Nur noch wenige Tage und die Datenschutz-Grundverordnung der Europäischen Union tritt verbindlich in Kraft. Dieser Beitrag erklärt Ihnen, wie Sie die strengen Kriterien der DSGVO zum Umgang mit personenbezogenen Daten bezüglich der Nutzung des Webanalysedienstes Google Analytics einhalten können.
Inhalt
Was ist die Herausforderung?
Am 25. Mai 2018 wird der Schalter umgelegt und die Datenschutz-Grundverordnung, kurz DSGVO, gilt verbindlich in allen Mitgliedsstaaten der Europäischen Union. Welche Veränderungen diese mit sich bringt und worauf Sie als Betreiber einer WordPress-Website alles achten müssen, haben wir erst kürzlich in einem eigenen Beitrag detailliert beschrieben: Datenschutz-Grundverordnung (DSGVO) mit WordPress.
Update 29.07.2019: Nach einem aktuellen EuGH-Urteil dürfen Tracking-Tools wie Google Analytics nur noch zum Einsatz kommen, wenn die Nutzer dem nach vorheriger Aufklärung ausdrücklich zustimmen (Opt-in-Verfahren). Lesen Sie dazu den Beitrag EuGH-Urteil zum Datenschutz: Abmahngefahr bei Like-Button von Facebook und Nutzung von Google-Analytics.
Dieser Beitrag konzentriert sich im Speziellen darauf, die DSGVO-konforme Einbindung des Webanalysedienstes Google Analytics in WordPress zu beschreiben. Es gilt nämlich einiges sicherzustellen: Die IP-Adressen Ihrer Website-Besucher dürfen lediglich anonymisiert erfasst werden und wer nicht getrackt werden möchte, muss die Möglichkeit erhalten, die Erfassung seines Nutzungsverhaltens durch Google Analytics zu verhindern.
Disclaimer: Die Informationen in diesem Beitrag haben wir mit größter Sorgfalt recherchiert. Dennoch übernehmen wir keine Haftung für die Richtigkeit, Vollständigkeit und Aktualität der bereitgestellten Informationen. Diese sind insbesondere allgemeiner Art und stellen keine Rechtsberatung dar. Zur Lösung von konkreten Rechtsfällen konsultieren Sie bitte unbedingt einen Rechtsanwalt.
Wie Sie Google Analytics mit WordPress verbinden
Grundsätzlich gibt es zwei klassische Arten, wie Sie Google Analytics mit Ihrer WordPress-Website verbinden können: manuell durch das Einfügen eines JavaScript-Codeschnipsels in der header.php beziehungsweise footer.php oder mithilfe eines Plug-ins, das diese Arbeit für Sie übernimmt. Beide Möglichkeiten haben wir ebenfalls in einem älteren Beitrag ausführlich dargestellt: Wie man WordPress mit Google Analytics verbindet.
Darin wird bereits darauf eingegangen, wie man die IP-Adressen seiner Website-Besucher anonymisiert erfasst, nicht aber, wie die Möglichkeit zur vollständigen Deaktivierung des Webanalysedienstes implementiert werden kann – und dieser kommt nun eine tragende Rolle zu. Alle von uns getesteten Plug-ins zur Einbindung von Google Analytics sind aktuell nicht in der Lage, das dazu erforderliche Opt-out-Cookie zu setzen.
Google Analytics via JavaScript einbinden
Wir empfehlen deshalb die manuelle Integration via Code – und zwar direkt in der functions.php Ihres Child Themes. Meines was? Hier entlang: Ein WordPress Child Theme erstellen.
„Ein Child Theme ist eine Art Ableger vom ursprünglichen Theme, das somit zum ‚Parent Theme‘ avanciert. Der große Vorteil: Verändert man das Child Theme, bleibt das Parent Theme unangetastet – und jederzeit aktualisierbar, ohne dass die vorgenommenen Anpassungen bei einem Update überschrieben werden. Auf der anderen Seite werden die Einstellungen der Child Themes bei der Anzeige des Website-Frontends denen der Parent Themes vorgezogen.“
Und warum soll der Code jetzt in die functions.php und nicht mehr in die header.php oder footer.php? Weil die functions.php im Child Theme ergänzend zu der des Parent Themes wirkt, während die header.php und footer.php im Child Theme die des Parent Themes komplett ersetzen. Ändert der Entwickler Ihres Themes im Zuge eines Updates etwas daran, was nicht selten vorkommt, müssen Sie den Vorgang jedes Mal wiederholen.
Der Code inklusive IP-Anonymisierung und Opt-out-Cookie kann wie folgt aussehen (Quelle: WordPress Consultant):
<?php function wpc_add_google_analytics() { ?> <script> // Verhindert tracking wenn das Opt-Out-Cookie gesetzt wurde (Link in der Datenschutzerklärung angeklickt wurde) var gaProperty = 'UA-XXXXXXXX-Y'; // hier deine Tracking ID einsetzen var disableStr = 'ga-disable-' + gaProperty; if (document.cookie.indexOf(disableStr + '=true') > -1) { window[disableStr] = true; } function gaOptout() { document.cookie = disableStr + '=true; expires=Thu, 31 Dec 2099 23:59:59 UTC; path=/'; window[disableStr] = true; } // Dein persönlicher Google Analytics Tracking Code (function(i,s,o,g,r,a,m){i['GoogleAnalyticsObject']=r;i[r]=i[r]||function(){ (i[r].q=i[r].q||[]).push(arguments)},i[r].l=1*new Date();a=s.createElement(o), m=s.getElementsByTagName(o)[0];a.async=1;a.src=g;m.parentNode.insertBefore(a,m) })(window,document,'script','https://www.google-analytics.com/analytics.js','ga'); ga('create', 'UA-XXXXXXXX-Y', 'auto'); // hier deine Tracking ID einsetzen ga('set', 'anonymizeIp', true); // die letzten 8 Bit der IP-Adressen werden gelöscht und somit anonymisiert ga('send', 'pageview'); </script> <?php } add_action( 'wp_head', 'wpc_add_google_analytics', 10 );
Die fett markierten Elemente sind Platzhalter für Ihre individuelle Tracking-ID, die Sie entsprechend anpassen müssen.
Um zu überprüfen, ob Sie den Codeschnipsel korrekt integriert haben, eignet sich das Tool SEO SiteCheckup. Geben Sie dort einfach Ihre URL ein und wählen Sie im Drop-down-Menü den „Google Analytics Test“ aus, bevor Sie den Button „Checkup!“ klicken.
Alternativ können Sie im Dashboard Ihres Kontos bei Google Analytics unter „Berichte“ und „Echtzeit“ einen „Testzugriff senden“ und schauen, ob dieser in Ihren Echtzeitberichten auftaucht. Tut er das, hat die Implementierung geklappt. Tut er das nicht, gibt es an irgendeiner Stelle ein Problem. In diesem Fall sollten Sie Ihren Code noch einmal genau durchgehen: Fehlt eine Klammer oder ein Komma? Habe ich meine Tracking-ID korrekt eingefügt? Sind die Dateien meines Child Themes richtig angelegt?
Kontrollen
Vertrauen ist gut, Kontrolle ist besser! Damit Sie sichergehen, dass Sie Google Analytics DSGVO-konform einsetzen, können Sie die folgenden Kontrollen durchführen:
Um sicherzustellen, dass die Anonymisierung der IP-Adresse wirklich funktioniert, können Sie mit dem von Markus Baersch entwickelten Tool überprüfen, ob Sie personenbezogene Daten in Google Analytics sammeln. Die Verwendung dieses Tools ist auf Ihrem eigenen Risiko, da Sie hier Zugang zu Ihrem Analytics-Konto erlauben: Der „Datenschutz-Check“ für Google Analytics.
Für die Kontrolle, dass auch das „Opt out“ funktioniert, empfehlen wir die Chrome Erweiterung Google Analytics Debugger. Mit dieser Erweiterung von Google werden die Daten welche an Google Analytics gesendet werden lesbar in die Console ausgegeben (Rechtsklick und „Untersuchen“ im Menü auswählen):
Datenschutzerklärung überarbeiten
Mit der Implementierung des JavaScript-Codeschnipsels ist es allerdings noch nicht getan. Sie müssen darüber hinaus Ihre Datenschutzerklärung überarbeiten und darin die Besucher Ihrer WordPress-Website über den Einsatz von Google Analytics, die IP-Anonymisierung sowie die Möglichkeit der Deaktivierung des Webanalysedienstes aufklären. Insbesondere bezüglich der Informationspflichten gibt die Datenschutz-Grundverordnung strenge Vorgaben.
Die entsprechenden Hinweise können wie folgt aussehen (Quelle und Copyright: eRecht24*):
Google Analytics
Diese Website nutzt Funktionen des Webanalysedienstes Google Analytics. Anbieter ist die Google Inc., 1600 Amphitheatre Parkway Mountain View, CA 94043, USA. Google Analytics verwendet so genannte „Cookies“. Das sind Textdateien, die auf Ihrem Computer gespeichert werden und die eine Analyse der Benutzung der Website durch Sie ermöglichen. Die durch den Cookie erzeugten Informationen über Ihre Benutzung dieser Website werden in der Regel an einen Server von Google in den USA übertragen und dort gespeichert.
IP-Anonymisierung
Wir haben auf dieser Webseite die Funktion IP-Anonymisierung aktiviert. Dadurch wird Ihre IP-Adresse von Google innerhalb von Mitgliedstaaten der Europäischen Union oder in anderen Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum vor der Übermittlung in die USA gekürzt. Nur in Ausnahmefällen wird die volle IP-Adresse an einen Server von Google in den USA übertragen und dort gekürzt. Im Auftrag des Betreibers dieser Website wird Google diese Informationen benutzen, um Ihre Nutzung der Website auszuwerten, um Reports über die Websiteaktivitäten zusammenzustellen und um weitere mit der Websitenutzung und der Internetnutzung verbundene Dienstleistungen gegenüber dem Websitebetreiber zu erbringen. Die im Rahmen von Google Analytics von Ihrem Browser übermittelte IP- Adresse wird nicht mit anderen Daten von Google zusammengeführt.
Browser-Plug-in
Sie können die Speicherung der Cookies durch eine entsprechende Einstellung Ihrer Browser-Software verhindern; wir weisen Sie jedoch darauf hin, dass Sie in diesem Fall gegebenenfalls nicht sämtliche Funktionen dieser Website vollumfänglich werden nutzen können. Sie können darüber hinaus die Erfassung der durch den Cookie erzeugten und auf Ihre Nutzung der Website bezogenen Daten (inkl. Ihrer IP-Adresse) an Google sowie die Verarbeitung dieser Daten durch Google verhindern, indem Sie das unter dem folgenden Link verfügbare Browser-Plugin herunterladen und installieren: https://tools.google.com/dlpage/gaoptout?hl=de
Widerspruch gegen Datenerfassung
Sie können die Erfassung Ihrer Daten durch Google Analytics verhindern, indem Sie auf folgenden Link klicken. Es wird ein Opt-Out-Cookie gesetzt, der die Erfassung Ihrer Daten bei zukünftigen Besuchen dieser Website verhindert:
<a onclick="alert('Google Analytics wurde deaktiviert');"href="javascript:gaOptout()">Google Analytics deaktivieren</a>
Mehr Informationen zum Umgang mit Nutzerdaten bei Google Analytics finden Sie in der Datenschutzerklärung von Google: https://support.google.com/analytics/answer/6004245?hl=de
Auftragsdatenverarbeitung
Wir haben mit Google einen Vertrag zur Auftragsdatenverarbeitung abgeschlossen und setzen die strengen Vorgaben der deutschen Datenschutzbehörden bei der Nutzung von Google Analytics vollständig um.
Demografische Merkmale bei Google Analytics
Diese Website nutzt die Funktion „demografische Merkmale“ von Google Analytics. Dadurch können Berichte erstellt werden, die Aussagen zu Alter, Geschlecht und Interessen der Seitenbesucher enthalten. Diese Daten stammen aus interessenbezogener Werbung von Google sowie aus Besucherdaten von Drittanbietern. Diese Daten können keiner bestimmten Person zugeordnet werden. Sie können diese Funktion jederzeit über die Anzeigeneinstellungen in Ihrem Google-Konto deaktivieren oder die Erfassung Ihrer Daten durch Google Analytics wie im Punkt „Widerspruch gegen Datenerfassung“ dargestellt generell untersagen.
Der Abschnitt „Widerspruch gegen Datenerfassung“ enthält am Ende den Link zur Deaktivierung von Google Analytics. Sofern Sie Ihre Datenschutzerklärung mithilfe eines Page-Builders erstellen, müssen Sie diesen in einem speziellen Modul für Code abbilden oder aber Sie arbeiten ausschließlich im Textmodus Ihres Editors. Speichern Sie den Link im visuellen Modus, funktioniert er nicht. Weitere Infos über Page Builder: Was sind eigentlich Page Builder?
Auftragsverarbeitungsvertrag mit Google abschließen
UPDATE 25.05.2018: Bitte beachten Sie, dass der bisher an dieser Stelle beschriebene Vertrag zur Auftragsdatenverarbeitung nach § 11 BDSG (1990) mit Geltung der EU Datenschutzgrundverordnung 2016/679 (DSGVO) seit dem 25. Mai 2018 nicht mehr zur Verfügung steht. Stattdessen steht ab diesem Zeitpunkt ein Auftragsverarbeitungsvertrag nach Artikel 28 DSGVO zur Verfügung, den Sie elektronisch abschließen können (vgl. Sie bitte Art. 28 Abs. 9 DSGVO zur Möglichkeit, Auftragsverarbeitungsverträge auch in ‘elektronischer Form’ abzufassen). Weitere Informationen zum Auftragsverarbeitungsvertrag für Google Analytics finden Sie hier.
Zu guter Letzt, doch im Grunde allen genannten Punkten voran steht der Abschluss eines Auftragsdatenverarbeitungsvertrages mit Google, weil Sie laut Ansicht der Aufsichtsbehörden beim Einsatz von Google Analytics als Auftraggeber des kalifornischen Unternehmens fungieren. Den Vertrag müssen Sie ausdrucken, unterschreiben und zum Google-Standort in Irland schicken. Von dort aus kommt er dann unterschrieben zu Ihnen zurück.
Weiterhin gilt es, den sogenannten „Zusatz zur Datenverarbeitung“ von Google Analytics online zu bestätigen. Dieser enthält zusätzliche Regelungen, die den Auftragsdatenverarbeitungsvertrag um DSGVO-spezifische Vorgaben ergänzen. Sie finden ihn in Ihrem Konto unter dem Menüpunkt „Verwaltung“ und dort wiederum unter dem Untermenüpunkt „Kontoeinstellungen“.
Klingt alles kompliziert und zeitraubend? Wenn der Einsatz eines Webanalysedienstes für Ihr Business nicht von unabdingbarer Relevanz ist, lohnt sich der Aufwand sicher nicht. Andernfalls kommen Sie leider nicht drum herum, sofern Sie auf der sicheren Seite sein möchten.
Viel Erfolg bei der Umsetzung!
Disclaimer: Die unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) haben am 26. April 2018 ein Positionspapier veröffentlicht, in dem Webtracking grundsätzlich der Erfordernis einer vorherigen Einwilligung des Website-Besuchers unterstellt wird. Das bezieht sich auch auf den Einsatz von Google Analytics. Dieses Papier ist nicht unumstritten. Wir behalten die Entwicklung im Auge und aktualisieren diesen Beitrag, sobald uns konkretere Informationen dazu vorliegen.
Anmerkung: *) ist ein „Partnerlink“. Wenn Sie auf den Link klicken und einen Artikel kaufen, erhalten wir eine Provision. Auf Ihren Kaufpreis hat es keine Auswirkung. Vielen Dank für Ihre Unterstützung!
4 Kommentare. Wir freuen uns über Ihren Kommentar
Hallo Tim,
danke für diesen Artikel. Diese Punkte kannte ich bereits. Wie sieht es aus mit dem Opting-Out für Google Analytics. Müssen nicht Besucher BEVOR sie die Webseite besuchen, die Wahl haben, ob sie das Tracking wünschen oder nicht?
Wie siehst du das?
Moin Gerd,
wie im Beitrag geschrieben, streiten sich da noch die Geister. Wenn Du aber auf Nummer Sicher gehen willst, dann ja. Hier gibt es ein Plug-in, das das leistete: https://borlabs.io/borlabs-cookie/
Ahoi!
Thorsten
Schön verständlich zusammengefasst und auf den Punkt gebracht was ich wissen (und an Codeschnippsel kopieren) wollte :)
Mit dem Plugin Cookie Notice kann man Script erst laden nachdem Cookies akzeptiert wurden. Entweder durch kopieren in ein Textfeld innerhalb der Einstellungen des Plugins, oder abfrage einer „mitgelieferten“ Funktion die den Cookie Status ausgibt.
Zudem würde ich die Funktion von WordPress Consultant noch ergänzen, sodass die eigenen Seitenaufrufe nicht mitgezählt werden. Mit is_admin(); oder User IDs.
is_admin(); ist Blödsinn. Habe da was durcheinander gerbacht.