Google Analytics Tracking datenschutzkonform einbinden

Die Praxis zeigt: Betreiber von Webseiten und Onlineshops haben Probleme bei der Umsetzung ihrer vom Gesetzgeber aufgetragenen Pflichten im Umgang mit dem Datenschutz. Es hakt oft schon bei der korrekten Einbindung von Google Analytics. Das wundert, gibt es im Netz doch eine ganze Reihe von Anleitungen und rechtlicher Abhandlungen. Natürlich, man kann grundsätzlich über den Einsatz von Google Analytics streiten. Aber darum soll es hier nicht gehen. Es geht um dir richtige Einbindung.

Fangen wir mit Beispielen aus der Praxis an, die beliebte Fehler darstellen. Die Beispiele stammen von Webseiten, die Agenturen verantworten. Hier zeigt sich, dass nicht nur auf Kundenseite Schulungsbedarf besteht.

Beispiel 1: Auf dieser Webseite werden zwei Property-IDs angesteuert. Es scheint also, der Seitenbetreiber erfasst Nutzerdaten mit zwei Analyticskonten zu gleichen Zeit. Die Sinnhaftigkeit dieses Vorgehens erschließt sich mir nicht, stellt aber noch keinen Fehler dar. Spannend wird es, schaut man sich das so genannte Opt-Out-Script an, welches in der Datenschutzerklärung dafür sorgt, dass man z.B. als mobiler Nutzer der grundsätzlichen Erfassung widerspricht und ein Cookie setzt, welches das Senden der Trackingdaten verhindert. Das Opt-Out-Script existiert einerseits auf der Seit gar nicht. und selbst wenn es eingebunden wäre, der Nutzer müsste zwei IP-Adressen opt-outen.

 

Beim zweiten Beispiel würde ich sagen, die Agentur bekommt einen Bonuspunkt für den guten Willen. Dennoch schrammen sie knapp am Richtig vorbei. Der Fehler hier: Die Anonymisierung der IP findet erst NACH dem Absenden der erfassten Daten samt vollständiger IP-Adresse an die Google-Server statt. Was dieses Beispiel besonders bitter macht: Wir haben die Agentur im Vorfeld angeschrieben und ihnen den Hinweis gegeben, dass eine Anonymisierung fehlt und an welcher Stelle im Code diese eingebunden werden muß. Leider wurde das nicht so umgesetzt, wie es selbst von Google gefordert wird.

 

So sollte es aussehen:

 

Der Standard-Tracking-Code

Google stellt diesen Code in Analytics in dieser Form standardmäßig zur Verfügung. Er muss auf jeder Seite eingebunden sein, um seinen Dienst zu tun. Jedoch darf diese Code so NICHT unverändert eingesetzt werden.

<script>
(function(i,s,o,g,r,a,m){i['GoogleAnalyticsObject']=r;i[r]=i[r]||function(){
(i[r].q=i[r].q||[]).push(arguments)},i[r].l=1*new Date();a=s.createElement(o),
m=s.getElementsByTagName(o)[0];a.async=1;a.src=g;m.parentNode.insertBefore(a,m)
})(window,document,'script','https://www.google-analytics.com/analytics.js','ga');
ga('create', 'UA-XXXXXX-Y', 'auto');
ga('send', 'pageview');
</script>

Die Zeichenfolge UA-XXXXXX-Y stellt dabei die spezifische Tracking-ID dar.

 

Das Anonymisieren der IP

Ein einfacher Aufruf innerhalb des Analytics-Codes sorgt dafür, dass die an die Google-Server übersendete IP-Adresse anonymisiert übergeben wird. Unter Anonymisierung versteht man in diesem Fall, dass der letzte Nummernblock der IP genullt wird. Aus 202.123.97.78 wird an Google 202.123.97.0 übertragen. Das übernimmt diese Codezeile, die VOR dem send-Kommando platziert werden muss:

ga('set', 'anonymizeIp', true);

Der Opt-Out-Code:

Es muß dem Seitenbesucher die Möglichkeit geboten werden, einer Erfassung komplett zu widersprechen. Dies kann mit einem Plugin für den Browser realisiert werden. Jedoch ist die Installation von Browser-Plugins z.B. auf Smartphone meist nicht möglich, andererseits kann der Seitenbetreiber nicht erwarten, dass der Nutzer der Seite technisch befähigt ist, Plugins zu installieren (in Unternehmen z.B. ist dies ggf. durch fehlende Rechte gar nicht möglich). Daher muß ein Java-Script-Code auf der Seite eingebunden sein, der die Datenerhebung bei Aktivierung eines Opt-Out-Cookies verhindert. Durch den Code wird die jeweilige Website auf das Vorhandensein des vom Nutzer zu aktivierenden Opt-Out-Cookies überprüft und das Tracking bei entsprechender Feststellung unterbunden. Bedeutend ist vor allem, dass der Code noch vor dem eigentlichen Analytics-Code Website eingebunden ist.


<script>
var gaProperty = 'UA-XXXXXX-Y';
var disableStr = 'ga-disable-' + gaProperty;
if (document.cookie.indexOf(disableStr + '=true') > -1) { window[disableStr] = true;
}
function gaOptout() {
document.cookie = disableStr + '=true; expires=Thu, 31 Dec 2099 23:59:59 UTC; path=/';
window[disableStr] = true; }
</script>

 

So sieht es richtig aus:


<script>
var gaProperty = 'UA-XXXXXX-Y';
var disableStr = 'ga-disable-' + gaProperty;
if (document.cookie.indexOf(disableStr + '=true') > -1) { window[disableStr] = true;
}
function gaOptout() {
document.cookie = disableStr + '=true; expires=Thu, 31 Dec 2099 23:59:59 UTC; path=/';
window[disableStr] = true; }
</script>


<script>
(function(i,s,o,g,r,a,m){i['GoogleAnalyticsObject']=r;i[r]=i[r]||function(){
(i[r].q=i[r].q||[]).push(arguments)},i[r].l=1*new Date();a=s.createElement(o),
m=s.getElementsByTagName(o)[0];a.async=1;a.src=g;m.parentNode.insertBefore(a,m)
})(window,document,'script','https://www.google-analytics.com/analytics.js','ga');
ga('create', 'UA-XXXXXX-Y', 'auto');
ga('set', 'anonymizeIp', true);
ga('send', 'pageview');
</script>

In der Datenschutzerklärung muß entsprechender Text samt Link eingebunden werden:

Alternativ zum Browser-Add-On oder innerhalb von Browsern auf mobilen Geräten klicken Sie bitte den nachfolgenden Hyperlink, um die Erfassung durch Google Analytics innerhalb dieser Website zukünftig zu verhindern: <a href="javascript:gaOptout();"> (das Opt Out funktioniert nur in dem Browser und nur für diese Domain).

Fazit

Sowohl Seiten- und Shopbetreiber, als auch Agenturen müssen sich mit dem Thema Datenschutz und den gesetzlich geforderten technischen Vorgaben intensiver auseinandersetzen. Guter Kundenservice fängt beim Einhalten der Rechte des Besuchers an. Die Kosten, die für eine Rechtsberatung und die korrekte Einbindung samt Know-How entstehen, gehören fest in das Budget für Webprojekte. Daran zu sparen ist fahrlässig. Mit der Datenschutzgrundverordnung wird 2018 ordentlich Bewegung in diesen Bereich kommen. Wir bieten unseren Kunden professionelle rechtliche Beratung und Absicherung an. Sprechen Sie mich an.

  1. Danke Henning für diesen Artikel. Ich wusste garnicht was genau dieser HickHack immer soll, aber nun bin ich um einiges Schlauer und kann es dank deiner Hilfe auch recht easy umsetzen. Danke dafür.

  2. Sehr interessanter Artikel zum Thema.
    Sie haben sich gefragt, warum man in mehrere Propertys hinein tracken wollen sollte. Da kann ich Ihnen gerne ein Beispiel nennen, da ich ein ähnliches Konstrukt betreibe.
    In meinem Fall geht es darum die Daten für bestimmte Sprachversionen/Tochtergesellschaften sauber von einander abzugrenzen und den Zugriff auf jeweils fremde Daten sicher zu verhindern. Zusätzlich gibt es dann eine „Over-All-Property“ mit allen Daten. Dieses Vorgehen macht es für unerfahrene „Analysten“ deutlich einfacher die richtrigen Zahlen zu sehen.

    Sie sprechen in Ihrem Text ein leider ewiges Thema an. Der richtige Betrieb von Google Analytics.
    Im Prinzip trivial wenn man sich einmal richtig damit befasst hat. In der Praxis leider fast immer Mangelhaft umgesetzt. Den Code in die Seite zu kopieren ist halt nur die halbe Miete.

    Hier noch zwei kleiner Hinweise,
    1. „der Nutzer müsste zwei IP-Adressen opt-outen“ Das OptOut Cookie hat nichts mit IP-Adresse zu tun sondern bezieht sich auf die Google Analytics Property.
    2. Wäre es natürlich schön gewesen ein Optout-Script für mehrere Propertys in den Code-Beispielen zu sehen.

  3. Hallo Henning, danke für den Artikel! Glaube da hat sich am Ende ein kleiner Fehler eingeschlichen, müsste der a href Link in der Datenschutzerklärung nicht auch noch geschlossen werden?

    Viele Grüße
    Philipp

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

zwanzig + 17 =