Wie binde ich Google Analytics datenschutzkonform
auf meiner Website ein?

25. Mai 2017

Google Analytics ist nach wie vor eines der beliebtesten Tools, um das Nutzerverhalten auf Websites zu analysieren. Doch seit Inkrafttreten der DSGVO und des TTDSG sowie der Umstellung auf Google Analytics 4 (GA4) haben sich die Anforderungen an eine datenschutzkonforme Einbindung deutlich verschärft. In diesem Artikel erfährst du, wie du Google Analytics 4 rechtskonform und technisch korrekt auf deiner Website nutzt.

Rechtliche Grundlagen: DSGVO und TTDSG

Die Datenschutz-Grundverordnung (DSGVO) und das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) bilden die rechtliche Basis für die Nutzung von Tracking-Tools wie Google Analytics. Seit Dezember 2021 ist klar: Für das Setzen und Auslesen von Cookies zu Analysezwecken ist eine aktive Einwilligung (Opt-in) der Nutzer erforderlich. Ein bloßer Hinweis auf die Nutzung von Google Analytics reicht nicht mehr aus!

Umstellung auf Google Analytics 4 (GA4)

Google hat Universal Analytics zum 1. Juli 2023 eingestellt. Seitdem ist Google Analytics 4 (GA4) der Standard. Die Integration unterscheidet sich technisch und datenschutzrechtlich von der bisherigen Version:

IP-Anonymisierung: Bei GA4 ist die IP-Anonymisierung standardmäßig aktiviert. Ein zusätzlicher Code-Snippet wie ga('set', 'anonymizeIp', true); ist nicht mehr notwendig.
Datenaufbewahrung: In GA4 kann die Speicherdauer der erhobenen Daten auf maximal 14 Monate begrenzt werden. Diese Einstellung solltest du im Admin-Bereich von GA4 vornehmen.
Cookie-loses Tracking: GA4 bietet die Möglichkeit, Tracking auch ohne Cookies durchzuführen. Dies kann eine Option sein, um datenschutzrechtliche Risiken zu minimieren – ersetzt aber nicht die Einwilligungspflicht.
Serverseitiges Tracking: Für höhere Datenschutzanforderungen kann GA4 serverseitig eingebunden werden. Dies erfordert jedoch technisches Know-how und ist nicht in allen Fällen notwendig.

Einwilligung (Consent) einholen

Die Einbindung von Google Analytics 4 darf erst nach aktiver Einwilligung der Nutzer erfolgen. Dies geschieht über ein Consent Management Tool (CMT). Erst nach Zustimmung darf das GA4-Skript geladen werden.

Tipp: Achte darauf, dass dein Consent-Banner GA4 erst nach Zustimmung aktiviert und dass die Einwilligung dokumentiert wird

Datenschutz Consent-Management, Cookiebanner

Vertrag zur Auftragsverarbeitung (AVV) mit Google abschließen

Auch mit GA4 ist ein Vertrag zur Auftragsverarbeitung (AVV) mit Google erforderlich. Diesen kannst du direkt in deinem Google-Konto mit wenigen Klicks abschließen. Vertragspartner ist die Google Ireland Ltd.

Tipp: Achte darauf, dass dein Consent-Banner GA4 erst nach Zustimmung aktiviert und dass die Einwilligung dokumentiert wird.

Datenschutzerklärung anpassen

Name und Kontaktdaten des Verantwortlichen
Beschreibung der Datenverarbeitung mit GA4
Hinweis auf die IP-Anonymisierung
Angaben zur Speicherdauer
Information zu möglichen Datenübermittlungen in Drittländer (z.B. USA)
Hinweis auf das Widerrufsrecht bzw. die Möglichkeit, die Einwilligung zu widerrufen

Mustertext für die Datenschutzerklärung (GA4):

Wir nutzen Google Analytics 4, einen Webanalysedienst der Google Ireland Limited („Google“). Google Analytics verwendet Cookies, die eine Analyse der Benutzung unserer Website ermöglichen. Die durch die Cookies erzeugten Informationen über Ihre Benutzung dieser Website werden in der Regel an einen Server von Google in den USA übertragen und dort gespeichert. Die IP-Anonymisierung ist aktiviert, sodass Ihre IP-Adresse von Google innerhalb der EU gekürzt wird. Die Speicherung der Cookies sowie das Auslesen von Informationen erfolgt nur nach Ihrer ausdrücklichen Einwilligung. Sie können Ihre Einwilligung jederzeit widerrufen.

Datenübertragung in Drittländer (USA) und aktuelle Rechtslage

Auch mit GA4 kann es zu einer Übertragung personenbezogener Daten in die USA kommen. Seit Juli 2023 gilt das EU-US Data Privacy Framework, das den Datentransfer erleichtert. Dennoch bleibt ein Restrisiko bestehen, da US-Behörden unter Umständen Zugriff auf die Daten erhalten könnten. Informiere deine Nutzer transparent darüber.

Risiken und Bußgelder

Verstöße gegen die DSGVO und das TTDSG können zu hohen Bußgeldern und Abmahnungen führen. Besonders kritisch ist die Nutzung von Google Analytics ohne gültige Einwilligung oder ohne korrekte Datenschutzerklärung.

Checkliste: Google Analytics 4 datenschutzkonform einbinden

Checkliste Google Analytics 4 Datenschutzkonform einsetzen

Fazit

Die datenschutzkonforme Einbindung von Google Analytics 4 ist komplexer geworden, aber mit den richtigen Maßnahmen weiterhin möglich. Achte auf die Einwilligung deiner Nutzer, halte deine Datenschutzerklärung aktuell und prüfe regelmäßig die Einstellungen in deinem GA4-Konto. So bist du auf der sicheren Seite!

Kommentare

Schreibe einen Kommentar Antwort abbrechen

Das könnte dich auch interessieren

MailStore: So archivierst du deine Microsoft 365 E-Mails

Mit MailStore M365 archivierst du alle Microsoft 365 Mails GoBD- und DSGVO-konform. In dieser Anleitung erfährst du Schritt für Schritt, wie’s geht, und wie MXP dir als Managed Service alles abnimmt.
E-Mail-Archivierung für Lexware-Anwender: Integriertes DMS oder MailStore-Lösung im Vergleich

Wer für sein Unternehmen die optimale E-Mail-Archivierung sucht, steht oft vor der Wahl zwischen einer vollintegrierten Lösung wie dem Lexware Dokumentenmanagement-System (DMS) und einer flexiblen Cloud-Option wie MailStore. Wir stellen die beiden Lösungen gegenüber, damit du herausfinden kannst, welche Lösung für dich besser eignet.
KI Meeting-Protokolle: Microsoft Teams Copilot vs. Meet Jamie

KI-Meeting-Tools wie Jamie und Microsoft Teams Copilot erleichtern die Protokollierung und Zusammenarbeit im Mittelstand: Vollautomatische Notizen, datenschutzkonforme Dokumentation und maximaler Effizienzgewinn.

Wie binde ich Google Analytics datenschutzkonform auf meiner Website ein?