Simple Anleitung: MonsterInsights DSGVO-konform einrichten!

MonsterInsights DSGVO-konform in WordPress-Websites

Du möchtest Google Analytics in deine Website einbinden, aber hast keine Muße, dich durch komplexe Anleitungen zu kämpfen, die dich schlichtweg überfordern? Dann bist du bestimmt bereits auf das freche, lilafarbene Monster mit der großen Lupe – auch bekannt als MonsterInsights – gestoßen. Das WordPress-Plugin ist die vermeintlich beste und unkomplizierteste Lösung, um Google Analytics zu verwenden.

In diesem Artikel erklären wir, ob sich MonsterInsights wirklich lohnt und welche bessere Alternative es für die datenschutzkonforme Integration von Google Analytics gibt.

Achtung: Dieser Artikel ist keine Rechtsberatung! Wir als Entwickler von WordPress Plugins und Auftragnehmer von Website Projekten haben uns intensiv mit dem Thema Cookie-Banner befasst, da es in unserer täglichen Arbeit unerlässlich ist. Jedoch sind wir weder Juristen, noch können wir die Vollständigkeit, Aktualität und Richtigkeit folgender Informationen garantieren. Lass dich im Zweifelsfall immer von einem Rechtsanwalt beraten.

MonsterInsights – was ist das?

MonsterInsights = Website-Analyse leicht gemacht? Sinn und Zweck von MonsterInsights ist es, Google Analytics einfach und schnell in Websites einzubinden – und das ganz, ohne ein Techie-Nerd sein zu müssen. Binnen weniger Klicks kann ein breites Spektrum an verschiedenen, komplizierten Tracking-Funktionen wie das E-Commerce-Tracking eingerichtet werden. Mittels dieser Funktion können etwa Webshop-Betreiber mitunter meistverkaufte Produkte und Konversionsraten ermitteln. Allgemein hilft das Erfassen solcher Daten dabei, die eigene Website zu optimieren (Stärken und Schwächen herausfinden) und gezielte Marketingmaßnahmen zu treffen.

Wenn du dich jetzt fragst, was Tracking bedeutet, wie es funktioniert und auf welcher Rechtsgrundlage es basiert, lohnt es sich, unseren Artikel zum Thema Web-Tracking zu lesen.

Gesammelte Tracking-Daten können direkt im WordPress-Dashboard eingesehen werden und das mühsame Klicken durch die oftmals als unübersichtlich empfundene Google Analytics Oberfläche bleibt dem Website-Betreiber erspart.

Aufgrund der anfängerfreundlichen Einrichtung und Bedienbarkeit gilt MonsterInsights neben anderen Plugins wie Analytify als populäre Lösung in puncto Google Analytics Plugins.

Zu den Funktionen von MonsterInsights zählen unter anderem (direkt in deinem WordPress):

  • Echtzeit-Statistiken
  • E-Commerce-Reports
  • SEO-Ranking-Reports
  • Reports über das Nutzerverhalten
  • DSGVO-Konformität

👉 Auf Letzteres werden wir im Laufe des Artikels näher eingehen.

Google Analytics – was ist das?

Google Analytics ist ein Dienst des Suchmaschinen-Giganten Google. Google Analytics gilt bis dato als unangefochtener Liebling hinsichtlich Analyse-Tools für Websites. Durch das Einbetten eines Tracking-Codes in den Code der eigenen Website ist es möglich, das Besucherverhalten auf der entsprechenden Website zu verfolgen und somit wertvolle Informationen – wie z.B. die Verweildauer und das Klickverhalten – zu sammeln.

Daher ist es durchaus sinnvoll, ein Tracking-Tool wie Google Analytics in eine Website einzubauen, um den Traffic zu messen und analysieren.

Besucherdaten, die Google Analytics unter anderem erfasst:

  • Herkunft (Woher stammt der Besucher?)
  • Verweildauer (Wie lange bleibt der Besucher auf einer Website?)
  • Gerätetyp (Smartphone, Computer, Tablet)
  • Browsertyp (Mozilla Firefox, Google Chrome, Safari, etc.)
  • Betriebssystem (Windows, macOS, Chrome OS, etc.)
  • Quelle (Wie ist der Besucher auf die Website gelangt: über ein Social-Media-Netzwerk, Google Suche, eine andere Website etc.?)
  • Heruntergeladene Dateien
  • Klickverhalten (Welche Elemente wurden angeklickt?)
  • Angeschaute Videos
  • uvm.

Ist Google Analytics DSGVO-konform?

Vielen Datenschützern ist das Analyse-Werkzeug ein Dorn im Auge – und das zu Recht. Das Tool ist in der Basis-Version kostenfrei. Doch was ist heutzutage wirklich noch kostenlos? Leider so gut wie nichts, und das trifft auch in diesem Fall zu. Denn wie sagt man doch so schön: Daten sind das neue Öl.

Als Service der gigantischen Datenkrake Google erklärst du dich damit einverstanden, bei der Verwendung von Google Analytics sämtliche gesammelte Daten von dem Unternehmen speichern zu lassen. Hierbei geht es in erster Linie um aggregierte Informationen über das Nutzerverhalten.

Worin liegt der Unterschied zwischen MonsterInsights und Google Analytics?

Fälschlicherweise wird oft angenommen, dass es sich bei Google Analytics und MonsterInsights um zwei separate Analyse-Services handelt – dies ist allerdings nicht der Fall.

Google Analytics ist für viele Website-Betreiber ein Muss, wenn es darum geht, Website-Traffic zu tracken. MonsterInsights ist hierbei praktisch die Kirsche auf der Torte, die das Tracking aufgrund universeller Funktionen erst so richtig schmackhaft macht.

Theoretisch kannst du Google Analytics auch ohne MonsterInsights in deiner WordPress-Website einrichten, allerdings kann dich die manuelle Einrichtung mitunter schnell überfordern.

Google Analytics ist der Service, der es dir ermöglicht, analytische Daten zu erheben und zu sammeln, um somit deine Website-Besucher besser zu verstehen.

MonsterInsights ist ein WordPress-Plugin, welches dir dabei hilft, Google Analytics schnell und einfach in deine WordPress-Website zu implementieren.

Ist MonsterInsights DSGVO-konform?

Datenschützern stößt das Thema Tracking in der Regel übel auf, denn in den meisten Fällen werden personenbezogene Daten erhoben, gesammelt und ggf. weitergegeben.

Da MonsterInsights als optimale Google Analytics Plugin-Lösung gilt und es selbst damit wirbt, DSGVO-konform zu sein, ist es naheliegend anzunehmen, dass MonsterInsights die Anforderungen an die Einhaltung der Datenschutz-Grundverordnung erfüllt.

Grundsätzlich ist MonsterInsights ein Plugin, mittels welchem sich das Tracking von Nutzerdaten im Einklang mit der DSGVO umsetzen lässt. Allerdings müssen für die korrekte Umsetzung, die im folgenden Abschnitt erläuterten Bedingungen erfüllt werden.

Rechtsgrundlage innerhalb der EU

Bevor wir dir zeigen, wie du mithilfe von MonsterInsights Google Analytics sorglos einbinden kannst, werfen wir vorab einen genaueren Blick auf den rechtlichen Hintergrund des Webtrackings.

Laut der DSGVO ist das Tracking von Besuchern (sofern personenbezogene Daten erhoben werden) nicht ohne Weiteres möglich. "Nicht ohne Weiteres" meint in diesem Fall nicht ohne die aktive und informierte Einwilligung des Besuchers (Opt-in-Verfahren).

Zudem müssen laut Artikel 7 DSGVO folgende Punkte erfüllt werden:

  • Der Besucher muss leicht verständlich über den Zweck der Datenverarbeitung informiert werden
  • Einwilligung muss für den entsprechenden Besucher jederzeit einsehbar sein
  • Einwilligung muss für den entsprechenden Besucher jederzeit widerrufbar sein
  • Protokollierung der Einwilligung durch den Website-Betreiber (zur Erfüllung der Darlegungspflicht)

Eine alternative Option für das Tracking im Einklang mit dem Datenschutz ist das Erstellen von komplett pseudonymisierten oder anonymisierten Nutzerprofilen. Hierbei dürfen nur Daten erfasst werden, die nicht personenbezogen sind oder solche Daten werden mithilfe der Verwendung von Pseudonymen (z.B. Zahlenfolgen) unkenntlich gemacht.

Das WordPress-Plugin Statify tut genau dies. Es trackt Nutzerdaten, allerdings ohne dabei personenbezogene Daten zu erheben.

In unserem Artikel über geniale DSGVO-Plugins für eine rechtssichere WordPress-Website haben wir dir weitere Plugins aufgelistet, die dich dabei unterstützen, deine Website datenschutzkonform zu gestalten.

Was benötige ich für die datenschutzkonforme Nutzung von MonsterInsights?

Um das Google Analytics Plugin datenschutzkonform einsetzen zu können, empfehlen wir dir, folgende Kriterien zu erfüllen.

✅ Einwilligung des Besuchers

Wieso, weshalb, warum du eine Einwilligung benötigst und wie du diese rechtmäßig einholst, haben wir ja bereits grob mit dem vorherigen Abschnitt abgehakt.

Doch eine äußert relevante Rolle hierbei, spielt das Thema Datenverarbeitung in die USA. Seit Ende des Privacy Shields (informelle Absprache hinsichtlich des Datenschutzes zwischen der EU und der USA, die von 2015 bis 2016 ausgehandelt wurde) gelten die USA in puncto Datenschutz als unsicheres Drittland.

Google Analytics ist ein Dienst des US-amerikanischen Unternehmens Google LLC. Du erahnst das Problem bestimmt bereits. Als Dienst eines in den USA ansässigen Unternehmens muss demnach besonders darauf geachtet werden, die Einwilligung der Besucher zur Verarbeitung personenbezogener Daten rechtskonform einzuholen.

Wie genau du eine rechtmäßige Einwilligung deiner Besucher einholst, zeigen wir dir in der folgenden Anleitung.

👥 Anonymize IP Tag

Hinter dem Begriff verbirgt sich nichts Geringeres als die Anonymisierung von IP-Adressen. Da diese in vielen Ländern als personenbezogenes Datum gelten, ist die Pflicht zum Unkenntlich machen demnach eine logische Konsequenz. Eine IP-Adresse wird hierbei so verändert bzw. verkürzt, dass der Nutzer nicht eindeutig erkannt werden kann. Beispielsweise wird aus 111.234.564.133 → 111.234.564.X

🤝 Auftragsverarbeitungsvertrag

Bei der Auftragsverarbeitung (früher: Auftragsdatenverarbeitung) geht es darum, dass Website-Betreiber, welche die Dienste von externen Unternehmen nutzen – die in ihrem Namen die Verarbeitung von Benutzerdaten vornehmen – mit diesen einen Vertrag, den sogenannten Auftragsverarbeitungsvertrag, schließen müssen. Dieser soll sicherstellen, dass das vom Website-Betreiber beauftrage Unternehmen die Daten datenschutzkonform verarbeitet.

Rechtsgrundlage hierfür ist Artikel 28 der DSGVO.

Die Pflicht zum Abschließen besteht beispielsweise bei der Verwendung von Google Analytics.

Wie binde ich MonsterInsights quick & easy DSGVO-konform ein?

Glückwunsch, du bist nun am heiß ersehnten Kernstück des Artikels angekommen! (Oder du hast die vorherigen Abschnitte übersprungen und bist direkt hier gelandet 😉).

Um nun endlich die Frage aller Fragen zu beantworten: Wie binde ich MonsterInsights datenschutzkonform in meine WordPress-Website ein?

Antwort: am besten mit Real Cookie Banner. Denn ohne wird es schwierig, da MonsterInsights selbst nicht ohne Weiteres DSGVO-konform ist, wie du bereits festgestellt hast. Real Cookie Banner hingegen nimmt alles, was du bei der datenschutzkonformen Einbindung beachten musst, ab – ganz ohne viel Tamtam, eine Entwickler-Eule zu sein oder in Juristendeutsch verfasste Wälzer lesen zu müssen.

Weitere Schritte, die du für eine korrekte Einbindung des Analyse-Plugins beachten solltest, zeigen wir dir im Folgenden.

Einbindung von MonsterInsights mit IP-Anonymisierung

  1. Go to Plugins > Add New in the left menu bar.
  2. Dir wird nun eine Ansicht angezeigt, in der du neue Plugins hinzufügen kannst.
  3. Gib in das Suchfeld Plugins durchsuchen... "MonsterInsights" ein.
Add MonsterInsights Plugin
  1. Dir wird nun eine Auswahl an verschiedenen Plugins angezeigt. Wir suchen nach dem kleinen, lilafarbenen Freund von MonsterInsights.
  2. Klicke auf Jetzt installieren und anschließend auf Aktivieren. Et voilà, das Plugin ist einsatzbereit.
  3. Nach der Ersteinrichtung (Keine Panik, MonsterInsights ist dank einer geführten Konfiguration super easy einzurichten), gehst du zu den Einstellungen des Plugins. Hierzu klickst du in der linken Menüleiste auf Insights > Settings.
MonsterInisghts Settings
  1. Anschließend klickst du in der oben angezeigten Menüleiste auf den Reiter Engagement.
  2. Hier findest du die Option Anonymize IP Addresses. Diese musst du aktivieren, um Google mitzuteilen, dass IP-Adressen nicht vollständig gespeichert werden sollen, wenn die von dir getrackten Informationen protokolliert werden. Somit ist nicht mehr zuweisbar, zu welcher IP-Adresse welche Informationen gehören. Durch das Verkürzen/Abändern der IP-Adresse ist zwar noch erkennbar, aus welchem Land oder welcher Stadt der Besucher kommt, der konkrete Nutzer ist allerdings nicht mehr erkennbar.
  3. Optional: Falls du möchtest, kannst du dir die Einbindung des Anonymize IP Tags noch im Code deiner Website anschauen. Hierzu öffnest du dein Frontend mittels Rechtsklick auf den Namen deiner Website in einem separaten Fenster.
Open Frontend In New Window
  1. Mache einen Rechtsklick auf eine beliebige freie Stelle und wähle Seitenquelltext anzeigen aus.
Embedded Anonymize IP Tag In Code
  1. Im Code deiner Website kannst du nun sehen, dass MonsterInsights Google Analytics einbindet. Des Weiteren wird dir "anonymize_ip" : "true" angezeigt. Dadurch wird bei der Einbindung eingestellt, dass Google die IP-Adresse nicht vollständig speichern soll.

Einbindung von MonsterInsights mittels Real Cookie Banner

Wenn du dachtest, dass die vorherige Einbindung schon einfach war, dann pass jetzt gut auf. Mit dem einsteigerfreundlichen Cookie Consent Plugin Real Cookie Banner kannst du Opt-in-Einwilligungen spielend einfach einholen und protokollieren. Mithilfe des Cookie Banners kannst du MonsterInsights, aber auch nur Google Analytics, in deine WordPress-Website einbinden.

Nach der Installation des Plugins und Einrichtung des Banners gehst du wie folgt vor:

  1. Klicke in der linken Menüleiste auf Cookies.
  2. Dir wird nun eine Ansicht angezeigt, in der du dein Cookie Banner konfigurieren kannst. Im oberen Menü wird dir der Reiter Services (Cookies) angezeigt. Klicke auf diesen.
MonsterInsights Cookie Set Up
  1. Hier kannst du nun einen Service (Cookie) für MonsterInsights anlegen. Da wir fleißig waren, haben wir dir die Vorlage für MonsterInsights bereits angelegt (in der PRO-Version). Wenn du möchtest, kannst du diese ohne Anpassungen direkt übernehmen.

Da Real Cookie Banner die Einrichtung des Services für dich bereits übernimmt, haben wir diesen Schritt hier einmal übersprungen.

Wichtig: MonsterInsights muss installiert und eingerichtet sein, damit du die entsprechende Vorlage verwenden kannst.

Stöbern lohnt sich: In unserer Wissensdatenbank findest du Anleitungen zur Erstellung eines Services (Cookies) sowie eines dazugehörigen Content Blockers.

Creating Service For MonsterInsights
  1. Bevor du die Vorlage speicherst, weist dich Real Cookie Banner darauf hin, dass für die Verwendung des Services ein Content Blocker erstellt werden sollte. Diese Einstellung haben wir bei Vorlagen für bestimmte Dienste, bereits voreingestellt. Sofern du das Häkchen bei Content Blocker für diesen Service erstellen nicht entfernst, wirst du nach dem Klick auf Speichern direkt zur entsprechenden Vorlage weitergeleitet.
  2. Auch hier haben wir wieder alles unserer Ansicht nach erforderliche bereits in der Vorlage abgedeckt, sodass du nur noch nach unten scrollen und den Content Blocker speichern musst.

Der Content Blocker sorgt dafür, dass Google Analytics erst eingebunden wird, wenn die Einwilligung des Website-Besuchers vorliegt.

Real Cookie Banner als geniale Alternative zu MonsterInsights

Nicht nur das datenschutzkonforme Einholen und Dokumentieren von Opt-in-Einwilligungen nimmt dir das Cookie Plugin ab. Mit Real Cookie Banner, kannst du dir die Verwendung von MonsterInsights auch komplett sparen, wenn es dir nur um eine einfache Einbindung von Google Analytics geht.

Zudem sind viele DSGVO-Funktionen, die nur in der PRO-Version des MonsterInsights Plugins verfügbar sein, bereits in der kostenlosen Version von Real Cookie Banner enthalten.

Auftragsverarbeitungsvertrag abschließen

Laut DSGVO Artikel 28 ist die Einbindung des Analyse-Dienstes Google Analytics über eine Auftragsverarbeitung nicht mehr zulässig, sofern Google Analytics mit den von Google gesetzten Standardeinstellungen (Stand: 2020) verwendet wird (z.B. nicht rechtmäßige Aufbewahrungsdauer von Daten). Es empfiehlt sich, einen Auftragsverarbeitungsvertrag im Sinne der DSGVO Artikel 26 abzuschließen, um die gemeinsame Verantwortlichkeit zwischen Website-Betreiber und Google zu regeln.

Ein Auftragsverarbeitungsvertrag ist auch im Fall von geänderten Standardeinstellungen notwendig.

Jetzt zeigen wir dir, wie du einen Auftragsverarbeitungsvertrag erstellst.

  1. Öffne dein Google Analytics über analytics.google.com.
Google Analytics Dashboard
  1. Hier müssen wir zwischen zwei Fällen unterscheiden:
  • Fall 1: Du hast eine Universal-Analytics-Property (z.B. UA-127382571-1)
  • Fall 2: Du hast eine Google Analytics 4-Property (z.B. G-127369357)

Abhängig davon, welche Variante du benutzt, variiert das Aussehen deiner Oberfläche. Du musst nun unten links auf das Verwaltung (Fall 1) bzw. nur das Zahnrad (Fall 2) klicken, um in den Admin-Bereich zu gelangen.

Google Analytics Settings
  1. Klicke auf Konto und wähle den richtigen Account aus.
  2. Jetzt klickst du auf Kontoeinstellungen.
  3. Scrolle herunter bis zu Datenverarbeitungsbedingungen. Nun bist du bei dem Auftragsverarbeitungsvertrag mit Google angekommen. Bei älteren Accounts muss diesem Vertrag manuell einmalig zugestimmt werden. Erstellst du einen neuen, akzeptierst du den Vertrag bereits bei der Account-Erstellung. Den Vertrag kannst du dir bei Lust und Laune auch durchlesen 😉
Google Analytics Admin Settings

Einstellungen zur Datensparsamkeit

Gemäß DSGVO Artikel 5 sollen Voreinstellung möglichst datenschutzfreundlich vorgenommen werden. Dies ist bei Google Analytics allerdings nicht der Fall, da Google möglichst viele Daten sammeln möchte.

Zum einen kannst du auf Account-Ebene manuell einstellen, welche Daten du mit Google teilen möchtest, die du über Google Analytics sammelst.

GA Account Settings Data Collection
  1. Gehe zu Kontoeinstellungen > Einstellungen für die Datenfreigabe.
Data Collection Settings GA
  1. Viele bis alle Häkchen sind standardmäßig gesetzt. Nimm diese am besten manuell raus, damit keine Daten mit Google geteilt werden.

Neben der Datenminimierung kannst du zusätzlich die Aufbewahrungszeit der gesammelten Daten festlegen.

Hierzu gehst du wie folgt vor:

  1. Wähle in der zweiten Spalte deine Property aus und gehe zu Tracking-Informationen > Datenaufbewahrung.
GA Data Retention Settings

Wichtig: Du findest die Daten nur unter Datenaufbewahrung, wenn du eine Universal Analytics Property (beginnt mit UA-) verwendest. Solltest du eine Google Analytics 4 Property nutzen, findest du die entsprechenden Einstellungen unter Dateneinstellungen > Datenaufbewahrung.

    1. Google hat hier die Aufbewahrungsdauer von Nutzer- und Ereignisdaten, die einem Nutzer eindeutig zugewiesen werden können, standardmäßig auf 26 Monate festgelegt. Ebenso ist die Option Bei neuer Aktivität zurücksetzen (für Google Analytics 4: Nutzerdaten bei neuer Aktivität zurücksetzen) aktiviert. Dies ist allerdings nicht im Sinne von Artikel 25 DSGVO.

Stelle demnach die Dauer auf 14 Monate um und deaktiviere die Option.

In der Google Analytics 4-Property kannst du 2 oder 14 Monate einstellen.

Nicht alle in Google Analytics gesammelten Daten werden gelöscht, sondern nur solche, die einem Nutzer eindeutig zugewiesen werden können. Folglich hast du die wichtigsten Daten auch nach Ablauf der 14 Monate nicht verloren!

Google Analytics in der Datenschutzerklärung erwähnen

Um eine datenschutzkonforme Verwendung von Google Analytics vollumfänglich einzuhalten, musst du den Analyse-Dienst ebenso in deiner Datenschutzerklärung erwähnen.

Laut Artikel 12 und Artikel 13 der Datenschutz-Grundverordnung muss deine Datenschutzerklärung unter anderem folgende Informationen abdecken:

  • Rechtliche Grundlage und dem Umfang der Datenerhebung
  • Dauer der Speicherung der erhobenen Daten
  • Hinweis auf die IP-Anonymisierung
  • Auskunft über das Widerrufsrecht
Menü
GDPR Cookie Consent mit Real Cookie Banner