Sag Hallo!

Trink Kaffee

WEBKINDER AG
Morgartenstrasse 17
6003 Luzern

WK in Zürich
Limmatstrasse 65
8005 Zürich

Oder stalke uns

Wie du Google Analytics DSGVO konform machst und warum Datenschutz uns alle betrifft

Das Google Analytics Symbol auf einem Computerbildschirm

Das wichtigste, was du zur DSGVO wissen solltest. Verständlich geschrieben und (fast) ohne trockene Rechtstexte. Dafür mit IP-Anonymisierung, Datenschutzerklärung, Entwicklertools und ein wenig Aristoteles.

Datenschutz ist überall

Die Datenschutz-Grundverordnung der EU ist seit dem 25. Mai 2018 in Kraft. Nebst Kopfschütteln durch die einen und Applaus durch andere sorgt sie wohl bei allen wegen ihrer Komplexität für Verwirrung. Beamtendeutsch hilft den Normalsterblichen trotz der grundsätzlich lobenswerten Idee für mehr Kontrolle über die eigenen Daten nicht weiter. Nichtsdestotrotz ist die DSGVO faktisch auch auf Schweizer Unternehmen anwendbar und muss dementsprechend von allen ernst genommen werden, egal welche Haltung man persönlich gegenüber dem Datenschutz hat.

Um über die DSGVO generell oder über Datenschutz im Allgemeinen zu sprechen, bräuchte man eine halbe Bibliothek. Und obwohl das Thema äusserst wichtig ist und auch kontrovers diskutiert wird, ist das hier nur ein einfacher Blogbeitrag. Deswegen kann hier nur auf weiteren Lesestoff hingewiesen werden, wenn es darum geht, ob und warum Daten per se schützenswert sind. Stattdessen machen wir dir das hochkomplexe DSGVO Thema in Bezug auf Google Analytics zugänglich. Trotzdem schadet ein kurzer, allgemeiner Refresher zur DSGVO nicht. Schliesslich sollst du auch wissen, warum du die hier vorgestellten Anpassungen durchführen solltest. Darum ist dieser Beitrag auch wie folgt gegliedert:

Warum betrifft mich die DSGVO als Schweizer Webseitenbetreiberin?

Schliesslich heisst sie ja „Datenschutz-Grundverordnung der europäischen Union“, zu welcher die Schweiz nun mal nicht dazugehört. Allerdings können Webseiten länderübergreifend aufgerufen werden. Und wenn nun ein Schweizer eine Deutsche Webseite aufruft oder ein Franzose eine Schweizer Webseite aufruft, welches Recht gilt dann? Das der Schweiz, das von Deutschland, respektive Frankreich, oder das der Europäischen Union? Und schon sind wir mittendrin im Rechtssumpf. In welchen Detailfällen nun welches Recht gilt, ist eine Frage für einen Anwalt. Hier reicht es zu wissen, dass die DSGVO der EU angewendet werden kann, wenn von irgendwo aus der EU heraus auf eine Schweizer Webseite zugegriffen wird.

Das bedeutet, dass man als Webseitenbetreiberin oder als Webseitenbetreiber in der Schweiz so oder so von der DSGVO der EU betroffen ist, weil möglicherweise Bürger der EU auf die eigene Webseite zugreifen können. Egal ob man nun Schweizer Produkte für Schweizer Kunden in einem Schweizer Webshop verkauft oder ob man internationale Kunden hat: Menschen aus aller Welt und dementsprechend auch Menschen aus der EU können auf die eigene Webseite zugreifen. Und das ist in diesem Fall alles, worauf es ankommt.

Die vom Bund betriebene Seite admin.ch hält diesen Umstand wie folgt fest:

Schweizer Unternehmen müssen sich an die DSGVO halten, wenn sie personenbezogene Daten von natürlichen Personen verarbeiten, die sich in der EU befinden, und falls die Verarbeitung dazu dient: 1. diesen Personen Waren oder Dienstleistungen anzubieten (gegen Bezahlung oder unentgeltlich), oder 2. das Verhalten dieser Personen zu verfolgen, sofern dieses Verhalten in den Mitgliedstaaten der EU erfolgt (Art. 3 Abs. 2 Buchst. a und b DSGVO).

kmu.admin.ch

Welche Daten sind vom Datenschutz betroffen?

Wieder eine Frage für einen Anwalt. Denn was Daten aus rechtlicher Sicht sind unterliegt ebenso konstantem Wandel wie die Frage danach, welche Daten schützenswert sind und warum. Rechtshistorisch gesehen ist zum Beispiel Sandra Igo’s Buch The Known Citizen interessant, weil sie zeigt, dass die Gesetze um den Datenschutz nicht einheitlich sind und sich das Verständnis des Privaten und Schützenswerten über die Jahre stark verändert hat. Das ist nicht nur in den USA, sondern weltweit der Fall. Geht man geschichtlich etwas zurück, wird man schnell mit Fragen zu Besitz und Freiheit konfrontiert.

Werden Daten als persönlicher Besitz verstanden, kann sogar mit einigen Überlegungen von Aristoteles für den Datenschutz argumentiert werden. Wird nämlich mit Sandra Igo persönlicher Besitz als Grundlage für Freiheit gesehen, weil der Besitz von Land die Selbstversorgung und damit Unabhängigkeit und damit wiederum Freiheit ermöglicht hat, kann diese Ansicht mit einer Argumentation von Aristoteles verknüpft werden, weil dieser persönlichen Besitz und Bildung als Grundpfeiler der Demokratie bezeichnet hat. Dafür lohnt sich je ein Blick auf den Wikipedia Artikel zur Politikvorstellung von Aristoteles und auf das Kapitel Eigentum: Voraussetzung für Freiheit und Wohlstand von Berthold Leibinger im Sammelband Kultur des Eigentums.

Je nach Weltanschauung und historischem Kontext besteht Datenschutz nicht einfach nur aus einer Sammlung von trockenen Rechtstexten. Stattdessen setzt er sich aus diversen tiefgreifenden Überlegungen zusammen, welche weit über das Recht hinausgehen. Ob man sich nun dafür interessiert oder nicht, fakt ist, dass Datenschutz weit in die Geschichte der Menschheit zurückreicht und innerhalb der letzten Jahre insbesondere im Zuge der Snowden Enthüllungen erneut in der breiten Öffentlichkeit diskutiert wird. Hier reicht es, zu wissen, dass laut DGSVO personenbezogene Daten schützenswert sind und dass es fast immer um diese Daten geht, wenn die DSGVO angewandt wird.

Was sind personenbezogene Daten?

Für Details ist das eine Anwaltsfrage, mal wieder. Das Prinzip hinter personenbezogenen Daten ist aber leicht verständlich: Alles, was irgendwie zur Person gehört, also alles, mit dem eine Person identifiziert werden kann, ist personenbezogen. Das Geburtsdatum, der Name, das Geschlecht, usw. sind zum Beispiel persönliche Daten in diesem Sinn. In der digitalen Welt kommen da aber noch mehr Daten hinzu. Die IP-Adresse wird zum Beispiel ebenfalls als persönliches Datum eingestuft. In diesem Zusammenhang deswegen, weil die IP-Adresse eine eindeutige Identifizierung einer Person erlaubt und damit schützenswert ist. Und da technisch bedingt immer eine IP-Adresse bei einer Anfrage für eine Webseite an den Webserver übermittelt wird, produziert jeder Webseitenaufruf schützenswerte Daten. Und zwar auf Seiten der Betreiberin oder des Betreibers der Webseite, weil der Webserver die IP-Adresse des Clients loggt.

Wieso betrifft die DSGVO Google Analytics?

Weil auch Google personenbezogene Daten von EU-Bürgern verarbeitet. Und da Google ebenfalls an die Funktionsweise der Internetprotokolle gebunden ist, muss die IP-Adresse des Users bekannt sein, damit die Datensammlung mit Google Analytics funktioniert. Hat man also zwar die eigene Webseite DSGVO konform gemacht, benutzt aber Analysetools von Drittanbietern, ist die Webseite trotzdem nicht DSGVO konform. Mit einem einfachen DSGVO WordPress Plugin ist es damit entsprechend nicht getan. Man muss sich aktiv mit seiner Webseite auseinandersetzen und wissen, welche Tools man verwendet. Immer, wenn eine Verbindung zu einem Webserver hergestellt wird, wird die IP-Adresse des Users übermittelt. Das gilt sowohl für Tracking Technologien von Google, HubSpot, Facebook, usw. als auch für extern geladene Ressourcen wie Schriften, Bilder, Videos, Werbung, etc.

Wie mache ich Google Analytics DSGVO konform?

Dafür musst du verstehen, wo das Problem liegt. Oben wurde das schon holistisch erarbeitet: Das Hauptproblem liegt darin, dass schützenswerte, persönliche Daten von individuellen Usern auf Webservern von Drittanbietern gesammelt und verarbeitet werden.

Pro http Request schickt der User Agent zwar jeweils Informationen wie die Browserversion und das Betriebssystem an den Webserver und der Webserver selbst loggt auch noch Daten wie zum Beispiel die Uhrzeit der Anfrage des Clients. Diese Daten können jedoch nicht eindeutig mit einer Person in Verbindung gebracht werden und müssen damit auch nicht geschützt werden. (Es sei denn, du nutzt als einziger Mensch der Welt einen ganz bestimmten Browser und machst das öffentlich bekannt.)

Das eigentliche zu lösende Problem ist also die Sammlung von IP-Adressen. Um das zu verhindern, gibt es mehrere Lösungen.

IP Anonymisierung in Google Analytics

Prinzip: Die IP-Adresse des Users wird an das nächstbeste Google Rechenzentrum geschickt und dort unkenntlich gemacht. Im Fall der Schweiz wäre das zum Beispiel Saint-Ghislain in Belgien. Das bedeutet, dass aus einer eindeutigen IP-Adresse wie 84.224.196.82 eine anonymisierte IP-Adresse wie 84.227.196.0 gemacht wird. Erst nach dieser Anonymisierung wird diese IP-Adresse in Google Analytics ausgewertet und auf den Google Servern gespeichert. Faktisch gesehen bedeutet das, dass die IP-Adresse bis zum Zeitpunkt der Anonymisierung noch kenntlich ist und damit unter die DSGVO fällt.

Die Privacy Shield Frameworks zwischen den USA und der Schweiz und zwischen den USA und der EU regeln allerdings die Handhabung dieser Daten und wurden von allen beteiligten Staaten mitentwickelt. Wichtig zu wissen ist, dass die IP-Adresse ab einem bestimmten Punkt anonymisiert und damit DSGVO konform gemacht werden kann und dass auch bis zu diesem Punkt hin rechtlich gesehen alles geregelt, d.h. unbedenklich ist – ohne Gewähr, da ich erstens kein Anwalt bin und sich zweitens das Recht kontraintuitiv verflixt schnell ändern kann.

Technik: Die IP-Anonymisierung wird direkt im Google Analytics Snippet hinterlegt. Entweder via Google Tag Manager, was einfach und schnell geht, oder indem man den Code direkt bearbeitet. Im Google Tag Manager reicht es, dafür die Google Analytics Variable wie folgt anzupassen und ein festzulegendes Feld hinzuzufügen:

Die bereits vokonfigurierte Google Analytics-Einstellungsvariable wird hier nur noch mit einem festzulegenden Feld ergänzt, in welchem anonymizeIp = true steht.
Der Tag Manager ist case sensitive, deswegen bitte die Gross- und Kleinschreibung von anonymizeIp = true beachten.

Nachdem das neue Feld hinzugefügt wurde, kann die Tag Manager Version erst getestet oder direkt veröffentlicht werden – viel falsch machen kann man hier nicht. Ob die Anonymisierung der IP-Adresse funktioniert oder nicht lässt sich mit den Chrome Entwicklertools testen.

Geöffneter Netzwerk Tab in Google Chrome mit Nummern für die Schritt für Schritt Anleitung
Hier ist gerade die Webseite webkinder.ch offen.

Für diejenigen, die die Entwicklertools nicht so gut kennen, hier eine Schritt für Schritt Anleitung:

  1. Die Entwicklertools mit F12 oder Ctrl + Shift + I auf Windows oder via Cmd + Option + I auf dem Mac öffnen und zum Network Tab navigieren.
  2. Im Feld Filter nach collect suchen. Damit filtert man nach einem String, welcher unter anderem in den modernen Google Tracking Snippets vorkommt. Sollte Google Analytics noch auf eine alte Weise eingepflegt worden sein, kann man auch nach _utm.gif suchen.
  3. All die Ressourcen, welche mit collect? starten, weisen auf Google Analytics hin. All diese Ressourcen müssen einzeln überprüft werden.
  4. Im Reiter Headers bis zum Dropdown Query String Parameters scrollen.
  5. Dort nach einem Parameter namens aip suchen. Steht da aip: 1, aip=1 oder aip: 0 respektive aip=0, funktioniert die IP-Anonymisierung. Der Name steht dabei für ein Akronym (anonymized ip) und wird hier von Google dokumentiert.

Ist Google Analytics jetzt DSGVO konform?

Nein. Alles, was gemacht wurde, ist, die IP-Anonymisierung zu aktivieren. Das schützt die Privatsphäre der User zwar bereits ein wenig, um aber überhaupt Daten mit Google Analytics sammeln zu dürfen, braucht es mindestens noch einen weiteren Schritt:

Datenschutzerklärung

Laut Artikel 13 und Artikel 14 der DSGVO braucht jede Webseite eine Datenschutzerklärung. Man beachte die Formulierung: Es ist eine Erklärung. Kein Vertrag und keine Einverständniserklärung oder sonst etwas, sondern lediglich eine Erklärung, also ein Hinweis. Der Sinn hinter der Bereitstellung dieser Information ist, die User darüber aufzuklären, welche Daten wie und warum gesammelt werden. Es geht also in der Datenschutzerklärung um die Vermittlung von Informationen und nicht darum, das Einverständnis für das Sammeln von Informationen zu erhalten.

Da mit Google Analytics Daten gesammelt werden, muss in der Datenschutzerklärung darauf hingewiesen werden. Ein vereinfachtes Beispiel:

  • Warum werden Daten mit Google Analytics gesammelt? Damit die Webseite aufgrund der Auswertung dieser Daten für zukünftige Nutzerinnen und Nutzer optimiert werden kann.
  • Welche Daten werden gesammelt? Informationen über den Browser, das Betriebssystem, die Zugriffszeit und die IP-Adresse, welche anonymisiert wird.
  • Wie werden Daten gesammelt? Indem ein Cookie hinterlegt wird und die zuvor genannten Daten an Server von Google LLC übermittelt und dort gespeichert werden.

Dieses simple Beispiel genügt der Realität nicht, weil nicht alle Daten, Verwendungszwecke oder beispielsweise die Speicherdauer genannt wurden. Zusätzliche Angaben über Google als Unternehmen oder Möglichkeiten, um das Sammeln von Daten nicht zuzulassen, sind hilfreich und stellen einen willkommenen Mehrwert für die User dar. Das Beispiel entspricht auch nicht der Realität der Lawine an Rechtstexten, welche leider häufig in eine Datenschutzerklärung gepackt werden. Allerdings ist dieses Beispiel vor allem eines: Verständlich. Und genau das ist einer der Hintergrundgedanken der DSGVO: Transparenz in Bezug auf persönliche Daten.

Es geht nicht darum, sich gegen nur jeden erdenklichen Fall absichern zu wollen oder hochgestochen zu sprechen, sondern darum, anzugeben, welche Informationen von wem, warum und wie gesammelt werden. That’s it.

Unterm Strich, geht es in der Datenschutzerklärung also darum, Informationen über alle Drittanbieter, welche mit User Daten auf der eigenen Webseite in Berührung kommen, bereitzustellen und zu sagen, wer welche Daten wie, warum, wofür und wie lange wo bearbeitet und speichert. Zu diesen Drittanbietern gehört auch Google, weshalb alle diese W-Fragen für Google und Google Analytics beantwortet werden müssen, um Google Analytics datenschutzkonform zu machen. Ist das erledigt, sind wir aber noch nicht fertig.

Wird der Tracking Code von Google Analytics via Tag Manager oder manuell eingepflegt, ist er standardmässig aktiv und setzt ein Cookie. Ein Cookie ist eine kleine Datei, welche auf dem Endgerät der User gespeichert wird, damit die User zu einem späteren Zeitpunkt, wenn sie erneut auf dieselbe Webseite zugreifen, von der Webseite wiedererkannt werden. Das ist nützlich, wenn die Webseite personalisiert wurde und beispielsweise das Erscheinungsbild den Wünschen der Nutzerin oder des Nutzers entsprechend angepasst wurde. Für Google Analytics ist es nützlich, um zu erkennen, ob es sich bei den Usern um dieselben oder um neue User handelt. Das Analytics Cookie generiert dabei eine zufällige Client-ID, also eine eindeutige, wenngleich anonyme Identifizierung der User.

Je nach Google Analytics Konfiguration kann auch in den Analysen nach spezifischen Client-IDs gefiltert und beispielsweise deren Verhaltensweisen beobachtet werden. Werden diese Client-IDs mit weiteren Informationen kombiniert, besteht die Möglichkeit, persönliche Daten über diese User herauszufinden. Sicher vor einer möglichen Identifizierung sind die User dementsprechend nie, selbst wenn es sich bei den dazu verwendeten Daten nicht um personenbezogene Daten laut DSGVO handelt.

Ist man nicht auf das Tracking von Userdaten aufgrund des eigenen Geschäftsmodells angewiesen, liegt die Empfehlung deswegen nahe, gänzlich auf das Tracking zu verzichten. Ist das Tracking hingegen für das eigene Geschäftsmodell notwendig, um beispielsweise überhaupt eine Chance auf dem E-Commerce Markt zu haben, besteht laut DSGVO ein begründetes Interesse für das Sammeln von Daten. Da nach aktuellem Wissensstand kein Gerichtsentscheid vorliegt, welcher auf Client IDs oder auf Cookies eingeht und keine persönliche Daten von diesen Trackingmethoden betroffen sind, sind sie rechtlich unbedenklich – erneut ohne Gewähr.

Möchte man seinen Besuchern die volle Kontrolle über ihre Daten geben, lässt sich ein Cookie Banner einpflegen. Dieser Banner beinhaltet meistens drei Dinge: Einen Link zur Datenschutzerklärung, einen verkürzten Hinweis darauf, dass Userdaten gesammelt werden und eine Wahlmöglichkeit für verschiedene Cookies. Sogenannte essenzielle Cookies sind dabei zumeist als Pflichtfeld vorausgewählt. Diese Cookies müssen beispielsweise von einem Webshop gesetzt werden, damit das Login funktioniert. Die nächsten Cookie Stufen beinhalten meistens verschiedene Trackingtechnologien und müssen von den Besuchern aktiv befürwortet werden. Sie stimmen so via Opt-in dem Tracking zu, was DSGVO konform ist.

Standardmässig wird von Google Analytics ein Cookie gesetzt und zwar unabhängig davon, ob die Einwilligung der User vorliegt oder nicht. Dann besteht nur noch die Möglichkeit eines nachträglichen Opt-outs. Möchte man also, dass kein (bisher rechtlich unbedenkliches) Cookie gesetzt wird, braucht es ein Opt-in. Das bedeutet, dass Google Analytics erst ein Cookie setzen darf, wenn dem Tracking via Cookie Banner zugestimmt wurde.

Hier wird es ein wenig kniffliger und die Kontaktaufnahme zur WordPress Agentur deiner komplett freien und unbeeinflussten Wahl (wähle WEBKINDER) bietet sich an. Wenn du hingegen selbst Hand anlegen willst, ist das auch kein Problem. Die Kurzfassung: Verhindere z.B. mit JavaScript, dass das Google Analytics Cookie gesetzt wird, bevor die User einer bestimmten Konfiguration deines Cookie Banners via Klick zustimmen.

Fazit: Von Keksen und Demokratie

Ob man Datenschutz befürwortet oder die Augen ob den vielen dazugehörigen Regulationen verdreht ist irrelevant. Die DSGVO betrifft alle Menschen rund um den Globus gleichermassen. Das Prinzip dahinter ist, dass EU Bürger auch auf Webseiten ausserhalb der EU zugreifen können und dabei trotzdem europäisches Recht angewandt wird. Dementsprechend betrifft die DSGVO auch alle Schweizer Webseitenbetreiberinnen und Webseitenbetreiber.

Um Google Analytics datenschutzkonform einzupflegen braucht es im Wesentlichen zwei Dinge. Einmal die Anonymisierung von Nutzer IP-Adressen und einmal eine Datenschutzerklärung. Letzere muss Angaben darüber enthalten, welche Daten zu welchem Zweck wie und von wem gesammelt werden und wo und wie lange gespeichert werden.

Werden personenbezogene Daten gesammelt, fallen diese unter die DSGVO. Auf die Sammlung dieser Daten muss hingewiesen werden und die Erlaubnis der User dafür muss via Opt-in eingeholt werden. Die gängigste Methode ist ein Cookie Banner, also ein Hinweistext über die gesammelten Daten mit einer Entscheidungsmöglichkeit für die User, die Sammlung zu befürworten oder abzulehnen.

Vorsicht vor Plugins und Inhalten von Drittanbietern: Darunter fallen sowohl von externen Webservern geladene Ressourcen wie Bilder, Videos, Schriften, Audiodateien, usw. als auch WordPress und WooCommerce Plugins und Tracking Software.

Einer der Grundgedanken der DSGVO ist es, den Menschen mehr Kontrolle über ihre Daten zu geben. Das geschieht am einfachsten, wenn den Menschen verständlich erklärt wird, welche Daten zu welchem Zweck gesammelt werden. Komplizierte Rechtstexte verfehlen dieses Ziel.

Bei WEBKINDER achten wir bei all unseren Dienstleistungen auf den Datenschutz unserer Kundinnen und Kunden. Mit Enrik haben wir einen Datenschutzexperten in unseren Reihen, welcher auch eigens Talks rund um das Thema Datenschutz anbietet. Persönlich liegt mir Datenschutz ebenfalls am Herzen. Es ist ein hochkomplexes, spannendes und brandaktuelles Thema. Es verdient die Aufmerksamkeit, die es die letzten Jahre im Zuge des Wirbels um die DSGVO erlangt hat.

Nebst dem Buch von Sandra Igo empfehle ich deswegen auch die Lektüre von Edward Snowden’s Buch Permanent Record. Ein weiteres Buch beschäftigt sich unter anderem damit, was mit diesen Daten überhaupt geschieht. Es nennt sich Digital Minimalism und wurde von Cal Newport verfasst. Und für diejenigen, denen Bücher zu lang sind, hier ein kurzes aber eindrückliches Beispiel dafür, wie Netflix bereits seit 2013 Nutzerdaten für personalisierte Film- und Serienvorschläge nutzt. Direkt von Xavier Amatriain, dem ehemaligen Research/Engineering Director von Netflix.

Gefällt dir diese abstrakte, aber dafür hoffentlich verständliche Herangehensweise, empfehle ich dir unsere Zusammenfassung vom neuen Schweizer Datenschutzgesetz. Es wird voraussichtlich Mitte 2022 in Kraft treten, weswegen jetzt der richtige Zeitpunkt ist, um dich darauf vorzubereiten. Darin erklären wir dir, was die neuen gesetzlichen Anforderungen an die Inhaberinnen und Inhaber von Schweizer Firmen und Webseiten sind und wie du dich am besten darauf vorbereiten kannst.