Google Analytics – 100% DSGVO-Konform Einbinden [2021 Edition] - GTM

Das Thema Google Analytics und Datenschutz wird nicht erst seit Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) kontrovers diskutiert. Brauche ich eine Einwilligung? In was muss der Nutzer einwilligen? Welche Einstellungen muss ich in Analytics treffen?

Dieser Beitrag ist für alle Websites, die wirklich auf Nummer Sicher gehen möchten. Wir erklären im Detail, welche rechtlichen Grundlagen gelten, welche Einstellungen in Google Analytics wichtig sind und wir Ihr Google Analytics rechtssicher nutzt.

Inhaltsverzeichnis

Autor | René van Loock

Digital Analyst und TÜV-Nord Zertifizierter Datenschutzbeauftragter. Seit mehr als 3 Jahren beschäftige ich mich täglich mit dem Google Tag Manager.

Einwilligung: Nein, Ja oder es kommt darauf an?

Kurzversion: Auch wenn einige große Unternehmen (Zalando, BonPrix) i.d.R. noch einige weiterer großer Online-Shops Google Analytics ohne vorherige Einwilligung nutzen, bedarf es nach aktueller Rechtslage für Google Analytics zwingend eine Einwilligung.

Grund hierfür ist ein EuGH Urteil (Oktober 2019) und ein Urteil des BGH (Mai 2020) zum Thema Cookies & Tracking. Außerdem haben mittlerweile fast alle Datenschutzbehörden der Länder klar gemacht, dass Ihrer Meinung nach Google Analytics einer vorherigen Einwilligung bedarf. Selbst nach dieser Einwilligung haben viele Länder aufgrund der Tatsache, dass nicht genau klar ist, was Google mit diesen Daten macht und wie diese mit anderen potenziell persönlichen Daten verknüpft werden, Bedenken geäußert.

Wir gehen daher in diesem Beispiel immer von einer Einwilligung über ein Consent-Management-Tool wie Cookiebot, Usercentrics oder anderen aus.

[Wichtig: Einige Webseitenbetreiber meinen, dass Sie durch das Implementieren dieser Consent-Management-Plattformen (CMP) von allen weiteren Dingen befreit sind. Aktuell ist es jedoch so, dass das Auto-Blocking z.B. von Cookiebot viele essenzielle Funktionen einer Webseite blockieren kann (Lazy-Loading, Videos, …). Die Blocker verursachen häufig mehr Schaden, als dass sie nützen. Besser ist, wenn alles selbst, z.B. über den Google Tag Manager gesteuert wird.]

Das einfache Installieren eines Banners bewirkt erst einmal gar nichts. Es müssen Funktionalitäten im Google Analytics Code oder im Tag-Manager eingebaut werden, die eine Steuerung auf Basis des Consents (der Einwilligung) ermöglichen.

In diesem Beispiel betrachten wir die Implementierung von Google Analytics mittels Cookiebot. In den meisten anderen CMP´s gibt es jeweils eine eigene Dokumentation für Google Analytics.

Einstellungen in Google Analytics (DoubleClick, Demografie, Remarketing)

Im Bezug auf den Datenschutz wird das Tool Google Analytics selten differenziert betrachtet. Dabei gibt Google bei einigen Funktionen selbst an, dass in manchen Ländern die Einwilligung der Nutzer dafür erforderlich ist.

Zum Beispiel bei Aktivierung der Remarketing-Funktionen & Demografischen Berichte, mittlerweile zusammengefasst unter dem Punkt „Google Signale“.

Bei Aktivierung dieser Funktion werden Daten mit Googles Ad-Netzwerk DoubleClick geteilt. Dies geschieht dann im gegenseitigen Tausch. Auf der einen Seite füllen sich dadurch die Berichte zu Demografischen Merkmalen und auch Zielgruppen lassen sich nun direkt ansteuern. Zum anderen erhält DoubleClick mehr Daten, um genau diese Informationen einzelnen Nutzern zuzuordnen.

Eine gängige Kategorisierung von Cookies sieht meist so aus:

  • Essenzielle/ Notwendige Cookies [z.b. Warenkorb-Cookies]
  • Funktionale Cookies [z.b. Google Maps, YouTube Videos]
  • Statistik Cookies [Google Analytics, Matomo, Etracker]
  • Marketing Cookies [Facebook Pixel, Criteo, Tradedoubler, DoubleClick]
 

Google Analytics lässt sich ohne die erweiterten Einstellungen, wie Google Signale, ganz klar zu den Statistik Cookies zuordnen. Die Daten werden zwar mit Google geteilt, das war´s aber auch schon ;). Wichtiger Datenschutz-Aspekt: Die Daten werden nicht (direkt) mit anderen „Dritt-Daten“ zusammengeführt.

Doch genau, dass passiert bei den Cookies die unter Marketing geclustert sind. Beim Facebook Pixel werden die Daten zum Beispiel von der Webseite mit dem Facebook-Profil abgeglichen und ggf. weiteren anderen Webseiten. Im DoubleClick Netzwerk nutzt Google die Cookies um die Nutzer Webseitenübergreifend zu verfolgen und in Gruppen, Interessen, etc. einzuteilen.

Ergo: Google Analytics sollte definitiv auf Basis der Funktionen…

in verschiedene Kategorien eingeteilt werden!

Wer die Remarketing-, Demografische Merkmale-, Google Signale-Funktionen aktivieren möchte, muss hierfür eine Zustimmung zu Marketing-Cookies einholen und diesen Zweck auch explizit in der Datenschutzerklärung angeben.

Was kaum jemand weiß: Die Einstellungen lassen sich neben den Optionen im Google Analytics Interface auch direkt in den Code einbauen. Das ermöglicht dann wiederum über Bedingungen das Tracking gezielt, wie gewünscht zu steuern.

Wichtig: Für unsere Datenschutzkonforme Einrichtung von Google Analytics können die Funktionen für Werbeberichte & für Remarketing in Google Analytics aktiviert bleiben. Die Funktionen sind unter Google Analytics -> Verwaltung (unten Links) -> Property -> Tracking Informationen -> Datenerfassung zu finden.

Einstellungen im Google Tag Manager

Für unseren 100% Datenschutzkonformen Einbau empfehle ich immer die Implementierung des Google Analytics Pixels über den Google Tag Manager.

Das benötigen wir:

  1. Einen Trigger (Auslöser), wenn der Nutzer seine Einwilligung gegeben hat.
  2. Eine benutzerdefinierte Variable, die True oder False ausgibt, je nach Zustimmung zu Marketing-Cookies oder nicht.
  3. Eine GA-Einstellungen-Variable mit benutzerdefinierten Feldern.
  4. Ein Google Analytics Tag

1. Trigger (Auslöser), wenn der Nutzer seine Einwilligung gegeben hat.

Die meisten Webseitenbetreiber nutzen für das Einwilligungs-Management, mittlerweile eine sogenannte Consent-Management-Platform (CMP). Die bekanntesten Lösungen derzeit am deutschen Markt sind Cookiebot und Usercentrics.

Das Prinzip ist jedoch, bei den meisten CMP´s gleich: Beim Laden der CMP Lösung und beim Akzeptieren/ Speichern der Cookieauswahl wird ein Event in den DataLayer gepusht.

Der Trigger sieht dann so aus:

Der Trigger löst aus, wenn das Ereignis: „cookie_consent_statistics“ erscheint und wenn die Variable Cookie Consent „statistics“ enthält. 

Irgendwo muss die Einwilligung oder auch Verweigerung vom Nutzer im Browser gespeichert werden. Dies wird aktuell meist wieder über einen Cookie gemacht. Diesen Cookie könnt Ihr als Benutzerdefinierte Variable dem Google Tag Manager hinzufügen. 

2. Eine benutzerdefinierte (Marketing = true or false) Variable

Wir möchten Google Analytics sagen, dass der Nutzer der in Marketing-Cookies eingewilligt hat, per DoubleClick getrackt werden darf. Alle Nutzer, die nicht eingewilligt haben, sollen jedoch nicht getrackt werden.

Herauskommen darf bei der Variablen entweder true (darf über DoubleClick getrackt werden) oder false (darf nicht über DoubleClick getrackt werden).

Cookiebot gibt uns die Variable CookieConsent vor. Diese sieht vom Wert her bei Zustimmung zu allen Varianten zum Beispiel so aus: |preferences|statistics|marketing|

Wir möchten also sagen: „Wenn die Variable CookieConsent „marketing“ enthält, dann gib mir doch bitte „true“ aus, ansonsten „false“, aus.

Im Google Tag Manager können wir das am einfachsten lösen über eine RegEx-Tabelle-Variable. Diese sieht dann so aus:

(Wichtig: Die Haken unten sind standardmäßig ausgewählt, diese müssen abgewählt werden)

3. Google Analytics Einstellungen [Variable] mit benutzerdefinierten Feldern

Damit wir in allen Google Analytics Tags, z. B. auch Event-Tags, die gleichen Google Analytics Einstellungen haben, empfehlt sich das Erstellen von der sogenannten Google Analytics Einstellungen [Variable], die in allen GA-Tags verwendet werden kann.

Google Analytics Einstellungen

Neben der Tracking-ID müssen folgende Felder festgelegt werden:

  • Feldname: anonymizeIP 
  • Wert: true
  • Feldname: allowAdFeatures
  • Wert: {{RegEx – AllowAdFeatures}}
 

Jetzt nur noch den Wert der Variablen überprüfen:

Hier sollte je nach Einwilligung nun „true“ oder „false“ stehen.

4. Google Analytics Tag

Jetzt müsst Ihr nur noch das Standard Google Analytics Tag einrichten:

Achtet darauf, dass eure Google Analytics Einstellungs Variable nicht überschrieben wird und Ihr den richtigen Trigger verwendet.

DoubleClick – AdFeatures – Überprüfen

Hier gibt es mehrere Wege. Am einfachsten ist die Überprüfung per externem Plugin (Chrome-Erweiterung). Zum Beispiel „Ghostery“. Dieses zeigt alle Tracker, die auf der Seite eingebunden sind.

Bei Zustimmung sollte hier DoubleClick erscheinen, bei Ablehnung nicht.

Fazit

Fertig! Jetzt könnt Ihr alle Google Analytics Features Datenschutzkonform und ohne Kopfschmerzen nutzen.

Du hast Schwierigkeiten im Umgang mit dem Google Tag Manager? Aus fieser Seite findest du einige Beiträge, die dir dabei weiterhelfen können.

Du möchtest klare Antworten zu Datenschutz Fragen im Online Marketing?

Online Marketing & Tracking geht nicht mehr ohne Datenschutz. Aus diesem Grund habe ich mein Wissen als Datenschutzbeauftragter (TÜV®) und Digital Analyst mit mehr als 4 Jahren Erfahrung in einen Online Kurs gepackt.

Neuer Kurs: Datenschutz im Online Marketing Praxisorientiert

Grundlagen DSGVO, Cookies, Cookie Banner, CMP-Lösungen, EuGH & BGH Urteil Auswirkungen, Tracking. Aus der Praxis im Detail erklärt. 

Jetzt lebenslangen Zugriff sichern für nur 14,99 € (63% Neuer Kurs Rabatt, nur für Blogleser) mit dem Gutscheincode: BLOGLESER

Erhalte exklusive Analytics Tipps, die ich nur mit E-Mail Abonnenten teile.

Mit Klick auf „Jetzt exklusive Inhalte sichern“ erklären Sie sich mit dem Empfang des Newsletters mit Informationen zu Online Marketing, Datenschutz, Analytics und Angeboten sowie mit dessen Analyse durch individuelle Messung, Speicherung und Auswertung von Öffnungsraten und der Klickraten in Empfängerprofilen zu Zwecken der Gestaltung künftiger Newsletter entsprechend den Interessen unserer Leser einverstanden. Die Einwilligung kann mit Wirkung für die Zukunft widerrufen werden. Der Versand erfolgt mit dem US-Dienstleister MailChimp (auf Grundlage von Standardvertragsklauseln). Ausführliche Informationen erhalten Sie in unseren Datenschutzhinweisen“).