer sammelt.
• Etracker trackt das Verhalten der Besucher der Website. Dazu gehören das Live-Tracking, die Klickpfad-Analyse und das Maus-Tracking. Die gesammelten Daten werden anonymisiert und nicht weitergegeben. Der dazu gehörende Datenschutzhinweis genügt den Anforderungen der DSGVO.
• Open Web Analytics ist ein kostenloses Open-Source-Tool, das dem Nutzer die volle Kontrolle über die Verwendung der Daten gibt. Allerdings überlässt es dem Nutzer ebenfalls die Einhaltung der Anforderungen der DSGVO, sodass ein erhöhtes Maß an Eigeninitiative gefragt ist.
• Mithilfe von Mixpanel kann der Websitebetreiber herausfinden, wo seine Website optimiert werden sollte und welche Aktionen bei den Nutzern besonders beliebt sind. Mixpanel hat sich bereits früh an die DSGVO angepasst.

Es ist empfehlenswert vor der Nutzung eines Webanalyse-Tools herauszufinden, welche Daten gebraucht werden. Das verwendete Tool sollte möglichst ausschließlich diese Daten sammeln und sie nicht an Dritte weitergeben. Für die datenschutzkonforme Verwendung des Tools ist in jedem Fall der Betreiber der Website verantwortlich. Deshalb sollte regelmäßig überprüft werden, ob das Tool im allgemeinen und die konkrete Verwendung mit dem derzeit geltenden Recht vereinbar sind.

Die Einhaltung der Vorgaben zum Datenschutz dient nicht nur den Nutzern der Website, sondern auch seinem Betreiber. Einerseits sichert der Betreiber durch die Auseinandersetzung mit dem Datenschutz auch seine eigenen Daten. Andererseits kann die Einhaltung der Datenschutzvorschriften zu Werbezwecken verwendet werden. Das Bewusstsein für Datenschutz steigt. Google Analytics und andere Tracking Tools werden immer offener kritisiert. Dadurch kann der Umgang mit Tracking-Tools den Ausschlag bei der Wahl für oder gegen ein Unternehmen geben.

Rechtlich bedeutet eine falsche Einbindung von Tracking-Tools ein Verstoß gegen die DSGVO. Einen solchen kann die Aufsichtsbehörde mit einem hohen Bußgeld belegen. Außerdem bietet eine rechtlich unzulässige Einbindung dem Betreiber einer kommerziellen Website einen Wettbewerbsvorteil gegenüber seinen Konkurrenten. Diese können ihn deshalb kostenpflichtig abmahnen. Das gleich egilt für Verbraucherschutzverbände.