Google Analytics datenschutzkonform einsetzen

Google Analytics für WordPress-Websites

Google Analytics datenschutzkonform implementieren

Google Analytics hat, was den Datenschutz angeht, nicht gerade den besten Ruf. Die Skepsis ist groß, denn wer weiß schon welche Daten eigentlich aufgezeichnet werden? Dabei hat sich Google in den letzten Jahren mit den Datenschützern in Deutschland zusammengesetzt, und gemeinsam wurde eine Lösung erarbeitet, damit Website-Betreiber Google Analytics datenschutzkonform einsetzen können und Nutzer sichergehen können, dass ihre Daten auf der Website nicht erfasst werden.

Nun stellt dieser Artikel natürlich keine Rechtsberatung dar. Ich fasse hier die Vorgaben zusammen, die beispielsweise auf der Website Datenschutzbeauftragter-info.de bezüglich des datenschutzkonformen Einsatzes von Google Analytics zu finden sind. In diesem Artikel soll es hauptsächlich darum gehen, wie kleinere Unternehmen oder Selbstständige, die ihre Websites in Eigenregie betreiben die Vorgaben auch ohne Programmierkenntnisse mit Hilfe von Plugins umsetzen können.

Wer sich mit WordPress auskennt, hat selbstverständlich immer die Möglichkeit, den Google Analytics Tracking Code, der bei dem Anlegen des Kontos erstellt wird, manuell einzutragen. Typischerweise kommt er in der header.php vor den schließenden Head-Tag </head>. Beachte dann aber trotzdem die Code-Erweiterung (siehe Punkt 2). Solltest du deinen Tracking-Code noch einmal brauchen, findest du ihn im Konto unter Verwaltung/Property/Tracking Informationen/Tracking Code.

Folgende Lösung wurde mit den Datenschützern erarbeitet:

1) Schließe einen Vertrag zur Auftragsdatenverarbeitung mit Google

Den Vertrag findest du hier: http://static.googleusercontent.com/media/www.google.com/de//analytics/terms/de.pdf. Drucke ihn zweifach aus und schicke beide Exemplare zu Google. Die Adresse findest Du in dem PDF. Google schickt eines der beiden von dir unterschriebenen Exemplare wieder zurück. Das kann allerdings dauern.

Google Analytics ist jetzt gemäß dem EU-US-Datenschutzschild (Privacy Shield-Abkommen zwischen der EU und den USA) zertifiziert. Dieses Abkommen löst das Safe-Harbour Abkommen ab, das vom Europäischen Gerichtshof für unzureichend erklärt hatte. Es geht hier um die Festlegung wie persönliche Daten in die USA übertragen werden und wie der Datenschutz gewährleistet werden kann.
Du musst zwar durch die Zertifizierung von Google nichts in Deinem Google Analytics Account ändern, allerdings muss die Anonymisierungsfunktion immer noch eingegeben werden (siehe Punkt 2).
Es soll wohl einen neuen Vertrag zur Auftragsdatenverarbeitung geben. In wie weit alte Verträge entsprechend angepasst werden oder ob man den neuen Vertrag nochmals unterschreiben muss, ist noch nicht klar.

2) Anonymisiere die IP-Adressen

Damit keine vollständigen IP-Adressen an die Google Server übertragen werden, bist du verpflichtet dem Google Analytics Tracking Code eine Anonymisierungsfunktion hinzuzufügen.
Wenn du Universal Analytics verwendest sieht der Tracking Code normalerweise wie folgt aus. Die meisten Website-Betreiber haben inzwischen entweder auf Universal Analytics umgestellt oder automatisch erstellt, wenn das Google Analytics Konto vor nicht allzu langer Zeit erstellt wurde.

<script>

(function(i,s,o,g,r,a,m){i[‚GoogleAnalyticsObject‘]=r;i[r]=i[r]||function(){
(i[r].q=i[r].q||[]).push(arguments)},i[r].l=1*new Date();a=s.createElement(o),
m=s.getElementsByTagName(o)[0];a.async=1;a.src=g;m.parentNode.insertBefore(a,m)
})(window,document,’script‘,’//www.google-analytics.com/analytics.js‘,’ga‘);

ga(‚create‘, ‚UA-XXXXXXX-X‘, ‚website.de‘);
ga(’send‘, ‚pageview‘);

</script>

Füge nun die Anonymisierungsfunktion hinzu (in rot):

<script>

(function(i,s,o,g,r,a,m){i[‚GoogleAnalyticsObject‘]=r;i[r]=i[r]||function(){
(i[r].q=i[r].q||[]).push(arguments)},i[r].l=1*new Date();a=s.createElement(o),
m=s.getElementsByTagName(o)[0];a.async=1;a.src=g;m.parentNode.insertBefore(a,m)
})(window,document,’script‘,’//www.google-analytics.com/analytics.js‘,’ga‘);

ga(‚create‘, ‚UA-XXXXXXX-X‘, ‚website.de‘);
ga(’set‘, ‚anonymizeIp‘, true);
ga(’send‘, ‚pageview‘);

</script>

Und wie macht man das konkret auf seiner WordPress-Seite? Wer diese Code-Erweiterung nicht manuell in die header.php eintragen möchte, kann alternativ auch ein Plugin verwenden. Und obwohl ich sonst sehr zurückhaltend mit Plugins bei WordPress bin, kann ich das folgende Plugin empfehlen.

Google Analytics Plugin Monster-Insights

https://wordpress.org/plugins/google-analytics-for-wordpress/

Warum? Wenn Du das Plugin verwendest, brauchst Du nur noch den Haken für die Anonymisierungsfunktion setzen  und schwupps ist die Sache erledigt. Natürlich musst du vorab die sogenannte UA-Nummer deines Google Analytics Accounts eingegeben haben.

Monster-Insights Tracking

Das Plugin ist auch deshalb besonders empfehlenswert, weil es in Google Analytics auch Outbound-Links trackt (wie oft wurde auf Links geklickt, die zu anderen Website verweisen) und das Aufrufen von PDFs ausgewiesen werden, was sonst nur durch Änderung des Tracking Codes möglich ist.

Bitte denke vor der Installation eines Plugins immer daran ein Backup Deiner Datenbank und WordPress-Dateien zu machen.

3) Räume ein Widerspruchsrecht ein

Dass man als Website-Betreiber ein Impressum haben muss, dürfte sich hinreichend herumgesprochen haben. Aber es ist auch nötig, dass du eine extra Seite für die Datenschutzerklärung in WordPress anlegst. Auf dieser Seite erklärst du deinen Besuchern, welche Daten gesammelt werden, welche sozialen Plugins du verwendest etc.

Speziell für Google Analytics musst du einen Link anbieten, der es Nutzern ermöglicht ein Add-on zu installieren, mit dem verhindert wird, dass die Daten des Nutzers erfasst werden. Dies ist das Deaktivierungs-Add-On: https://tools.google.com/dlpage/gaoptout?hl=de.

Es steht für alle möglichen Browser zur Verfügung. Du kannst es auch selbst verwenden, damit du dich nicht selbst trackst, wenn du dich auf deiner eigenen Website befindest. Wenn du mehrere Browser und Geräte verwendest, musst du das Add-On überall installieren. Wenn du irgendwann einmal alle Cookies löschst, werden auch die Cookies des Deaktivierungs-Add-On gelöscht.

Übrigens, solltest du mit dem Google Analytics Plugin von Yoast auch die demografischen Merkmale und Interessen in deinem Google Analytics Account aktivieren wollen, musst du dies auch in der Datenschutzerklärung erwähnen. Das gilt auch, wenn du z.B. Google AdSense verwendest.

4) Räume den Nutzern von mobilen Geräten ein Widerspruchsrecht ein

Das Deaktivierungs-Add-On ist schön und gut für Desktop-Computer, aber es funktioniert nicht für mobile Geräte. Aber immer mehr Leute sind mit Smartphone oder Tablet unterwegs oder nutzen diese zu Hause. Hier hat Google nun ein weiteres Script entwickelt, das im Quelltext VOR dem Google Analytics Script eingefügt werden muss:

<script>

var gaProperty = ‚UA-XXXXXXX-X‘;
var disableStr = ‚ga-disable-‚ + gaProperty;
if (document.cookie.indexOf(disableStr + ‚=true‘) > -1) {
window[disableStr] = true;
}
function gaOptout() {
document.cookie = disableStr + ‚=true; expires=Thu, 31 Dec 2099 23:59:59 UTC; path=/‘;
window[disableStr] = true;
}

</script>

Ist es richtig installiert, hat der Nutzer die Möglichkeit einen Link anzuklicken, damit seine Daten auf der Website nicht mehr erfasst werden. Dazu muss im Text folgender Code-Schnipsel verwendet werden.

<a href=”javascript:gaOptout()”>Google Analytics deaktivieren</a>

Das Problem ist nun folgendes: verwendet man bereits das Google Analytics Plugin von Monster Insights und hat das Script nicht von Hand in die entsprechende Datei in WordPress eingefügt, ist es gar nicht so einfach, herauszufinden, wo man dieses zusätzliche Script nun tatsächlich im Quelltext einbauen soll.

Da schafft ein weiteres Plugin elegante Abhilfe, das wunderbar mit dem Google Analytics Plugin zusammenarbeitet, das Google Analytics Opt Out. Einfach das Plugin installieren und die UA-Nummer eingeben.


Google Analytics Opt-Out Plugin

 

Nun muss nur noch der Text in die Datenschutzerklärung eingegeben werden, der Nutzer von mobilen Geräten auf diese Möglichkeit hinweist und anklickbar gemacht werden. Das Plugin bietet dazu einen Shortcode. Das Icon (eine Schere) findet man in der oberste Leiste im Editor.

Google Analytics Opt Out Plugin für WordPress

Klickt man darauf, erscheint der Text „Click here to opt-out.“ mit dem Shortcode, was folgendermaßen im Text aussieht:

Click here to opt-out.

Den Text sollte man natürlich anpassen (in rot für die mobilen Geräte). Hier der Textvorschlag von der Website Datenschutzbeauftragter-info.de:

Datenschutzerklärung Muster

Wenn nun Nutzer mit einem mobilen Gerät auf den Link klicken, erhalten sie folgende Meldung:

Mobiles opt out

 

Update Oktober 2017: Nachdem mich jemand in den Kommentaren darauf aufmerksam gemacht hat, dass das Opt-in jetzt leider nur noch mit einem englischen Text verfügbar ist, habe ich den Screenshot entsprechend geändert. 

Laut der Website Datenschutzbeauftragter-info.de kann „aktuell jedoch nicht ausgeschlossen werden, dass sich im Rahmen der sog. „Cookie-Richtlinie“ weitere EU-Vorgaben ergeben werden, die erneute Anpassungen erforderlich machen.“

Wie eingangs erwähnt, stellt dieser Artikel keinerlei Rechtsberatung dar, sondern bietet nur eine Anleitung, wie die Vorgaben auf einer WordPress-Website auch für Laien umgesetzt werden können. Wende dich am besten an einen spezialisierten Rechtsanwalt. Es ist für alle Website-Betreiber immer gut, wenn sie sich regelmäßig auf dem Laufenden halten, was die aktuellen rechtlichen Bestimmungen sind.

Fazit

Webmaster, die die oben erwähnten Punkte beachten, können nun sicher die Argumente, die gegen den Einsatz von Google Analytics sprechen, widerlegen. Wer immer noch unsicher ist oder wem Google Analytics zu umfangreich ist, der kann immer noch auf andere Lösungen wie z.B. Piwik zurückgreifen. Die Daten, die dort erfasst werden, reichen vielen Blogbetreibern völlig aus. Google Analytics hingegen spielt seine volle Wirkung vor allem auch im Zusammenspiel mit Google AdWords und der Google Search Console aus. Auch für Online-Shops ist Google Analytics mit seinen E-Commerce-Funktionen in jedem Fall interessant.

 

About Cathrin Tusche

Hallo, ich bin Cathrin Tusche und ich blogge hier über Google Analytics speziell für Einsteiger. Im Laufe der Zeit werde ich immer wieder auf einzelne Themen eingehen und näher erklären. Also, stay tuned – und abonniere einfach den Newsletter, um auf dem Laufenden zu bleiben.

34 Comments

  1. […] kommt.   So habe ich dank Sylvia Wolgast einen Beitrag von Catrin Tusche entdeckt: Wie man Google Analytics datenschutzkonform auf seiner WordPress-Website einbinden kann. Man lernt eben nie […]

  2. Hallo Frau Tusche,
    Danke für diesen wertvollen Artikel. Wird wohl immer komplexer mit Google und Datenschutz!

    Einzig den Passus mit dem Opt-Out-Plugin (habe ich bei meinem Kunden installiert) und dem Scheren-Symbol konnte ich nicht nachvollziehen. Wo findet man das genau?

    Beste Grüße

    Christian Schrofler

    1. Hallo Herr Schrofler,
      ja, leider ein komplexes Thema, dem sich viele Website-Betreiber noch nicht ausreichend widmen. Das Scherensymbol finden Sie in der Werkzeugleiste im Editor. Ein Klick darauf generiert den Shortcode [google_analytics_optout]Google Analytics deaktivieren[/google_analytics_optout], wobei der Text in der Mitte natürlich anpassbar ist. Ich füge gleich mal einen Screenshot in den Text ein.
      Viele Grüße,
      Cathrin Tusche

  3. Ich habe noch nirgends so anschauliche Infos gefunden. Danke! Ich bin an Ihrem Buch interessiert, da Neuling in dieser Sache. Meine Frage, wenn ich das Yoast plugin installiert habe, gilt alles, was in Ihrem Buch steht, trotzdem? Mir ist der Unterschied in der Nutzung ‚google analytics original‘ und ‚google analytics by yoast‘ nicht klar. Viele Grüße aus Berlin

    1. Vielen Dank für den Kommentar. Das Google Analytics Plugin ist nur eine Hilfe für die Umsetzung der Datenschutzbestimmungen, z.B. das Hinzufügen des Codes für die Anonymisierung der IP-Adressen. Die anderen Vorgaben, wie Einreichen des Vertrags mit Google oder die Erwähnung in der Datenschutzerklärung der Website, müssen natürlich nach wie vor erfüllt werden. Dieser Artikel ist eine Ergänzung zum Text im Buch und was die Umsetzung mit WordPress angeht, ist er ausführlicher. Mit „Google Analytics orginal“ meinen Sie wahrscheinlich die „classic version“, denn zum Zeitpunkt des Erscheinen des Buchs waren noch nicht alle Konten auf „Universal Analytics“ umgestellt. Ältere Konten sollten aber inzwischen alle umgestellt sein. „Google Analytics by Yoast“ hingegen ist ein Plugin für WordPress.

  4. Ganz herzlichen Dank für diese nützlichen Infos !!
    Aber eine Frage habe ich:
    Wozu soll der Vertrag mit Google dienen bzw. wer will je sehen, ob ein solcher vorliegt/abgeschlossen wurde? Außerdem gibt es ja das in der BR Deutschland geltende Recht bzw. EU-Recht, was auch für Irland gilt – was soll in dem Vertrag anderes stehen als was dieses geltende Recht sowieso abdeckt ?
    Also ich meine: Google handelt doch identisch, mit oder ohne Vertrag.

    1. Wie gesagt, ich bin ja kein Jurist und kann deshalb nur wiedergeben, was die einschlägigen Quellen berichten. Es ist so, dass immer wenn man Dritten personenbezogene Daten der Nutzer überlässt, jeder Nutzer explizit zugestimmen muss. Es sei denn, man hat mit dem Empfänger der Daten einen Vertrag über Auftragsdatenverarbeitung abgeschlossen, denn dann braucht man keine Einwilligung der Nutzer. Es ist halt einfach eine der Vorgaben, die Google mit den deutschen Datenschützern ausgehandelt hat, von daher würde ich den Vertrag einfach ausdrucken, wegschicken, fertig! ;).

  5. Hallo,

    danke für den interessanten Beitrag. Was mir jetzt nicht ganz klar ist: Nachdem ich das Yoast GA Plugin installiert habe und „alles läuft“ – brauche ich das noch weiter? Oder kann ich es dann wieder löschen? Oder verhindert das das Tracking anschließend? Also für bisherige oder ggf. nur für neue Artikel?

    1. Hallo,
      das Google Analytics Plugin von Yoast sorgt dafür, dass der Tracking Code auf die Website kommt, deshalb muss das Plugin installiert bleiben. Ansonsten können keine Daten erfasst werden. Die Alternative ist den Code manuell im Header zu platzieren, aber die Anbindung mittels Plugin ist gerade für Einsteiger wahrscheinlich leichter. Die Daten werden ab dem Moment erfasst, ab dem der Tracking Code auf der Website implementiert ist. Auch ältere Blogartikel können ja von Nutzern aufgerufen werden und das würde dann auch erfasst ab diesem Moment. Ich hoffe, das schafft etwas Klarheit.
      Viele Grüße,
      Cathrin

  6. Hallo !
    Auch wenn das vielleicht ein wenig „off-topic“ ist, aber im Screenshot oben wird die Deaktivierungsmeldung des Browsers „Vielen Dank…“ in einer Lightbox dargestellt. Bei mir erscheint nur eine schnöde Browser-Meldung.
    Wie kann ich in WordPress Mitteilungen des Browsers in einer Lightbox darstellen ?
    LG
    Tom

    1. Hallo Tom,
      ich bin nicht sicher, warum die Deaktivierungsmeldung als Browser-Meldung kommt und nicht als Lightbox, da das Plugin das automatisch macht. Ich habe noch keine Möglichkeit zum Editieren gefunden.
      VG,
      Cathrin

      1. Hmm – dann suche ich mal weiter – vielleicht ist es ja ein anderes Plugin oder sogar das Theme, das die Lightbox hier blockiert …

        Aber Danke erst einmal !

        LG
        Tom

  7. Hallo,
    Ein wirklich guter Artikel ! Endlich mal gut erklärt und vor allem alles wichtige auf einer Seite !
    Es war mir mit ihrer Hilfe Problemlos möglich google analytics auf meiner Seite zu installieren.

    Nur eine Frage habe ich:
    Ich habe Probleme dabei das Widerrufsrecht für mobile Geräte richtig einzurichten.
    Ich habe den Trackingcode nicht über ein Plug in installiert, sondern in den Header vor das Ende gesetzt. Davor habe ich den oben beschrieben Code gesetzt, allerdings entsteht dadurch kein Link, den man anklicken kann.

    Ich würde mich sehr freuen, wenn mir bei diesem letzten Schritt noch einmal geholfen wird !

    1. Hallo, vielen Dank für den Kommentar. Der Google Analytics Tracking Code kann natürlich auch manuell eingebaut werden, was vielleicht besser ist, wenn man sich ein zusätzliches Plugin sparen will. Wenn er also richtig vor dem schließenden -Tag drin ist und VOR diesem Code-Schnipsel dann das Script für die mobilen Geräte eingebaut wurde, dann muss noch im Text selbst, also in der Datenschutzerklärung folgendes eingeben: Google Analytics deaktivieren. Vielleicht ist es unklar, aber dazu die Textansicht des Editors nutzen, nicht die visuelle Ansicht. Dadurch erst entsteht der Link. Ich hoffe, es klappt jetzt.
      Viele Grüße,
      Cathrin Tusche

  8. hallo danke für diese tolle artikel
    und zwar geht es bei mir darum:ich betreibe eine webseite zum deutschlernen auf arabisch mit ungefaehr 30000 suchvoulumen pro monate fuer die hauptkeyword.seit ein paar wochen bin ich auf der zweite platz gelandet. wenn ich meine seite auf google analytics anlaysiere dann zeigt mir nur 4 bis 10 besucher am tag. ich weiss nicht woran das sein kônnte .ich habe alles richtig eingegeben trackingcode funktieniert auch (denke ich). Können sie mir vielleicht behilflich sein
    danke im voraus
    mohamed

    1. Hallo Mohamed,
      ich habe nur mal auf die Schnelle geschaut, aber es sieht so aus, als wäre der Tracking Code nicht auf jeder Seite im Header. Dann können natürlich auch keine Daten erfasst werden. Also bitte nochmal prüfen (lassen), ob der Code wirklich auf allen Seiten im Header platziert ist.
      Viele Grüße,
      Cathrin

          1. Habe mich gerade durchgeklickt. Wenn man das Cookie-Banner unter Settings aktiviert hat, kann man nicht nur den Banner-Text ändern, sondern auch den Text für den erfolgreichen Drop-Out. Hat man das Banner aber nicht gesetzt, habe ich auch keine Möglichkeit gefunden.

  9. Herzlichen Dank für diesen wunderbaren Artikel! Es gibt viele Seiten, die alles erklären – aber die meisten machen das eben mit Quellcode und nicht mit den so nützlichen Plugins. Ohne Ihren Artikel hätte ich das nicht geschafft. Eine Frage habe ich allerdings noch: Wenn man eines neues Google Analytics Konto einrichtet, so muss man den länderspezifischen Datenschutzbedingungen zustimmen (sonst bekommt man die Nummer nicht). Der Text erscheint mir identisch mit demjenigen des Vertrages. Ich schätze, Google hat hier eine digitale Lösung gefunden. Muss man denn den Vertrag trotzdem noch ausdrucken und nach Irland schicken?

  10. Wir nutzen das Plugin „Google Analaytics Opt-Out“. Die Darstellung auf der Seite ist nicht befriedigend. Wie kann man die Darstellung anpassen. Aktuell sieht es aus als ob die Hälfte des am unteren Rand angezeigten Balken fehlt.

    1. Ich bin auch nicht mehr so zufrieden mit diesem Plugin, seit es das Opt-out nur noch in Englisch anzeigt. Aber abgeschnitten sollte es natürlich nicht sein. Ich bin leider kein WordPress-Experte, aber ich nehme an, dass man das Opt-out auch mit einem Javascript hinbekommt und individuell gestalten kann (WordPress-Spezialisten bitte Hand-Hoch ;)).

Leave a Reply

Your email address will not be published. Required fields are marked *