Embed Size (px)
Google Analytics:Ausschluss interner Mitarbeiter versus Datenschutz
Harald Grocholl, 22.02.2017
Diese Präsentation stellt keine Rechtsberatung dar. Bzgl. rechtlicher Aspekte werden derzeitige Auffassungen dargestellt. Zur rechtlichen Beratung konsultieren Sie bitte einen Rechtsanwalt.
Über mich
Online Marketing Manager aus Dortmund
Hauptthemen: Analytics, SEO, SEA, Social Media und Websites
Seit 2004 in Agenturen der Region im Bereich Online
Twitter: https://twitter.com/Rosinenbrotfan Xing, LinkedIn, Facebook etc.: Harald Grocholl
Worum geht’s?
Google Analytics datenschutzkonform einrichten
Eigene Mitarbeiter aus Zählung ausschließen Feststellen, dass das nicht funktioniert Lösungsansätze
Grundeinrichtung Google Analytics
Google Analytics bietet eigenen Tracking Code an
Grundeinrichtung Google Analytics
… nur ist dieser Code nicht Datenschutz-konform
Datenschutzkonform – was brauchts?
Vertrag zur Auftragsdatenverarbeitung mit Google Erweitertes Snippet:
Opt-out-Cookie-Implementierung UND AnonymizeIP
Cookie-Hinweisleiste Erläuterungen in der Datenschutzerklärung Falls Altdaten vorhanden: löschen!
Zum Nachlesen: https://www.datenschutzbeauftragter-info.de/fachbeitraege/google-
analytics-datenschutzkonform-einsetzen/ https://www.datenschutz-
hamburg.de/uploads/media/GoogleAnalytics_Hinweise_fuer_Webseitenbetreiber_in_Hamburg_2017.pdf
Achtung: Seit September 2016 gibt es einen neuen, „Privacy Shield“-konformen Vertrag zur Auftragsdatenverarbeitung von Google, der den alten „Safe Harbor“-Vertrag ablöst.
<script>var gaOptOut = 'ga-disable-UA-XXXXXXXX-XX';
if (document.cookie.indexOf(gaOptOut+'=true') > -1) window[gaOptOut] = true;
(function(i,s,o,g,r,a,m){i['GoogleAnalyticsObject']=r;i[r]=i[r]||function(){
(i[r].q=i[r].q||[]).push(arguments)},i[r].l=1*new Date();a=s.createElement(o),
m=s.getElementsByTagName(o)[0];a.async=1;a.src=g;m.parentNode.insertBefore(a,m)
})(window,document,'script','//www.google-analytics.com/analytics.js','ga');
ga('create', 'UA-XXXXXXXX-XX', 'auto');ga('set', 'anonymizeIp', true);ga('send', 'pageview');
</script>
Datenschutzkonform – was brauchts?
Daten-Anonymisierung
Zusatz zu Opt-out-Cookie
Zum Nachlesen: https://developers.google.com/analytics/devguides/collection/analyticsjs/user-opt-out
Ausschluss eigener Mitarbeiter
Mehrere Datenansichten zur Property anlegen: 1. Rohdaten, 2. Master, 3. interne Mitarbeiter, 4. Tests
Anmerkung zu „interne Mitarbeiter“: Während einige diese Datenansicht als Gegencheck empfehlen, kann sie auch Datenschutzfragen aufwerfen – ob eine Mitarbeiterbeobachtung zulässig ist.
Ausschluss eigener Mitarbeiter
Eine IP kann mit einem vordefinierten IP-Filterausgeschlossen werden
Mehrere Einzel-IPs? Reguläre Ausdrücke bei „Benutzerdefiniert“ nutzen!
In der Datenansicht „Interne Mitarbeiter“gegensätzlichen Filter mit „Nur einschließen“ anlegen
Zum Nachlesen:https://support.google.com/analytics/answer/1034840?hl=de
Ausschluss eigener Mitarbeiter
Nach Umsetzung fast gleiche Zugriffszahlen –mit oder ohne Filter
Unterschiede resultieren nur daraus, dass die eine Datenansicht („Ohne Mitarbeiter“) etwas später angelegt wurde.
Was ist denn hier los?Und was mache ich nun?
Ausschluss eigener Mitarbeiter
Die Anonymize IP-Funktion hat das letzte Oktett (die letzte Zahl) der ausgeschlossenen IP mit einer 0 überschrieben.
Daher funktioniert ein Filter auf eine spezifische IP nicht mehr.
Ausschluss eigener Mitarbeiter
Drei Möglichkeiten:
1. Anonymize IP weglassenNachteil: Abmahnungen wg. fehlendem Datenschutz möglich (wenn auch nicht sehr wahrscheinlich)
2. Problematik „Ausschluss eigener Mitarbeiter“ignorierenNachteil: Eigene Mitarbeiter verfälschen Statistiken
3. Umwege finden.=> Zu bevorzugende Variante
Verschiedene Umwege zum Ziel …
IP-Subnetz ausschließen
Ausschluss über Internet Service Provider
Ausschluss über Browser-Cookies Per interner, aufzurufender Seite getriggerter Cookie Mit benutzerdefinierten Variablen Mit benutzerdefinierten Dimensionen Manueller Aufruf der Opt-out-Funktion
Per Google Tag Manager mit DataLayer
Option 1: IP-Subnetz ausschließen
Hintergrund:Da das letzte Oktett per Anonymize IP keine Differenzierung mehr bietet, kann es komplett ausgeschlossen werden
Der IP-Filter muss hierfür modifiziert werden
Nachteil: Man schließt auch externe Besucher aus, die im gleichen Subnetz sitzen
Zum Nachlesen:https://support.google.com/analytics/answer/1034840?hl=de
Option 2: ISP ausschließen
Hintergrund:Wenn die Firma als eigener Internetanbieter auftritt, kann sie recht einfach ausgeschlossen werden
Wenn dies so ist, findet man die Firma unter „Anbieter“
Dann ist der IP-Filter mit „Zugriffe über ISP-Domain“ anzulegen
Nachteil:Dies wird selten der Fall sein – bei „normalen“ Anbietern wie der Telekom würde man viele externe Besucher ausschließen
Option 3: Per Browser-Cookie
Hintergrund:Ist ein entsprechendes Browser-Cookie gesetzt, können die Zugriffe ausgefiltert werden
4 Varianten: Interne Seite setzt bei Aufruf Cookie (Snippet anpassen)
Benutzerdef. Filter in Datenansicht mit Filterfeld „Benutzerdefiniert“ setzenNutzung der veralteten Variable „_setVar“=> Sehr vorteilhaft, wenn man z. B. Intranet-Startseite als Browser-Startseite hat
Per „Benutzerdefinierter Variable“ ausschließenNutzung der aktuellen Variable „_setCustomVar()“=> Wenn die vorige Variante nicht funktioniert; aber: globaler Ausschluss unmöglich, sondern über Segmente
Option 3: Per Browser-Cookie
Per „Benutzerdefinierten Dimensionen“Auf Property-Ebene können „Benutzerdef. Dimensionen“erstellt werden; diese können als benutzerdefinierter Filter in der Datenansicht eingesetzt werden
Manuelles Cookie-SetzenWenn nur wenige Mitarbeiter vorhanden sind, kann auch das Problem per Klick auf den Opt-out-Link in der Datenschutzerklärung gelöst werden
Option 3: Per Browser-Cookie
Probleme: Analytics-Snippet muss angepasst werden (Varianten 1 – 3) Suchmaschinen müssen ausgeschlossen werden Bei allen Cookie-Varianten müssen die Mitarbeiter eine
bestimmte Seite aufrufen / Aktion ausführen Bei Cookie-Löschung werden sie wieder mitgezählt Smartphone-Zugriffe werden gezählt
Vorteile: Wenn ein eigenes Intranet z. B. zur festen Browser-Startseite gemacht werden kann, ist das Cookie-Löschproblem gelöst
Zum Nachlesen:www.thomashutter.com/index.php/2013/10/google-analytics-5-varianten-zum-
ausschluss-von-internen-ips-besuchern/https://www.zedwoo.de/google-analytics-eigene-besuche-ausschliessen/
Option 4: Per Tag Manager
Hintergrund: Alle vorgenannten Methoden gingen davon aus, dass das
Problem von Google Analytics gelöst wird Hier wird das Problem vom Google Tag Manager gelöst
Vorgehen: Im Quellcode wird bei Seitenaufruf per JS ein DataLayer
platziert, der die Info z. B. „internalvisitor=false“ enthält Nur für diese Besuche wird dann Analytics aktiviert Opt-Out mit Trigger lösen
Vorteil: Besucher über die eigene IP werden korrekt gefiltert
Nachteil: Nicht kontrollierbar, da Besucher nicht erfasst werden
Fazit
Der Spagat „Mitarbeiter ausschließen vs. Datenschutz“sollte für aussagekräftige Statistiken versucht werden
Eine einfache und immer optimale Lösung gibt es nicht Option 1: Einfachste Lösung, gerade für Firmen mit einem
Standort, aber mindestens bundesweiter Tätigkeit Option 2 ist ebenfalls einfach, aber selten möglich Option 3 ist praktikabel, wenn es ein Intranet gibt Option 4 (Tag Manager) ist sauber, aber nicht einfach
Probleme bleiben:Bots, Spider, Tools, externe Agenturen – die Statistik enthält dennoch nicht nur „echte Besucher“
Danke!
Diese Präsentation ist auch auf Slideshare downloadbar: http://de.slideshare.net/HaraldGrocholl
Harald Grocholl
Twitter: RosinenbrotfanXing, LinkedIn, Facebook: Harald Grocholl
Diese Präsentation stellt keine Rechtsberatung dar. Bzgl. rechtlicher Aspekte werden derzeitige Auffassungen dargestellt. Zur rechtlichen Beratung konsultieren Sie bitte einen Rechtsanwalt.
Fragen?Eigene Vorschläge?Erfahrungen?
