Besuchertracking ist ein Datenschutz-Risiko. Das liegt daran, dass Tracking-Software zwangsläufig Daten Ihrer Besucher erfasst. Wenn Sie eine Abmahnung vermeiden möchten, sollten Sie deshalb Tracking-Tools so in Ihre Unternehmenswebsite einbinden, dass sie den datenschutzrechtlichen Vorschriften entsprechen.

Da ich Texter bin und kein Anwalt, kann und will ich hier keine Rechtsberatung geben. Ich zeige Ihnen aber, wie das Tracking in der Praxis so in Ihre Website eingebaut wird, dass Sie nicht direkt in die einfachsten Fallen tappen.

Der folgende Text ist leider teilweise sehr technisch, es geht nicht anders. Ihr Webdesigner sollte aber damit zurecht kommen, wenn es Ihnen zu aufwändig ist. Und bitte: Vertrauen Sie nicht darauf, dass Ihre Webagentur oder Ihr Webdesigner die folgenden Details bereits berücksichtigt haben. Das ist eher selten der Fall, wie ich in meinem Website-Check immer wieder sehe.

Serienmäßig unsicher: Der Google Analytics Tracking-Code.

Ich lasse hier mal weg, wie Sie grundsätzlich ein Google Analytics Konto einrichten, dazu gibt es genug Infos im Netz.

Wenn Ihr Konto dann eingerichtet ist, können Sie dort den Tracking-Code abrufen, den Sie in Ihre Website einbauen müssen. Gehen Sie aber bitte nicht davon aus, dass Google hierbei die Vorschriften des deutschen Datenschutzes berücksichtigt.

Wenn Sie den Code so einbauen, wie Sie ihn von Google Analytics erhalten, können Sie direkt abgemahnt werden. Teurer Spaß.

Um die wichtigsten Probleme auszuräumen, müssen Sie sich also zusätzlich selbst um 7 Details kümmern. Unbedingt.

Schritt 1: Ihr altes Google Analytics Konto löschen.

Wenn Sie bisher Google Analytics nutzten und nicht die hier beschriebenen Schritte umgesetzt hatten, müssen Sie dafür sorgen, dass die erhobenen Daten verschwinden. Die Datenschützer wollen es so. Um die alten Daten loszuwerden, müssen Sie Ihr altes Konto löschen und ein neues anlegen. Anders geht es nicht. Und klar, ich weiß auch, dass Tracking-Daten einer Website eigentlich nichts sind, was man gern löscht. Aber so sind die Regeln.

Schritt 2: Vertrag zur Auftragsdatenverarbeitung abschließen.

Sie müssen mit Google einen (kostenlosen) Vertrag zur Auftragsdatenverarbeitung abschließen. Warum das so ist, soll uns hier nicht interessieren, das ist ein Thema für Juristen und Datenschützer.

Den Vertrag können Sie hier als PDF herunterladen: http://www.google.com/analytics/terms/de.pdf

Sie unterschreiben und schicken das Ganze im frankierten Umschlag per Post an Google. Von dort bekommen Sie ein unterzeichnetes Exemplar zurück.

Schritt 3: Google Analytics Code anpassen.

Trackingtools speichern IP-Adressen, sonst könnten sie vieles Nützliche nicht leisten. Diese IP-Adressen lassen sich unter Umständen zur Identifizierung von Personen nutzen. Das ist ein Datenschutzproblem, das man umgeht, indem die IP-Adresse anonymisiert wird.

Google Analytics beherrscht diese Anonymisierung, aber nicht serienmäßig. Sie müssen erst noch Ihren Google Analytis Code tunen.

So sieht der Code aus, den Sie bekommen, wenn Sie die aktuelle Variante „Universal Analytics“ einsetzen:

<script>
  (function(i,s,o,g,r,a,m){i['GoogleAnalyticsObject']=r;i[r]=i[r]||function(){
  (i[r].q=i[r].q||[]).push(arguments)},i[r].l=1*new Date();a=s.createElement(o),
  m=s.getElementsByTagName(o)[0];a.async=1;a.src=g;m.parentNode.insertBefore(a,m)
  })(window,document,'script','//www.google-analytics.com/analytics.js','ga');
  ga('create', 'XX-00000000-0', 'ihre-domain.de');
  ga('send', 'pageview');
</script>

Zum Anonymisieren müssen Sie diesen Codeschnipsel an der richtigen Stelle einfügen:

ga('set', 'anonymizeIp', true);

Und zwar so, dass es danach so aussieht:

<script>
  (function(i,s,o,g,r,a,m){i['GoogleAnalyticsObject']=r;i[r]=i[r]||function(){
  (i[r].q=i[r].q||[]).push(arguments)},i[r].l=1*new Date();a=s.createElement(o),
  m=s.getElementsByTagName(o)[0];a.async=1;a.src=g;m.parentNode.insertBefore(a,m)
  })(window,document,'script','//www.google-analytics.com/analytics.js','ga');
  ga('create', 'XX-00000000-0', 'ihre-domain.de');
  ga('set', 'anonymizeIp', true);
  ga('send', 'pageview');
</script>

Schritt 4: Code für Opt-Out-Cookie einbauen.

Jetzt wird es noch komplizierter. Sie müssen den Besuchern ermöglichen, der Erfassung von Daten durch Analysesoftware zu widersprechen.

Dazu gibt es weiteren Code. Dieser ermöglicht, ein Cookie zu setzen, das im Bedarfsfall das Erfassen von Daten unterbindet.

Diesen Code bekommen Sie nicht automatisch! Sie müssen sich selbst darum kümmern. Der Code ist auch schwer zu finden, über das Analytics Konto kommen Sie nicht hin.

Aber ich helfe Ihnen, das ist der Link:
https://developers.google.com/analytics/devguides/collection/gajs/?hl=de#disable

Dort bekommen Sie solch einen Code-Schnipsel für das Setzen des Opt-Out-Cookies, den Wert von „gaProperty“ müssen Sie selbst anpassen::

<script>
var gaProperty = 'XX-00000000-0'; var disableStr = 'ga-disable-' + gaProperty; if (document.cookie.indexOf(disableStr + '=true') > -1) {
  window[disableStr] = true;
}
function gaOptout() {
  document.cookie = disableStr + '=true; expires=Thu, 31 Dec 2099 23:59:59 UTC; path=/';
  window[disableStr] = true;
}
</script>

Dieser Code muss unbedingt vor den anderen Analytics-Code, da er zuerst abgearbeitet werden soll.

Insgesamt sollte das bei Ihrer Website dann schließlich so aussehen:

<script>
var gaProperty = 'XX-00000000-0'; var disableStr = 'ga-disable-' + gaProperty; if (document.cookie.indexOf(disableStr + '=true') > -1) {
  window[disableStr] = true;
}
function gaOptout() {
  document.cookie = disableStr + '=true; expires=Thu, 31 Dec 2099 23:59:59 UTC; path=/';
  window[disableStr] = true;
}
  (function(i,s,o,g,r,a,m){i['GoogleAnalyticsObject']=r;i[r]=i[r]||function(){
  (i[r].q=i[r].q||[]).push(arguments)},i[r].l=1*new Date();a=s.createElement(o),
  m=s.getElementsByTagName(o)[0];a.async=1;a.src=g;m.parentNode.insertBefore(a,m)
  })(window,document,'script','//www.google-analytics.com/analytics.js','ga');
  ga('create', 'XX-00000000-0', 'ihre-domain.de');
  ga('set', 'anonymizeIp', true);
  ga('send', 'pageview');
</script>

Diesen Code bauen Sie nun in den Header-Bereich Ihrer Website ein und zwar direkt vor dem schließenden </head>-Tag. Bitte nicht am Ende der Website einfügen. Das machte man früher, damit Seiten schneller luden. Der aktuelle Google Analytics Code verzögert das Laden aber nicht mehr und ist deshalb vorne in der Seite besser aufgehoben.

Wer den Code nicht selbst einbauen mag und WordPress nutzt, kann übrigens auf diverse Plugins zurückgreifen, die das erledigen. Aber auch hier darauf achten, dass der richtige, anonymisierte Code verwendet wird.

Und daran denken, dass jedes zusätzliche Plugin die Ladezeit Ihrer WordPress-Website verschlechtert. Ich bevorzuge deshalb, die hier beschriebenen Änderungen von Hand direkt im jeweiligen Theme zu machen.

Schritt 5: Opt-Out-Link einbauen.

Der zusätzlich eingefügte Opt-Out-Code muss bei Bedarf durch Javascript-Code aktiviert werden, den Sie in den Text Ihrer Datenschutzerklärung integrieren müssen. Das ist der Code dazu:

<a href="javascript:gaOptout()">Hier klicken, um Google Analytics zu deaktivieren</a>

Damit wird ein Link erzeugt. Wenn ihre Besucher darauf klicken, deaktivieren sie individuell das Tracking.

Aber damit sind Sie immer noch nicht fertig …

Schritt 6: Link zum Deaktivierungs-Add-on einbauen.

Von Google gibt es ein sogenanntes Deaktivierungs-Addon. Das ist eine Erweiterung für verschiedene Browser, die die Erfassung durch Google Analytics unterbindet.

Um den Anforderungen des Datenschutzes zu entsprechen, sollten Sie auch dieses Tool im Rahmen Ihrer Datenschutzerklärung über einen Link im Text anbieten. Das ist die Webseite, die dazu verlinkt werden muss: https://tools.google.com/dlpage/gaoptout?hl=de

Schritt 7: In der Datenschutzerklärung auf die Nutzung von Google Analytics hinweisen.

Sie müssen im Rahmen Ihrer Datenschutzerklärung klar machen, dass auf Ihrer Website Google Analytics genutzt wird.

Spätestens bei der Datenschutzerklärung (beim Impressum sowieso) sollten Sie darüber nachdenken, den Text durch einen Anwalt formulieren zu lassen, damit er auch wirklich zu den Besonderheiten Ihres Unternehmens passt.

Alternativ können Sie einen der diversen Generatoren für Impressum und Datenschutzerklärung nutzen, leben dann aber mit dem Risiko, vielleicht ein Detail nicht berücksichtigt zu haben.

Geschafft: Viel Erfolg beim Website analysieren.

Wenn Sie die obigen Schritte umgesetzt haben, sind Sie unter technischen Aspekten erst mal fit in punkto Google Analytics und Datenschutz. Um auf dem aktuellen Stand zu sein, ziehen Sie bitte die Daten nicht aus diesem Blogtext, sondern nutzen Sie die angegebenen Links. Und um von eventuellen Änderungen zu erfahren, empfiehlt es sich, immer mal wieder ins Blog von spezialisierten Rechtsanwälten zu schauen oder sich auf deren Newsletter zu setzen. Einfach googlen, da gibt es ein paar gute …