In diesem Artikel wirst du lernen, wie du Google Analytics datenschutzkonform einsetzen kannst und welche Anforderungen du dabei beachten solltest. Der Vollständigkeit halber behandeln wir im Artikel beide Versionen von Google Analytics: Das “alte” Google Universal Analytics sowie die aktuelle Version Google Analytics 4 (GA4).
Inhaltsverzeichnis
Google Analytics in Deutschland: Das ist der Stand
Über Google Analytics kann man zum Beispiel nachvollziehen, wo Besucher den Kaufprozess im Online-Shop abbrechen oder welche Blogartikel eines Magazins am meisten gelesen (a.k.a durchgescrollt) werden. Google Analytics und die deutsche Regulierung hatten schon immer eine angespannte Beziehung. Entgegen vieler anderslautenden Meinungen wird der datenschutzverträgliche Einsatz von Google Analytics mit Google Analytics 4 allerdings viel einfacher als bisher.
Der Einsatz von Google Analytics ist in Deutschland grundsätzlich zulässig. Allerdings gibt es einige Punkte, die bei der Implementierung und Nutzung von Google Analytics beachtet werden müssen, um sich nicht mit dem Datenschutzbeauftragten anlegen zu müssen.
Zunächst einmal ist es wichtig zu wissen, was Google Analytics überhaupt ist und welche Daten es erfasst. Google Analytics ist ein Webanalysedienst der Firma Google LLC, der die Aktivitäten von Website-Besuchern erfasst und auswertet. Zu den erfassten Daten gehören unter anderem die IP-Adresse des Besuchers, die verwendete Suchmaschine, die besuchten Websites vor dem Aufruf der eigenen Website sowie die Verweildauer auf der eigenen Website.
Nach den aktuellen deutschen Datenschutzgesetzen ist es möglich, Google Analytics auf einer Website zu betreiben. Die Grundlage dazu findet sich in der europäischen Datenschutzgrundverordnung. Diese beschreibt sogenannte “berechtigte Interessen” von Unternehmen, die bei dem Einsatz von Web-Analyse-Software gegeneinander abgewogen werden müssen. Du als Betreiber eines Business hast das berechtigte Interesse darauf, herauszufinden, wie die Nutzenden mit deiner Website interagieren und wie du diese in Zukunft optimieren kannst. Der Besucher oder die Besucherin deiner Website hat dabei das Interesse, dass die persönlichen Daten wie zum Beispiel die IP-Adresse von dir nicht dauerhaft abgespeichert werden. Über eine IP-Adresse ist es theoretisch möglich, Rückschlüsse auf den Anschlussinhaber zu ziehen. Die Kombination der Nutzungsdaten der Website mit eindeutig identifizierbaren Informationen wie zum Beispiel einer unverschlüsselten E-Mail-Adresse (oder eben der IP-Adresse) ist in Deutschland grundsätzlich untersagt.
Ergo: Grundsätzlich spricht nach den deutschen Datenschutzgesetzen nichts gegen den Einsatz von Google Analytics, du musst allerdings ein Auge darauf haben, welche Daten zu welchem Zweck verwendet werden und darfst keine persönlichen Daten erheben, die in Deutschland ausgeschlossen sind (z.B. die IP-Adresse deiner NutzerInnen)
Online-Tracking: Die europäische Datenschutzgrundverordnung
Online-Tracking ist ein weit verbreitetes Mittel, um die Effektivität von Online-Werbung zu steigern. Viele Unternehmen setzen darauf. Allerdings birgt das Tracking auch einige Risiken für die Privatsphäre der Nutzenden. Die einigermaßen frische europäische Datenschutzgrundverordnung (DSGVO), die ab dem 25.05.2018 in Kraft trat, regelt, was erlaubt ist und was nicht.
Um sicherzustellen, dass das Tracking von Nutzerverhalten im Internet den datenschutzrechtlichen Anforderungen entspricht, müssen Unternehmen einige Punkte beachten. Zunächst müssen sie den Nutzenden klar und deutlich mitteilen, dass ihr Verhalten auf der Website getrackt wird. Dies geschieht für gewöhnlich in Form eines Cookie-Banners, der den Nutzer oder die Nutzerin darauf hinweist, dass auf dieser Seite Cookies von Drittanbietern erhoben werden, also zum Beispiel auch von Google Analytics.
Nachdem die Website aufgerufen wird, bittet der Cookie-Banner um die Zustimmung, dass verschiedene Kategorien von Cookies geladen werden dürfen. Dabei unterscheidet man zwischen drei unterschiedlichen Kategorien:
- Funktionale Cookies stellen Funktionen auf einer Website bereit wie zum Beispiel einen User-Login
- Statistik-Cookies werden von Web-Analyse-Lösungen wie Google Analytics oder Matomo erhoben
- Werbe-Cookies dienen der Zuordnung von Nutzenden in den Werbesystemen von zum Beispiel Facebook Ads, Google Ads oder LinkedIn Ads
Gibt der User entweder alle Kategorien gleichzeitig oder nur die Statistik-Kategorie frei, darf der Google Analytics-Code geladen werden. Vorher nicht.
Zudem muss für den Endnutzenden die Möglichkeit bestehen, die Website komplett ohne Google Analytics zu nutzen, wenn er das möchte. Die Zustimmung zu Online-Tracking darf also keine Voraussetzung für die Nutzung der Website sein. In der Praxis wird dies meistens so gelöst, dass man im Cookie-Banner die Dienste anhaken kann, denen man die Erlaubnis zum Tracking erteilen möchte. Klickt der Nutzer oder die Nutzerin auf “Alles erlauben”, dürfen alle Tracking-Dienste freigegeben werden.
Ein weiteres Erfordernis der DSGVO ist die Möglichkeit zum Widerspruch. Ein einmal gegebenes Einverständnis von den Nutzenden ist nicht unwiderruflich. Sofern die Person es sich anders überlegt, muss es eine einfache Möglichkeit zum Widerspruch geben. Auch dies lässt sich meistens direkt über den Anbieter deines Cookie-Management-Systems (Cookie-Banners) umsetzen. Alternativ kannst du eine solche Widerspruchsmöglichkeit auch manuell in der Datenschutzvereinbarung deiner Website platzieren.
Die DSGVO enthält noch viel mehr grundsätzliche Regeln für den Umgang mit personenbezogenen Daten im Unternehmen zum Beispiel hinsichtlich der Speicherung, den technischen und organisatorischen Maßnahmen zur Sicherung und der Löschung von personenbezogenen Daten. Für nähere Informationen wende dich vertrauensvoll an deinen Datenschutzbeauftragten oder deinen Steuerberater.
Du findest den Beitrag interessant? Neue Artikel im Newsletter erhalten.
Google Universal Analytics datenschutzkonform einstellen
Machen wir uns an die Arbeit: Wir zeigen dir nun, wie du deine Installation von Google Universal Analytics datenschutzkonform einrichtest. Bei Google Universal Analytics handelt es sich um die Vorgängerversion von Google Analytics 4, die 2023 ausläuft. Solltest du noch kein Google Analytics 4 haben, helfen wir dir gerne beim Umzug & Migration zum neuen Google Analytics 4. Die Hinweise zum datenschutzkonformen Einsatz von der “neuen” Version Google Analytics 4 findest du im nächsten Kapitel.
Zunächst einmal wird Google Universal Analytics ganz normal auf deiner Website installiert. Du rufst den Tracking-Code in Analytics ab und baust diesen auf deiner Website ein. Hier gibt es bereits die erste Besonderheit zu beachten: Sollte dir Google Analytics die Nutzung des sogenannten User ID-Feature anbieten, solltest du dies ablehnen. Nach regelmäßiger Rechtsprechung ist die Nutzung des User-ID-Features in Google Analytics in Deutschland verboten, wenn sich darüber Rückschlüsse auf die individuelle Person ergeben.
Weiter geht es bei den IP-Adressen: Prinzipiell ist Google Analytics darauf ausgelegt, auch die persönliche IP-Adresse des Nutzers oder der Nutzerin zu erheben. Diese zählt nach Auffassung der deutschen Datenschutzbehörden jedoch zu den persönlichen Daten einer Person – ohne das ausdrückliche Einverständnis der Betroffenen darfst du diese Information nicht erheben. Zum Glück bietet Google Universal Analytics die Funktion “AnonymizeIP” an. Damit werden die IP-Adressen auf ein datenschutzfreundliches Niveau heruntergekürzt. Die eindeutige Zuordnung zu einem Internetanschluss ist dann nicht mehr möglich.
Wir zeigen dir nun im Folgenden, wie du das “AnonymizeIP”-Feature bei Google Universal Analytics im Google Tag Manager einschaltest. Je nachdem, wie Google Analytics bei dir eingebaut wurde, kann es sein, dass die Integration anders funktioniert. Bei Fragen kannst du uns gerne kontaktieren.
“AnonymizeIP” im Google Tag Manager einschalten
Die Aktivierung über den Google Tag Manager funktioniert relativ einfach. Du rufst den Container deiner Website im Google Tag Manager auf und wählst den Bereich “Tags” aus. Hier müsste sich nun ein Tag mit der Bezeichnung “Google Analytics: Universal Analytics” befinden.
Unter den “Erweiterten Einstellungen” des Tags findest du die “Benutzerdefinierten Felder”. Dort trägst du ein neues Feld mit dem Namen “anonymizeip” ein und setzt den Wert auf “true”. Zack, fertig. Du kannst den Tag nun wieder abspeichern und mit einem Klick auf “Senden” auf deiner Website veröffentlichen.
Zukünftig wird Google Universal Analytics automatisch die erhobenen IP-Adressen anonymisieren, sodass keine eindeutige Zuordnung mehr möglich ist.
Wichtig: Nach regelmäßiger Rechtsprechung verstößt eine Google Universal Analytics Property OHNE aktive AnonymizeIP-Einstellung gegen deutsches Recht! Dabei ist es unerheblich, ob sich dein Business in Deutschland befindet oder nicht. Es genügt, dass du dich an deutsche Bürger richtest.
In den Kontoeinstellungen unter dem Reiter „Tracking-Codes“ findest du weitere Einstellungsmöglichkeiten für deinen Universal Analytics-Code. Sollte bei dir das User-ID-Feature aktiviert sein, kannst du es dort auch wieder ausstellen. Von der Verwendung von User IDs raten deutsche Datenschützer regelmäßig ab.
“AnonymizeIP” manuell im Tracking-Code festlegen
Solltest du nicht über einen Google Tag Manager verfügen, kannst du das Anonymisierungsfeature von Google Analytics auch manuell über den Tracking-Code aktivieren. Dafür ist es notwendig, dass du den Code in deinem Content Management System bearbeitest und eine neue Anweisung ergänzt. Du findest den Tracking-Code im Kopfbereich deiner Website und kannst diesen meist im Header-Template deiner Website bearbeiten. In WordPress findest du das Header-Template zum Beispiel unter dem Bereich “Design”, wenn du dein Template bearbeitest. Dies ist allerdings in jedem CMS unterschiedlich.
So (oder so ähnlich) sollte der Tracking-Code von Google Analytics bei dir aussehen, wobei UA-XXXXXXXX-X im Code für deine Property-ID steht:
Nun ergänzt du den Google Analytics-Code wie folgt um die AnonyimizeIP-Anweisung:
Durch die Ergänzung im Code wird das Anonymisierungs-Feature von Analytics aktiviert, bevor ein Seitenaufruf an die Plattform gemeldet wird. Achte bitte darauf, dass du diese Anweisung überall ergänzen musst, wo du den Code beim Einrichten von Google Analytics eingebaut hast. AnonymizeIP sollte auf jeder deiner Unterseiten manuell aktiviert werden.
Google Analytics 4 datenschutzkonform einstellen: So funktioniert’s
Mit Google Analytics 4, der Nachfolgeversion von Google Universal Analytics, sollte alles einfacher und schneller werden. Zumindest hinsichtlich des Datenschutzes hat der Hersteller Google dieses Versprechen auch erfüllt: Bei Google Analytics 4 musst du keine besonderen Einstellungen vornehmen, damit du die Software gefahrlos im deutschsprachigen Raum einsetzen kannst.
Wenn du Google Analytics 4 auf deiner Website einsetzen möchtest, musst du zunächst eine Property erstellen. Eine Property ist eine Website oder eine App, die mit Google Analytics verknüpft ist. Nachdem du deine Property erstellt hast, musst du den Tracking-Code von Google Analytics 4 auf deiner Website integrieren.
So weit, so bekannt. Auch bei Google Analytics 4 musst du natürlich darauf achten, dass das Tool nur geladen wird, wenn der Nutzer oder die Nutzerin sein Einverständnis im Cookie-Banner gegeben hat. Ein Klick auf “Alle Cookies erlauben” reicht hier in der Regel auch. Hierfür gibt es zahlreiche Anbieter von Cookie Management Systemen auf dem Markt. Gerne helfen wir bei der Auswahl, falls noch kein passendes System existiert.
Solltest du auf Probleme beim Einbau deines Google Analytics 4-Codes stoßen, kannst du dir auch gerne unsere Schritt-für-Schritt-Anleitung noch einmal zu Gemüte führen.
Ansonsten gibt es im Umgang mit Google Analytics 4 und dem Datenschutz relativ wenig zu beachten. Die IP-Adressen werden in Deutschland von Google Analytics 4 automatisch anonymisiert. Im Gegensatz zu Google Universal Analytics sind hier keine manuellen Anpassungen mehr notwendig.
Google Analytics Opt-Out richtig zur Verfügung stellen
Wenn du Google Analytics auf deiner Website einsetzt, kannst du die Einwilligung deiner Besucher in die Nutzung von Cookies abfragen. In der Europäischen Union ist es einheitlich so geregelt, dass Google Analytics erst mit der Freigabe durch den Nutzenden genutzt werden darf. Der Tracking-Code von dem Analyse-System darf also erst dann gefeuert geben, wenn dies mit einem Button-Klick bestätigt wird (Opt-In).
Neben diesem Opt-In-Verfahren muss jedoch auch der andere Weg angeboten werden: Sollte ein Nutzer keine Lust mehr auf das Tracking von Google Analytics haben, muss der Widerspruch einfach und unkompliziert möglich sein. Am besten formulierst du dafür eine Opt-Out-Regelung in deiner Datenschutzgrundverordnung. Dafür hast du zwei Möglichkeiten:
- Der manuelle Opt-Out über eine Kontaktaufnahme
- Der automatische Opt-Out über ein Cookie-Management-System
Bei einem manuellen Opt-Out-Verfahren wird eine Kontaktmöglichkeit (z.B. via E-Mail) angeboten. Möchte ein Nutzer oder eine Nutzerin der Datennutzung im Nachhinein widersprechen, kann sie oder er sich dann an den angegebenen Kontaktweg wenden. Du musst dem Anfragenden dann per E-Mail dabei helfen, wie er sein Einverständnis zur Nutzung von Google Analytics wieder zurücknehmen kann. In der Regel funktioniert dies, indem die Person einmalig die Cookies deiner Website in ihrem Web-Browser leert.
Der manuelle Weg ist aus vielerlei Gründen eher umständlich und mit Zeitaufwand verbunden. Daher empfehlen wir unseren Kunden eine automatisierte Widerspruchslösung. Diese kannst du in den Datenschutzbestimmungen deiner Website unterbringen. Mit einem Klick auf einen Tracking-Link wird die Verbindung zu Google Universal Analytics oder zu Google Analytics 4 unterbrochen. Zukünftig werden an dem jeweiligen Endgerät, an dem der Widerspruch ausgelöst wurde, keine Daten mehr an Google gesendet.
Das automatisierte Opt-Out-Verfahren lässt sich mit den meisten Content Management Systemen und vielen Cookie-Management-Anbietern umsetzen. Selbstverständlich ist es dabei möglich, dein individuelles Corporate Design aufzugreifen. Wenn du bei der Einrichtung auf Probleme stoßen solltest, zögere bitte nicht, uns zu kontaktieren – wir helfen gerne!
Fazit – datenschutzkonforme Nutzung von Google Analytics
Zusammenfassend lässt sich sagen, dass es möglich ist, Google Analytics datenschutzkonform in Deutschland zu nutzen. Dies setzt jedoch voraus, dass einige Anpassungen vorgenommen werden, um sicherzustellen, dass die Privatsphäre der Nutzenden gewährleistet ist. Wir haben dir die Maßnahmen für den Einsatz von Google Universal Analytics hier noch einmal als Checkliste zusammengefasst.
Mit Google Analytics 4 sind viele neue Einstellungsmöglichkeiten hinzugekommen. Zukünftig ist es nicht mehr notwendig, den Tracking-Code von Google Analytics extra für den deutschen Markt anzupassen. Solltest du dennoch auf Probleme beim datenschutzkonformen Einbau von Google Analytics stoßen, melde dich gerne bei unserem Team. Wir helfen dir weiter.
Als Google-Ads-Professional verantwortet Tobias den Bereich Search Engine Marketing der Agentur. Wenn er gerade nicht auf der Suche nach dem perfekten Ranking ist, optimiert er Conversion- und Analytics-Prozesse beim Kunden.