Google Analytics:
Ausschluss interner Mitarbeiter
versus Datenschutz
Harald Grocholl, 07.10.2016
Twitter: https://twitter....
Worum geht’s?
Google Analytics datenschutzkonform
einrichten
Eigene Mitarbeiter aus Zählung ausschließen
Feststellen, dass...
Grundeinrichtung Google Analytics
Google Analytics bietet eigenen Tracking Code an
Grundeinrichtung Google Analytics
… nur ist dieser Code nicht Datenschutz-konform
Datenschutzkonform – was brauchts?
Vertrag zur Auftragsdatenverarbeitung mit Google
Erweitertes Snippet:
Opt-out-Cookie-Im...
<script>
var gaProperty = ' UA-XXXXXXXX-XX ';
var disableStr = 'ga-disable-' + gaProperty;
if (document.cookie.indexOf(dis...
Ausschluss eigener Mitarbeiter
Mehrere Datenansichten zur Property anlegen:
1. Rohdaten, 2. Master, 3. interne Mitarbeiter...
Ausschluss eigener Mitarbeiter
Eine IP kann mit einem
vordefinierten IP-Filter
ausgeschlossen werden
Mehrere Einzel-IPs?
R...
Ausschluss eigener Mitarbeiter
Nach Umsetzung fast gleiche Zugriffszahlen –
mit oder ohne Filter
Unterschiede resultieren ...
Was ist denn hier los?
Und was mache ich nun?
Ausschluss eigener Mitarbeiter
Die Anonymize IP-Funktion hat das letzte Oktett
(die letzte Zahl) der ausgeschlossenen IP m...
Ausschluss eigener Mitarbeiter
Drei Möglichkeiten:
1. Anonymize IP weglassen
Nachteil: Abmahnungen wg. fehlendem Datenschu...
Verschiedene Umwege zum Ziel …
IP-Subnetz ausschließen
Ausschluss über Internet Service Provider
Ausschluss über Browser-C...
Option 1: IP-Subnetz ausschließen
Hintergrund:
Da das letzte Oktett per
Anonymize IP keine
Differenzierung mehr bietet,
ka...
Option 2: ISP ausschließen
Hintergrund:
Wenn die Firma als eigener
Internetanbieter auftritt, kann sie
recht einfach ausge...
Option 3: Per Browser-Cookie
Hintergrund:
Ist ein entsprechendes Browser-Cookie gesetzt, können
die Zugriffe ausgefiltert ...
Option 3: Per Browser-Cookie
Per „Benutzerdefinierten Dimensionen“
Auf Property-Ebene können filterbare Dimensionen
erstel...
Option 3: Per Browser-Cookie
Probleme:
Bei allen Cookie-Varianten müssen die Mitarbeiter eine
bestimmte Seite aufrufen / A...
Option 4: Per Tag Manager
Hintergrund:
Alle vorgenannten Methoden gingen davon aus, dass das
Problem von Google Analytics ...
Fazit
Der Spagat „Mitarbeiter ausschließen vs. Datenschutz“
sollte für aussagekräftige Statistiken versucht werden
Eine ei...
Danke!
Diese Präsentation ist auch auf Slideshare downloadbar:
http://de.slideshare.net/HaraldGrocholl
Harald Grocholl
Twi...
Fragen?
Eigene Vorschläge?
Erfahrungen?
Nächste SlideShare
Wird geladen in …5
×

Google Analytics: Ausschluss interner Mitarbeiter versus Datenschutz

110 Aufrufe

Veröffentlicht am

Möchte man beim Aufsetzen von Google Analytics sowohl sicherstellen, dass eigene Mitarbeiter nicht mitgezählt werden, andererseits aber auch den Datenschutz beachten, so kommen sich beide Ziele leicht in die Quere. Hier werden Problemstellungen, Herangehensweisen und Lösungsansätze vorgestellt.

Ein wichtiger Hinweis:
Diese Präsentation stellt keine Rechtsberatung dar. Bzgl. rechtlicher Aspekte werden derzeitige Auffassungen dargestellt. Zur rechtlichen Beratung konsultieren Sie bitte einen Rechtsanwalt.

Veröffentlicht in: Internet
0 Kommentare
1 Gefällt mir
Statistik
Notizen
  • Als Erste(r) kommentieren

Keine Downloads
Aufrufe
Aufrufe insgesamt
110
Auf SlideShare
0
Aus Einbettungen
0
Anzahl an Einbettungen
2
Aktionen
Geteilt
0
Downloads
1
Kommentare
0
Gefällt mir
1
Einbettungen 0
Keine Einbettungen

Keine Notizen für die Folie

Google Analytics: Ausschluss interner Mitarbeiter versus Datenschutz

  1. 1. Google Analytics: Ausschluss interner Mitarbeiter versus Datenschutz Harald Grocholl, 07.10.2016 Twitter: https://twitter.com/Rosinenbrotfan Xing, LinkedIn, Facebook etc.: Harald Grocholl Diese Präsentation stellt keine Rechtsberatung dar. Bzgl. rechtlicher Aspekte werden derzeitige Auffassungen dargestellt. Zur rechtlichen Beratung konsultieren Sie bitte einen Rechtsanwalt.
  2. 2. Worum geht’s? Google Analytics datenschutzkonform einrichten Eigene Mitarbeiter aus Zählung ausschließen Feststellen, dass das nicht funktioniert Lösungsansätze
  3. 3. Grundeinrichtung Google Analytics Google Analytics bietet eigenen Tracking Code an
  4. 4. Grundeinrichtung Google Analytics … nur ist dieser Code nicht Datenschutz-konform
  5. 5. Datenschutzkonform – was brauchts? Vertrag zur Auftragsdatenverarbeitung mit Google Erweitertes Snippet: Opt-out-Cookie-Implementierung UND AnonymizeIP Cookie-Hinweisleiste Erläuterungen in der Datenschutzerklärung Falls Altdaten vorhanden: löschen! Zum Nachlesen: https://www.datenschutzbeauftragter- info.de/fachbeitraege/google-analytics-datenschutzkonform- einsetzen/ Achtung: Seit September 2016 gibt es einen neuen, „Privacy Shield“-konformen Vertrag zur Auftragsdatenverarbeitung von Google, der den alten „Safe Harbor“-Vertrag ablöst.
  6. 6. <script> var gaProperty = ' UA-XXXXXXXX-XX '; var disableStr = 'ga-disable-' + gaProperty; if (document.cookie.indexOf(disableStr + '=true') > -1) { window[disableStr] = true; } function gaOptout() { document.cookie = disableStr + '=true; expires=Thu, 31 Dec 2099 23:59:59 UTC; path=/'; window[disableStr] = true; } </script> <script> (function(i,s,o,g,r,a,m){i['GoogleAnalyticsObject']=r;i[r]=i[r]||function(){ (i[r].q=i[r].q||[]).push(arguments)},i[r].l=1*new Date();a=s.createElement(o), m=s.getElementsByTagName(o)[0];a.async=1;a.src=g;m.parentNode.insertBefore(a,m) })(window,document,'script','//www.google-analytics.com/analytics.js','ga'); ga('create', 'UA-XXXXXXXX-XX', 'auto'); ga('set', 'anonymizeIp', true); ga('send', 'pageview'); </script> Datenschutzkonform – was brauchts? Zusatz zu Opt-out-Cookie Daten- Anonymisierung Zusatz zu Opt-out-Cookie
  7. 7. Ausschluss eigener Mitarbeiter Mehrere Datenansichten zur Property anlegen: 1. Rohdaten, 2. Master, 3. interne Mitarbeiter, 4. Tests Anmerkung zu „interne Mitarbeiter“: Während einige diese Datenansicht als Gegencheck empfehlen, kann sie auch Datenschutzfragen aufwerfen – ob eine Mitarbeiterbeobachtung zulässig ist.
  8. 8. Ausschluss eigener Mitarbeiter Eine IP kann mit einem vordefinierten IP-Filter ausgeschlossen werden Mehrere Einzel-IPs? Reguläre Ausdrücke bei „Benutzerdefiniert“ nutzen! In der Datenansicht „Interne Mitarbeiter“ gegensätzlichen Filter mit „Nur einschließen“ anlegen Zum Nachlesen: https://support.google.com/analytics/answer/1034840?hl=de
  9. 9. Ausschluss eigener Mitarbeiter Nach Umsetzung fast gleiche Zugriffszahlen – mit oder ohne Filter Unterschiede resultieren nur daraus, dass die eine Datenansicht („Ohne Mitarbeiter“) etwas später angelegt wurde.
  10. 10. Was ist denn hier los? Und was mache ich nun?
  11. 11. Ausschluss eigener Mitarbeiter Die Anonymize IP-Funktion hat das letzte Oktett (die letzte Zahl) der ausgeschlossenen IP mit einer 0 überschrieben. Daher funktioniert ein Filter auf eine spezifische IP nicht mehr.
  12. 12. Ausschluss eigener Mitarbeiter Drei Möglichkeiten: 1. Anonymize IP weglassen Nachteil: Abmahnungen wg. fehlendem Datenschutz möglich (wenn auch nicht sehr wahrscheinlich) 2. Problematik „Ausschluss eigener Mitarbeiter“ ignorieren Nachteil: Eigene Mitarbeiter verfälschen Statistiken 3. Umwege finden. => Zu bevorzugende Variante
  13. 13. Verschiedene Umwege zum Ziel … IP-Subnetz ausschließen Ausschluss über Internet Service Provider Ausschluss über Browser-Cookies Per interner, aufzurufender Seite getriggerter Cookie Mit benutzerdefinierten Variablen Mit benutzerdefinierten Dimensionen Manueller Aufruf der Opt-out-Funktion Per Google Tag Manager mit DataLayer
  14. 14. Option 1: IP-Subnetz ausschließen Hintergrund: Da das letzte Oktett per Anonymize IP keine Differenzierung mehr bietet, kann es komplett ausgeschlossen werden Der IP-Filter muss hierfür modifiziert werden Nachteil: Man schließt auch externe Besucher aus, die im gleichen Subnetz sitzen Zum Nachlesen: https://support.google.com/analytics/answer/1034840?hl=de
  15. 15. Option 2: ISP ausschließen Hintergrund: Wenn die Firma als eigener Internetanbieter auftritt, kann sie recht einfach ausgeschlossen werden Wenn dies so ist, findet man die Firma unter „Anbieter“ Dann ist der IP-Filter mit „Zugriffe über ISP-Domain“ anzulegen Nachteil: Dies wird selten der Fall sein – bei „normalen“ Anbietern wie der Telekom würde man viele externe Besucher ausschließen
  16. 16. Option 3: Per Browser-Cookie Hintergrund: Ist ein entsprechendes Browser-Cookie gesetzt, können die Zugriffe ausgefiltert werden 4 Varianten: Interne Seite setzt bei Aufruf Cookie Nutzung der veralteten Variable „_setVar“ Zu beachten: Seite muss von Suchmaschinen ausgeschlossen werden => Sehr vorteilhaft, wenn man z. B. Intranet-Startseite als Browser-Startseite hat Per „Benutzerdefinierter Variable“ ausschließen Nutzung der aktuellen Variable „_setCustomVar()“ => Wenn die vorige Variante nicht funktioniert; aber: globaler Ausschluss unmöglich, sondern über Segmente
  17. 17. Option 3: Per Browser-Cookie Per „Benutzerdefinierten Dimensionen“ Auf Property-Ebene können filterbare Dimensionen erstellt werden, diese können als Filter eingesetzt werden Manuelles Cookie-Setzen Wenn nur wenige Mitarbeiter vorhanden sind, kann auch das Problem per Klick auf den Opt-out-Link in der Datenschutzerklärung gelöst werden
  18. 18. Option 3: Per Browser-Cookie Probleme: Bei allen Cookie-Varianten müssen die Mitarbeiter eine bestimmte Seite aufrufen / Aktion ausführen Suchmaschinen müssen ausgeschlossen werden Bei Cookie-Löschung werden sie wieder mitgezählt Smartphone-Zugriffe werden gezählt Vorteile: Wenn ein eigenes Intranet z. B. zur festen Browser-Startseite gemacht werden kann, ist das Cookie-Löschproblem gelöst Zum Nachlesen: www.thomashutter.com/index.php/2013/10/google-analytics-5- varianten-zum-ausschluss-von-internen-ips-besuchern/
  19. 19. Option 4: Per Tag Manager Hintergrund: Alle vorgenannten Methoden gingen davon aus, dass das Problem von Google Analytics gelöst wird Hier wird das Problem vom Google Tag Manager gelöst Vorgehen: Im Quellcode wird bei Seitenaufruf per JS ein DataLayer platziert, der die Info z. B. „internalvisitor=false“ enthält Nur für diese Besuche wird dann Analytics aktiviert Opt-Out-Snippet muss vor Tag Manager Container Vorteil: Alle Besucher über die eigene IP werden korrekt gefiltert
  20. 20. Fazit Der Spagat „Mitarbeiter ausschließen vs. Datenschutz“ sollte für aussagekräftige Statistiken versucht werden Eine einfache und optimale Lösung gibt es nicht Option 1: Einfachste Lösung, gerade für Firmen mit einem Standort, aber mindestens bundesweiter Tätigkeit Option 2 ist ebenfalls einfach, aber selten möglich Option 3 ist praktikabel, wenn es ein Intranet gibt Option 4 (Tag Manager) ist sehr sauber, aber nicht einfach Probleme bleiben: Bots, Spider, Tools, externe Agenturen – die Statistik enthält dennoch nicht nur „echte Besucher“
  21. 21. Danke! Diese Präsentation ist auch auf Slideshare downloadbar: http://de.slideshare.net/HaraldGrocholl Harald Grocholl Twitter: Rosinenbrotfan Xing, LinkedIn, Facebook: Harald Grocholl Diese Präsentation stellt keine Rechtsberatung dar. Bzgl. rechtlicher Aspekte werden derzeitige Auffassungen dargestellt. Zur rechtlichen Beratung konsultieren Sie bitte einen Rechtsanwalt.
  22. 22. Fragen? Eigene Vorschläge? Erfahrungen?

×