Ein befreundeter Blogger schrieb mich kürzlich an und sagte, dass er eine saftige Abmahnung erhalten hat. Der Vorwurf: die nach deutschem Recht nicht konforme Einbindung von Facebook-Widgets, die nicht datenschutzkonforme Nutzung von Google Analytics sowie fehlende, bzw eine nicht ausreichende Datenschutzerklärung. Aber eins nach dem anderen.
Wir alle wissen, dass eines von Facebooks Geschäftsmodellen die Erfassung von Nutzerdaten ist. Bindet ein Webseitenbetreiber ein Fanpage-Widget, oder den Like-Button ein, kommunizieren diese Widgets ohne Wissen eines Nutzers mit Facebook und der Seitenaufruf, sowie personenbezogene Daten werden getrackt. Und das auch, wenn der Nutzer nicht bei Facebook eingeloggt, oder gar keinen Facebook-Account besitzt. Schon der gesunde Menschenverstand sagt einem, dass das nicht wirklich okay ist und auch das deutsche Datenschutzrecht untersagt dieses „nach Hause telefonieren“.
Auch beim Einsatz von Google Analyitcs werden personenbezogene Daten der User erhoben und gespeichert. Im Gegensatz zu Facebook hat man als Seitenbetreiber allerdings die Möglichkeit, den Analytics-Code so in die Seite einzubinden, dass die Erfassung der Daten eben nicht auf einzelne Personen zurückzuführen sind.
In einem aktuellen Bericht schreibt t3n, dass laut der Hamburger Datenschutzbehörde manche Nutzer von Google Analytics ihre Konten und die gesammelten Daten löschen müssen. Grund dafür ist die Safe-Harbor-Entscheidung des EuGH aus dem Jahr 2015.
In diesem Artikel möchte ich euch zeigen, wie ihr es vermeiden könnt, ein Ziel der Abmahnindustrie zu werden und wie ihr euer Tracking so einbaut, dass es nach deutschem Recht sauber ist. Dazu möchte ich aber auch gleich vorab betonen, dass es keinen 100-prozentigen Schutz gibt und weise euch darauf hin, dass das, was ich hier schreibe nicht belastbar ist. Um wirklich auf Nummer sicher zu gehen, solltet ihr alles mit einem Anwalt absprechen und von ihm überprüfen lassen. Ich übernehme keine Verantwortung, solltet ihr trotz dieses Tutorials abgemanht werden.
Facebook Like- und Fanpage-Widgets
Dieser Punkt ist relativ schnell abgehandelt. Meines Wissens nach gibt es keinen rechtssicheren Weg, ein Fanpage-Widget, oder einen Like-Button in der Seite einzubinden. Das heißt, dass ich dringend empfehle alle Facebook-Widgets aus der Seite rauszuschmeißen. Als Ersatz für das Fanpage-Widget könnte man zum Beispiel eine Grafik erstellen, die ihr mit eurer Fanpage verlinkt. Oder ihr erstellt einfach einen Textlink. Der Nachteil: es werden keine aktuellen Fanzahlen angezeigt. Meiner Meinung nach ist das aber verkraftbar.
Der Vorteil des Like-Buttons, den Facebook Seitenbetreibern anbietet ist, dass er zum einen die aktuelle und kumulierte Anzahl der Like, Shares und Kommentare eines Artikels anzeigt. Zum anderen erlaubt der Like-Button das liken eines Artikels direkt auf eurer Webseite. Das ist nach dem Ausbau des Buttons nicht mehr möglich, doch es gibt unzählige Lösungen und Plugins, die die Anzahl der Reaktionen auf einen Artikel anzeigen. Ich möchte hier zwei Plugins vorstellen:
2 Click Social Media Buttons
Das Plugin 2 Click Social Media Buttons gibt es nun schon einigen Jahren und wird von vielen, auch großen Seiten eingesetzt. Statt direkt den Like- oder zum Beispiel Twitter-Button zu laden, zeigt dieses Plugin erstmal eine Grafik an. Möchte man als User nun den nativen Button nutzten, muss er aktiv einen Schalter klicken um den Button nachzuladen. Sprich die Entscheidung, seine Daten an den Konzern zu übermitteln, trifft nicht der Seitenbetreiber, sondern der Nutzer selbst. Ob diese Lösung zu 100% den Datenschutzrichtlinen entspricht wagt meiner Recherche nach aktuell kein Profi zu bestätigen, entsprechende Abmahnungen und Urteile sind mir aber auch nicht bekannt.
Shariff Wrapper
Das Plugin Shariff Wrapper haben wir hier bei den Blogrebellen im Einsatz. Das Liken eines Beitrags ist damit nicht möglich, doch bietet es an, die Share-Buttons verschiedenster Netzwerke zu verlinken. Im Backend sucht man sich die gewünschten Netzwerke aus und anschließend werden unter den Artikeln Share-Links angezeigt. Zudem fragt das Plugin auf Wunsch im Hintergrund über die API-Schnittstellen der Dienste die Anzahl der Shares/Reaction ab und stellt diese in den Buttons dar. Bei der Abfrage der Sharing-Counts werden keine personenbezogene Daten der Nutzer übermittelt. Meiner Ansicht – und der einiger Experten nach ist dieses Plugin eine sichere Lösung.
Google Analytics rechtssicher nutzen
Kommen wir zum aufwändigeren Punkt: der datenschutzkonforme Einsatz von Google Analytics. Wie schon zuvor geschrieben bietet Google deutschen Seitenbetreibern die Möglichkeit, deren Analyse-Service rechtssicher zu nutzen. Dafür fällt auf der Seite des Webmasters aber ein bisschen Arbeit an. Das Wissen darüber habe ich mir auf verschiedenen Seiten angelesen und ich möchte euch hier zeigen, wie ich es umgesetzt habe. Insgesamt fünf Punkte sind bei der rechtssicheren Nutzung zu beachten:
- IP-Anonymisierung
- Datenschutzerklärung
- Opt-Out per Browser-Plugin (Desktop)
- Opt-Out per Cookie (mobile)
- Vertrag mit Google
1. Google Analytics IP-Anonymisierung
Mit der Funktion „anonymize IP“ bietet Google die rechtskonforme Nutzung von Analytics an. Dabei werden die IP-Adressen der Webseitennutzer nicht mehr vollständig gespeichert.
Die Funktion zur IP-Anonymisierung in Analytics setzt bei Nutzer-IP-Adressen vom Typ IPv4 das letzte Oktett und bei IPv6-Adressen die letzten 80 Bits im Speicher auf null, kurz nachdem sie zur Erfassung an das Analytics-Datenerfassungsnetzwerk gesendet wurden. In diesem Fall wird die vollständige IP-Adresse daher nie auf die Festplatte geschrieben.
Quelle: Google
Und so funktioniert es: durch das Hinzufügen dieses Code-Schnipsels im Analytics-Code wird die IP-Adresse der Nutzer nicht mehr komplett gespeichert.
ga('set', 'anonymizeIp', true);
In unserem Code sieht das so aus:
2. Datenschutzerklärung
Jede Webseite sollte neben einem Impressum auch eine Datenschutzerklärung haben und diese Seite(n) müssen für Nutzer leicht zu finden sein. Wer Google Analytics einsetzt muss seine Datenschutzerklärung um den Punkt „Google Analytics“ erweitern. Hierfür könnt ihr die Mustervorlage von RA Schwenke nutzen, oder ihr nutzt den Datenschutz-Generator von e-recht24.de.
3. Opt-Out per Browser-Plugin
Mit einem „Opt-Out“ bietet ihr euren Nutzern eine Widerspruchsmöglichkeiten für das Tracking mit Google Analytics an. Dafür gibt es zwei Möglichkeiten: per Browser-Plugin oder per Cookie. In der Datenschutzerklärung unter Punkt 2 ist bereits das Browser Plugin verlinkt, mit dem dem Nutzer verhindern kann, auf eurer Seite getrackt zu werden. Allerdings funktionieren solche Plugins nur mit Desktop-Browsern.
4. Opt-Out per Cookie
Um euren Usern auch auf dem Smartphone oder dem Tablet auf mobilen- oder responsiven Webseiten die Chance zu geben nicht erfasst zu werden, müsst ihr das über einen Cookie lösen. Das einzubauen nun ein bisschen aufwändiger:
1. Zuerst müsst ihr den Usern die Möglichkeit einrichten, einen No-Track-Cookie zu setzten. Dies haben wir ebenfalls in unsere Datenschutzerklärung eingebaut.
Mit folgendem Code erlaubt Ihr euren Lesern mit nur einem Klick einen entsprechenden Cookie zu setzten. Außerdem erhält der User mit dem Klick einen Hinweis, dass der Cookie gesetzt wurde:
<a onclick="alert('Google Analytics wurde deaktiviert');"
href="javascript:gaOptout()">opt-out-Cookie für Google Analytics setzten</a>
2. Doch das ist nur die halbe Miete, denn ihr müsst nun eurem Analytics-Tracking-Code sagen, dass er bei gesetztem Cookie keine Daten mehr an Google übermitteln soll. Hierfür benötigt ihr ein weiteres Script, dessen Code ihr zum Beispiel hier findet. Dieser sieht so aus:
Bei diesem Script sind zwei Dinge zu beachten. Zum einen müsst ihr „UA-XXXX-Y“ mit eurer Property ersetzen. Diese Angabe findet ihr in euerem bereits eingefügten Analytics Code. Zum anderen – und das ist extrem wichtig, da es sonst nicht funktioniert – müsst ihr dieses Opt Out Script VOR eurem Google-Analytics-Tracking-Code im Quelltext einfügen!
Wie testen?
Habt ihr das alles gemacht fragt ihr euch bestimmt, wie man nun testet, ob das ganze auch funktioniert. Auch hierfür sollte man sich ein bisschen mit seinem Browser und den enthaltenen Entwicklertools auskennen. Ihr benötigt hierfür den Google Chrome Browser und die Extension Google Analytic Debugger.
- Als erstes klickt ihr auf euren soeben erstellten Link „opt-out-Cookie für Google Analytics setzten“ in euren Datenschutzerklärungen.
- Nun geht ihr in die Chrome Einstellungen, klickt auf „erweiterte Einstellungen anzeigen“ und dann unter „Datenschutz“ auf „Inhaltseinstellungen“ und dort auf „Alle Cookies und Websitedaten“.
- Dort gebt ihr ins Suchfeld euren Domain-Namen ein, in unserem Beispiel also „blogrebellen“.
- Doppeltklickt nun dort auf eure Domain und ihr bekommt alle von dieser Domain gesetzten Cookies angezeigt.
Das ganze sieht (in unserem Beispiel) nun so aus und der Cookie ga-disable-UA-XXXXXX-X sollte mit dabei sein:
(An dieser Stelle könnt ihr den Cookie übrigens auch später, nach dem Test, wieder löschen. Dafür einfach unten links auf „Entfernen“ klicken, oder alternativ alle Webseitendaten löschen.)
Der Cookie ist gesetzt, nun schauen wir nach, ob das Tracking auch deaktiviert ist. Hierfür geht ihr auf eure Seite und öffnet die Entwicklertools. Dafür müsst ihr im Chrome oben rechts auf die drei untereinander liegenden Punkte klicken, dort auf „Weitere Tools“ -> „Entwicklertools“. Der Shortcut auf Mac ist cmd + alt + i. Vorausgesetzt, die oben genannte Extension ist installiert, sieht man nun in der Console der Entwicklertools folgende Einträge:
Steht hier unter „Running command: ga(„send“, „pageview“)“ nun „User has opted out of tracking. Aborting hit.“ habt ihr alles richtig gemacht und das Tracking ist per Opt-Out-Cookie deaktiviert!
Machen wir einen letzten Test und löschen den Cookie (wie oben beschrieben) und laden die Seite erneut, sollte nun in der Console etwas in dieser Art stehen:
4. Vertrag mit Google
Letzte Hürde: es muss ein Vertrag über die Verarbeitung von Nutzerdaten zwischen Google und euch als Seitenbetreiber abgeschlossen werden. Einen von Google und Datenschützern erstellten Mustervertrag kann man hier kostenlos herunterladen und nutzten. Der unterschriebene Vertrag geht dann in zweifacher Ausführung per Post an Google nach Irland und ein Exemplar kommt nach Gegenzeichnung zurück.
Viel Arbeit die sich allerdings lohnt
Wie ihr seht, bringt das Bloggen, oder auch nur das Betreiben einer Info-Webseite viel Arbeit mit sich. Spätestens wenn man Services Dritter nutzt und auf der eigenen Webseite einbindet muss man genau prüfen, ob der Einsatz auch dem deutschen Datenschutz entspricht. Es gibt viele Fallen, in die man laufen kann und es gibt Vereine und Anwälte, die dieses Unwissen nutzen, um damit Geld zu verdienen. Wie die Vergangenheit zeigt gibt es eine regelrechte Abmahnindustrie, deren Geschäftsmodell es ist, unwissende Betreiber abzumahnen und damit Geld zu verdienen. Wer sich mit diesem Thema nicht beschäftigt und blauäugig einfach macht, könnte schnell ein Opfer dieser Industrie werden.
Selbst wenn man von diesen rechtlichen Vorschriften weiß, haben viele nicht das benötigte, technische Fachwissen und die Fähigkeiten diese Vorgaben auch umzusetzen. Diesen Seitenbetreibern empfehle ich dringend einen kompetenten, technischen Dienstleister zu engagieren. Allen, die technische Unterstützung benötigen können wir gerne anbieten, diese Aufgaben zu übernehmen. Bei Bedarf kontaktiert uns einfach und wir erstellen euch ein Angebot für die Umsetzung. Unsere Kontaktdaten findet ihr in unserem Impressum.
Sehr guter und wichtiger Beitrag. Ich hab letztens einen ähnlichen Beitrag verfasst.
Allerdings wenn man das Facebook-Urteil richtig deutet, darf man weder die Embedded Funktion noch das Tracking-Pixel einsetzen. Was schon nochmal eine krasse Beschneidung wäre. Wie schätzt ihr das ein?
Dieses Fass habe ich absichtlich nicht aufgemacht, werde das Thema „Embeds“ aber bestimmt noch nachreichen.
Meiner Meinung nach ist der Einsatz des Facebook-Tracking-Pixels nach deutschen Recht nicht erlaubt, aber mit Sicherheit kann ich das nicht sagen. Solange hier nicht anonym getrackt und die letzten Stellen der IP-Adressen unkenntlich gemacht werden, wird es nicht datenschutzkonform sein. Außerdem müsste man dann auch bestimmt einen Vertrag über die Verarbeitung von Nutzerdaten mit Facebook aufgesetzt werden.
Das Thema Embeds ist noch imho heikler, denn Facebook-Embeds nutzten sehr viele Blogger. Werde das zeitnah recherchieren und meine Ergebnisse verkünden.
den Vertrag mit Google schließt doch bereits bei Anmeldung und Nutzung des Services ab. Wozu noch mal ausdrucken und zuschicken?
Steht ja sogar dabei:
DURCH KLICKEN AUF DIE SCHALTFLÄCHE „ICH STIMME ZU“, DURCH REGISTRIERUNG ODER DURCH NUTZUNG DES DIENSTES, ERKLÄREN SIE, DASS SIE DIESE VEREINBARUNG ZUR KENNTNIS GENOMMEN HABEN UND IM EIGENEN NAMEN ABSCHLIESSEN BZW. DASS SIE BERECHTIGT SIND, IM NAMEN DES INHABERS DES ACCOUNTS ZU HANDELN UND DIESE VEREINBARUNG FÜR IHN ABZUSCHLIESSEN. DIE PARTEIEN VEREINBAREN DAS FOLGENDE:
Das ist aber nicht der Vertrag über die Verarbeitung von Nutzerdaten, sondern nur eine Vereinbarung zur Nutzung des Dienstes.
es geht also primär um die Anhänge? Weißt du ob ein Vertrag pro „Analytics Account“ ausreicht? Oder muss man für jede Domain diesen Vertrag abschließen?
Hi Kay, ich sehe gerade, dass ich im Artikel die falsche Vertragsvorlage verlinkt hatte. Ist nun ausgebessert, das ist die richtige Vorlage:
http://static.googleusercontent.com/media/www.google.de/de/de/analytics/terms/de.pdf
Zu deiner Frage: Ich befürchte, dass man für jeden Account einen eigenen Vertrag abschließen muss. Ich vermute es deshalb, weil man im Vertrag seine Google Analytics Kontonummer hinterlegen muss und ein kurzer Check meiner Konto-Nummern zeigte mir, dass diese von Domain zu Domain unterschiedlich sind.
ich kann mir das alles nicht vorstellen. Sogar mobile und desktop haben unterschiedliche Konto-IDs obwohl selbe top level domain.
Ich denke, dass ein Vertrag pro Company ausreichen sollte.
Ich mach das mal… mit Begleitbrief. Wenn die noch was brauchen, sollen se sich melden.
Nervige Angelegenheit.
Salut Peter,
vielen Dank für die umfassende Anleitung.
Die gute Nachricht: Ich hab es selbst hinbekommen.
Die schlechte Nachricht: Du hast es so gut beschrieben, dass du wohl keine Aufträge bekommen wirst 🙂
Ein Hinweis noch: In deinem Text ist ein Fehler an der Stelle „Und so funktioniert es: durch das Hinzufügen des Code-Schnipsels ga(’set‘, ‚anonymizeIp‘, true); im Analytics-Code wird die …“ => anonymizeIp mit vor und hinten mit Apostroph stehen.
#EeneLiebe und vielen Dank. Jetzt muss ich nur noch diesen ewig langen Vertrag ausdrucken und nach Irland schicken … und dann schauen wir mal, was sich die Abmahnanwälte als nächstes Ausdenken.
Nils
Das freut mich zu hören.
Danke für die Info mit dem Code-Schnipsel. WordPress hat aus dem vorderen Hochkomma einfach ein Komma gemacht :/
Hallo
und danke für den ausführlichen Artikel. Ich verwende das Plugin Google Analytics By Monsterinsights und dort kann ich die IP Anonymisierung einfach per Klick aktivieren. Das müsste ja dann denselben Effekt haben, wie das Hinzufügen des Vodeschnipsels, oder seh ich das falsch?
LG
Steffi
Hi Steffi,
laut Beschreibung des Plugins scheint das so zu sein, ja. Guck einfach in deinen Quellcode und suche nach ‚anonymizeIP‘. Wenn das wie oben im Screenshot dabei ist sollte das funktioniert haben.
Super, Danke für die schnelle Antwort?
Huhu! Sehr guter und wichtiger Artikel! Ich habe meinen Blog bei blogger.de und weiß nicht recht, wo und wie ich den html-code bearbeiten bzw. Hinzufügen kann und/oder muss. Kann mir da jemand unter die Arme greifen?
Das kann ich dir leider nicht sagen, da solltest du mal mit dem Anbieter (blogger.de) in Kontakt treten.
[…] prison Setzt das Note 7 seine eigene Recycling-Fabrik in Brand? Selbstschnürende Lego-Sneaker Abmahnung vermeiden: Wie du Google Analytics und den Facebook Like-Button datenschutzkonform einsetzt Wie man einen […]
Bzgl. der eingebundenen Share-Buttons gibt es noch einen Weg, bei dem nicht direkt die Plugins von Facebook, Twitter usw. verwendet werden müssten und TROTZDEM die Share- und Follower-Zahlen angezeigt werden. Ich habs z.B. so gemacht:
1. Eigenen Blog über die API (Programmierschnittstelle) mit dem jeweiligen Service verbinden und die gewünschten Zahlen (Shares einer URL und Follower) auslesen
2. Eigene Buttons klarmachen
3. Die Buttons mit den normalen Share-Links versehen und die Zahlen einfach daneben ausgeben
4. Alles schön „stylen“, dass es auch professionell aussieht
Ist schon viel Hickhack, weil man alles selber programmieren muss, aber es geht.
Möglicherweise eine ganz brauchbare Ergänzung: http://rechtsanwalt-schwenke.de/wordpress-com-stats-pluginjetpackblogs-datenschutzkonform-nutzen-mit-muster-der-datenschutzerklaerung/ 🙂
Kommentarfunktion ist geschlossen.