Transcript
Page 1: Google Analytics: Ausschluss interner Mitarbeiter versus Datenschutz

Google Analytics:Ausschluss interner Mitarbeiter versus Datenschutz

Harald Grocholl, 22.02.2017

Diese Präsentation stellt keine Rechtsberatung dar. Bzgl. rechtlicher Aspekte werden derzeitige Auffassungen dargestellt. Zur rechtlichen Beratung konsultieren Sie bitte einen Rechtsanwalt.

Page 2: Google Analytics: Ausschluss interner Mitarbeiter versus Datenschutz

Über mich

Online Marketing Manager aus Dortmund

Hauptthemen: Analytics, SEO, SEA, Social Media und Websites

Seit 2004 in Agenturen der Region im Bereich Online

Twitter: https://twitter.com/Rosinenbrotfan Xing, LinkedIn, Facebook etc.: Harald Grocholl

Page 3: Google Analytics: Ausschluss interner Mitarbeiter versus Datenschutz

Worum geht’s?

Google Analytics datenschutzkonform einrichten

Eigene Mitarbeiter aus Zählung ausschließen Feststellen, dass das nicht funktioniert Lösungsansätze

Page 4: Google Analytics: Ausschluss interner Mitarbeiter versus Datenschutz

Grundeinrichtung Google Analytics

Google Analytics bietet eigenen Tracking Code an

Page 5: Google Analytics: Ausschluss interner Mitarbeiter versus Datenschutz

Grundeinrichtung Google Analytics

… nur ist dieser Code nicht Datenschutz-konform

Page 6: Google Analytics: Ausschluss interner Mitarbeiter versus Datenschutz

Datenschutzkonform – was brauchts?

Vertrag zur Auftragsdatenverarbeitung mit Google Erweitertes Snippet:

Opt-out-Cookie-Implementierung UND AnonymizeIP

Cookie-Hinweisleiste Erläuterungen in der Datenschutzerklärung Falls Altdaten vorhanden: löschen!

Zum Nachlesen: https://www.datenschutzbeauftragter-info.de/fachbeitraege/google-

analytics-datenschutzkonform-einsetzen/ https://www.datenschutz-

hamburg.de/uploads/media/GoogleAnalytics_Hinweise_fuer_Webseitenbetreiber_in_Hamburg_2017.pdf

Achtung: Seit September 2016 gibt es einen neuen, „Privacy Shield“-konformen Vertrag zur Auftragsdatenverarbeitung von Google, der den alten „Safe Harbor“-Vertrag ablöst.

Page 7: Google Analytics: Ausschluss interner Mitarbeiter versus Datenschutz

<script>var gaOptOut = 'ga-disable-UA-XXXXXXXX-XX';

if (document.cookie.indexOf(gaOptOut+'=true') > -1) window[gaOptOut] = true;

(function(i,s,o,g,r,a,m){i['GoogleAnalyticsObject']=r;i[r]=i[r]||function(){

(i[r].q=i[r].q||[]).push(arguments)},i[r].l=1*new Date();a=s.createElement(o),

m=s.getElementsByTagName(o)[0];a.async=1;a.src=g;m.parentNode.insertBefore(a,m)

})(window,document,'script','//www.google-analytics.com/analytics.js','ga');

ga('create', 'UA-XXXXXXXX-XX', 'auto');ga('set', 'anonymizeIp', true);ga('send', 'pageview');

</script>

Datenschutzkonform – was brauchts?

Daten-Anonymisierung

Zusatz zu Opt-out-Cookie

Zum Nachlesen: https://developers.google.com/analytics/devguides/collection/analyticsjs/user-opt-out

Page 8: Google Analytics: Ausschluss interner Mitarbeiter versus Datenschutz

Ausschluss eigener Mitarbeiter

Mehrere Datenansichten zur Property anlegen: 1. Rohdaten, 2. Master, 3. interne Mitarbeiter, 4. Tests

Anmerkung zu „interne Mitarbeiter“: Während einige diese Datenansicht als Gegencheck empfehlen, kann sie auch Datenschutzfragen aufwerfen – ob eine Mitarbeiterbeobachtung zulässig ist.

Page 9: Google Analytics: Ausschluss interner Mitarbeiter versus Datenschutz

Ausschluss eigener Mitarbeiter

Eine IP kann mit einem vordefinierten IP-Filterausgeschlossen werden

Mehrere Einzel-IPs? Reguläre Ausdrücke bei „Benutzerdefiniert“ nutzen!

In der Datenansicht „Interne Mitarbeiter“gegensätzlichen Filter mit „Nur einschließen“ anlegen

Zum Nachlesen:https://support.google.com/analytics/answer/1034840?hl=de

Page 10: Google Analytics: Ausschluss interner Mitarbeiter versus Datenschutz

Ausschluss eigener Mitarbeiter

Nach Umsetzung fast gleiche Zugriffszahlen –mit oder ohne Filter

Unterschiede resultieren nur daraus, dass die eine Datenansicht („Ohne Mitarbeiter“) etwas später angelegt wurde.

Page 11: Google Analytics: Ausschluss interner Mitarbeiter versus Datenschutz

Was ist denn hier los?Und was mache ich nun?

Page 12: Google Analytics: Ausschluss interner Mitarbeiter versus Datenschutz

Ausschluss eigener Mitarbeiter

Die Anonymize IP-Funktion hat das letzte Oktett (die letzte Zahl) der ausgeschlossenen IP mit einer 0 überschrieben.

Daher funktioniert ein Filter auf eine spezifische IP nicht mehr.

Page 13: Google Analytics: Ausschluss interner Mitarbeiter versus Datenschutz

Ausschluss eigener Mitarbeiter

Drei Möglichkeiten:

1. Anonymize IP weglassenNachteil: Abmahnungen wg. fehlendem Datenschutz möglich (wenn auch nicht sehr wahrscheinlich)

2. Problematik „Ausschluss eigener Mitarbeiter“ignorierenNachteil: Eigene Mitarbeiter verfälschen Statistiken

3. Umwege finden.=> Zu bevorzugende Variante

Page 14: Google Analytics: Ausschluss interner Mitarbeiter versus Datenschutz

Verschiedene Umwege zum Ziel …

IP-Subnetz ausschließen

Ausschluss über Internet Service Provider

Ausschluss über Browser-Cookies Per interner, aufzurufender Seite getriggerter Cookie Mit benutzerdefinierten Variablen Mit benutzerdefinierten Dimensionen Manueller Aufruf der Opt-out-Funktion

Per Google Tag Manager mit DataLayer

Page 15: Google Analytics: Ausschluss interner Mitarbeiter versus Datenschutz

Option 1: IP-Subnetz ausschließen

Hintergrund:Da das letzte Oktett per Anonymize IP keine Differenzierung mehr bietet, kann es komplett ausgeschlossen werden

Der IP-Filter muss hierfür modifiziert werden

Nachteil: Man schließt auch externe Besucher aus, die im gleichen Subnetz sitzen

Zum Nachlesen:https://support.google.com/analytics/answer/1034840?hl=de

Page 16: Google Analytics: Ausschluss interner Mitarbeiter versus Datenschutz

Option 2: ISP ausschließen

Hintergrund:Wenn die Firma als eigener Internetanbieter auftritt, kann sie recht einfach ausgeschlossen werden

Wenn dies so ist, findet man die Firma unter „Anbieter“

Dann ist der IP-Filter mit „Zugriffe über ISP-Domain“ anzulegen

Nachteil:Dies wird selten der Fall sein – bei „normalen“ Anbietern wie der Telekom würde man viele externe Besucher ausschließen

Page 17: Google Analytics: Ausschluss interner Mitarbeiter versus Datenschutz

Option 3: Per Browser-Cookie

Hintergrund:Ist ein entsprechendes Browser-Cookie gesetzt, können die Zugriffe ausgefiltert werden

4 Varianten: Interne Seite setzt bei Aufruf Cookie (Snippet anpassen)

Benutzerdef. Filter in Datenansicht mit Filterfeld „Benutzerdefiniert“ setzenNutzung der veralteten Variable „_setVar“=> Sehr vorteilhaft, wenn man z. B. Intranet-Startseite als Browser-Startseite hat

Per „Benutzerdefinierter Variable“ ausschließenNutzung der aktuellen Variable „_setCustomVar()“=> Wenn die vorige Variante nicht funktioniert; aber: globaler Ausschluss unmöglich, sondern über Segmente

Page 18: Google Analytics: Ausschluss interner Mitarbeiter versus Datenschutz

Option 3: Per Browser-Cookie

Per „Benutzerdefinierten Dimensionen“Auf Property-Ebene können „Benutzerdef. Dimensionen“erstellt werden; diese können als benutzerdefinierter Filter in der Datenansicht eingesetzt werden

Manuelles Cookie-SetzenWenn nur wenige Mitarbeiter vorhanden sind, kann auch das Problem per Klick auf den Opt-out-Link in der Datenschutzerklärung gelöst werden

Page 19: Google Analytics: Ausschluss interner Mitarbeiter versus Datenschutz

Option 3: Per Browser-Cookie

Probleme: Analytics-Snippet muss angepasst werden (Varianten 1 – 3) Suchmaschinen müssen ausgeschlossen werden Bei allen Cookie-Varianten müssen die Mitarbeiter eine

bestimmte Seite aufrufen / Aktion ausführen Bei Cookie-Löschung werden sie wieder mitgezählt Smartphone-Zugriffe werden gezählt

Vorteile: Wenn ein eigenes Intranet z. B. zur festen Browser-Startseite gemacht werden kann, ist das Cookie-Löschproblem gelöst

Zum Nachlesen:www.thomashutter.com/index.php/2013/10/google-analytics-5-varianten-zum-

ausschluss-von-internen-ips-besuchern/https://www.zedwoo.de/google-analytics-eigene-besuche-ausschliessen/

Page 20: Google Analytics: Ausschluss interner Mitarbeiter versus Datenschutz

Option 4: Per Tag Manager

Hintergrund: Alle vorgenannten Methoden gingen davon aus, dass das

Problem von Google Analytics gelöst wird Hier wird das Problem vom Google Tag Manager gelöst

Vorgehen: Im Quellcode wird bei Seitenaufruf per JS ein DataLayer

platziert, der die Info z. B. „internalvisitor=false“ enthält Nur für diese Besuche wird dann Analytics aktiviert Opt-Out mit Trigger lösen

Vorteil: Besucher über die eigene IP werden korrekt gefiltert

Nachteil: Nicht kontrollierbar, da Besucher nicht erfasst werden

Page 21: Google Analytics: Ausschluss interner Mitarbeiter versus Datenschutz

Fazit

Der Spagat „Mitarbeiter ausschließen vs. Datenschutz“sollte für aussagekräftige Statistiken versucht werden

Eine einfache und immer optimale Lösung gibt es nicht Option 1: Einfachste Lösung, gerade für Firmen mit einem

Standort, aber mindestens bundesweiter Tätigkeit Option 2 ist ebenfalls einfach, aber selten möglich Option 3 ist praktikabel, wenn es ein Intranet gibt Option 4 (Tag Manager) ist sauber, aber nicht einfach

Probleme bleiben:Bots, Spider, Tools, externe Agenturen – die Statistik enthält dennoch nicht nur „echte Besucher“

Page 22: Google Analytics: Ausschluss interner Mitarbeiter versus Datenschutz

Danke!

Diese Präsentation ist auch auf Slideshare downloadbar: http://de.slideshare.net/HaraldGrocholl

Harald Grocholl

Twitter: RosinenbrotfanXing, LinkedIn, Facebook: Harald Grocholl

Diese Präsentation stellt keine Rechtsberatung dar. Bzgl. rechtlicher Aspekte werden derzeitige Auffassungen dargestellt. Zur rechtlichen Beratung konsultieren Sie bitte einen Rechtsanwalt.

Page 23: Google Analytics: Ausschluss interner Mitarbeiter versus Datenschutz

Fragen?Eigene Vorschläge?Erfahrungen?


Recommended