Ist Google Analytics (3 und 4) DSGVO-konform? [Update]

, ,

Geschrieben von Beata Moryl, Karolina Lubowicka

Veröffentlicht September 07, 2023

Google Analytics ist das beliebteste Analysetool auf dem Markt. Es ist kostenlos und lässt Sie wertvolle Daten über das Nutzerverhalten sammeln und den Website-Traffic analysieren.

Gleichzeitig ist die Art und Weise, wie Google Analytics Daten sammelt und verarbeitet, für datenschutzbewusste Unternehmen und Aufsichtsbehörden ein Problem.

Die Datenschutzbehörden aus Österreich, Frankreich, Italien, Norwegen und Schweden haben kürzlich entschieden, dass der Einsatz des Tools nach der DSGVO illegal ist. Mehrere europäische Datenschutzbehörden, darunter die französische CNIL, schwedische IMY und belgische APD, belegten auch die Muttergesellschaft von Google Analytics, Google LLC, mit Geldbußen in Millionenhöhe.

Der neu eingeführte EU-US-Datenschutzrahmen löst die rechtlichen Probleme mit dem Datentransfer durch Google Analytics. Viele Datenschutzexperten bezweifeln jedoch, dass der Rahmen ausreichenden Schutz für die EU-Bürger bietet. Sie haben auch Zweifel daran, ob er einer Klage vor dem Gerichtshof der Europäischen Union (EuGH) standhalten würde.
Außerdem gibt es viele weitere Gründe, die für einen Wechsel von Google Analytics sprechen und Ihre Datenerfassung datenschutzfreundlicher, zukunftssicherer und effektiver machen.

Lesen Sie weiter, um mehr über die Datenschutzprobleme mit Google Analytics zu erfahren. Wir erklären auch, was das für Unternehmen bedeutet, die Daten von EU-Bürgern verarbeiten.

Google Analytics, die DSGVO und der EU-US-Datenschutzrahmen

Das Hauptproblem mit der Datenschutz-Compliance bei Google Analytics: Es speichert Nutzerdaten, einschließlich personenbezogener Daten der EU-Bürger, auf in den USA befindlichen Cloud-Servern. Google LLC ist außerdem ein US-amerikanisches Unternehmen. Das bedeutet, dass die von ihm gesammelten Daten den US-Überwachungsgesetzen unterliegen.

Amerikanische Bürger sind durch den vierten Verfassungszusatz geschützt. Er sichert sie gegen unangemessene Durchsuchungen und Beschlagnahmungen ab. Personen aus anderen Ländern, einschließlich Europa, werden jedoch anders behandelt. Die US-Regierung ermächtigt ihre Behörden durch Gesetze wie den Foreign Intelligence Surveillance Act von 1978 (FISA 702) und die Executive Order 12.333 zur Massenüberwachung von Nicht-Amerikanern.

Jedes Mal, wenn personenbezogene Daten von EU-Bürgern Europa verlassen und in den USA landen, besteht das Risiko, dass die US-Sicherheitsbehörden sie untersuchen. Dies führt zu einem Konflikt zwischen amerikanischem Recht und dem Datenschutz, den Europäern Gesetze wie die DSGVO und die Charta der Grundrechte der Europäischen Union gewähren.

Deswegen regelt ein spezielles Abkommen den Datentransfer zwischen der EU und den USA. Es bescheinigt, dass Informationen über Europäer in den USA genauso sicher sind wie in der EU.

Die Geschichte der vorherigen Versionen des Abkommens – Safe Harbor und Privacy Shield – zeigt jedoch, dass die Rahmenwerke allein nicht ausreichen, um die Daten der Europäer vor Überwachung durch die USA zu schützen.

Wir erläutern kurz die Geschichte der beiden außer Kraft gesetzten Rechtsrahmen, um Ihnen einen besseren Überblick zu verschaffen.

Safe Harbor-Prinzipien zum Datenschutz: Was sie waren und warum sie nicht mehr gelten

Der erste Rechtsrahmen, der den Datentransfer zwischen der EU und den USA regelte, stammte aus dem Jahr 2000. Er hieß International Safe Harbor Privacy Principles (Safe Harbor).

Mit dem Safe Harbor-Abkommen agierten US-Unternehmen basierend auf ihrer „Selbstzertifizierung“ über die Compliance mit europäischen Datenschutzvorschriften. Die Liste der Unternehmen, die sich auf das Abkommen beriefen, war über 5.000 Namen lang. Sie umfasste Unternehmen wie Facebook und Google.

Im Jahr 2013 beschwerte sich Max Schrems, Gründer der Datenschutzorganisation NOYB, bei der irischen Datenschutzkommission (DPC) über die Datenweitergabepraxis von Facebook. Er beschuldigte den Tech-Riesen, personenbezogene Daten von EU-Bürgern zu sammeln und an die USA zu übermitteln. So hatte die National Security Agency Zugriff auf diese Daten. Der Fall wurde dann vor den EuGH gebracht. Die Geschworenen befanden 2015, dass Safe Harbor personenbezogene Daten nicht ausreichend vor Eingriffen der US-Regierung schützt. Das als Schrems I bekannte Urteil hat am 6. Oktober 2015 das Abkommen aufgehoben.

Das Privacy-Shield-Ende und die Folgen für Unternehmen, die Google Analytics nutzen

Der Privacy Shield sollte Probleme mit Safe Harbor beheben. Er trat am 12. Juli 2016 in Kraft, einige Monate nach der Ungültigerklärung von Safe Harbor.

Mit dem neuen Abkommen verschärfte die Europäische Kommission die Ansprüche an das Selbstzertifizierungsprogramm. Der Rahmen brachte aber einige Probleme mit sich.

Max Schrems leitete die Klage erneut an den EuGH weiter. Er argumentierte, dass der Datentransfer aus der EU in die USA, den die Unternehmen wie Facebook vornehmen, auch nach dem neuen Abkommen gegen die Datenschutzrechte der Europäer verstoße. Im Juli 2020 erklärte der Gerichtshof das Privacy-Shield-Rahmenwerk in dem als Schrems II bekannten Urteil für ungültig.

Die DSGVO erlaubt den Einsatz von Vertragsklauseln, die angemessene Datenschutzgarantien gewährleisten, als Grundlage für Datentransfer aus der EU in Drittländer. Dazu gehören auch Mustervertragsklauseln – sogenannte Standardvertragsklauseln (SCC) – die die Europäische Kommission „vorab genehmigt“ hat.

Am 4. Juni 2021 veröffentlichte die Kommission modernisierte Standardvertragsklauseln im Rahmen der DSGVO für den Datentransfer von Organisationen, die der DSGVO unterliegen, an Organisationen, die nicht der DSGVO unterliegen.

Diese modernisierten SCC ersetzen die drei SCC-Sätze, die unter der vorherigen Datenschutzrichtlinie 95/46 angenommen wurden.

Die Folgen von Privacy Shield für Google Analytics-Nutzer

Da es keinen Angemessenheitsbeschluss gab, der diesen Datenfluss regelte, wurde der Transfer von Nutzerinformationen in die USA mit Tools wie Google Analytics riskant. Google stützte schließlich weiterhin auf dieselben SCCs, die es vor dem Scheitern des Abkommens verwendete. Unternehmen, die die Plattform von Google nutzten, riskierten hohe Geldstrafen und Imageschäden.

Unmittelbar nach der Aufhebung des Rahmenwerks reichte NOYB unter der Leitung von Schrems 101 Beschwerden gegen Unternehmen ein, die Besucherdaten über Google Analytics und Facebook Connect sammeln. Dies löste eine Kettenreaktion in Europa aus:

  • Am 12. Januar 2022 veröffentlichte die österreichische DSB ihr Urteil im Fall eines ungenannten deutschen Internetanbieters. Die Aufsichtsbehörde stellte fest, dass der Einsatz von Google Analytics zum Sammeln von Daten über die EU-Bürger gemäß der DSGVO rechtswidrig ist.
  • Im April 2022 wies die CNIL drei französische Websites an, Google Analytics nicht mehr zu verwenden. In den folgenden Monaten veröffentlichten die italienischen, dänischen, norwegischen und schwedischen Datenschutzbehörden ähnliche Stellungnahmen zu Unternehmen aus ihren Regionen.
  • Im Jahr 2020 bildete der Europäische Datenschutzausschuss (EDPB) eine Arbeitsgruppe, die den europäischen Behörden dabei helfen sollte, einen einvernehmlichen Ansatz für Beschwerden zu finden. Infolgedessen folgten alle Urteile der EU-Behörden denselben Leitlinien und sprachen sich gegen den Einsatz von Google Analytics in Europa aus.
  • Die niederländische Datenschutzbehörde AP, die ein Handbuch zur datenschutzkonformen Nutzung von Google Analytics verfasst hat, erklärte, dass der Einsatz von Google Analytics „nicht zulässig ist“. Die liechtensteinische Datenschutzstelle veröffentlichte eine ähnliche Stellungnahme wie die AP.
  • Die österreichische Datenschutzbehörde hat eine zweite Entscheidung veröffentlicht, in der sie erklärt, dass die IP-Anonymisierung von GA eine unzureichende Schutzmaßnahme für Datenübermittlungen aus der EU in die USA darstellt.
  • Im Anschluss an ihren früheren Bescheid gab die französische CNIL überarbeitete Leitlinien für den Einsatz von Google Analytics heraus. In den FAQ heißt es, dass in der EU ansässige Organisationen das Tool nicht ohne zusätzliche Schutzmaßnahmen verwenden dürfen. Die französische Behörde erklärte auch, dass ihre Ansicht zu Google Analytics eine koordinierte Position aller europäischen Datenschutzbehörden ist.

In der Zwischenzeit entwickelten die Europäische Kommission und das Büro von US-Präsident Joe Biden einen neuen Rahmen, um den Datentransfer zwischen Europa und den Vereinigten Staaten wieder zu legalisieren.

EU-US-Datenschutzrahmen: Ist Google Analytics damit DSGVO-konform?

Am 10. Juli 2023 verabschiedete die Europäische Kommission einen neuen EU-US-Datenschutzrahmen, bekannt als Privacy Shield 2.0. Das Abkommen geht auf einige Bedenken ein, die durch Schrems II entstanden. Es schränkt den Spielraum der US-Spionagebehörden ein und führt neue Bedingungen für die Erhebung von personenbezogenen Daten ein.

US-Unternehmen können dem Programm beitreten, indem sie sich selbst zertifizieren. Sie sichern dabei zu, dass sie eine Reihe von Datenschutzpflichten einhalten werden. Google LLC schloss sich bereits dem Data Privacy Framework Program an.

Das beduetet, dass US-Unternehmen, die sich selbst zertifizieren lassen und die Regeln der DSGVO befolgen, vorerst wieder Google Analytics verwenden dürfen, um Daten über die EU-Bürger zu sammeln. Sie müssen jedoch beachten, dass das Abkommen das Datenproblem zwischen der EU und den USA möglicherweise nicht löst. Datenschützer weisen bereits auf auffällige Ähnlichkeiten zwischen dem neuen und dem vorherigen Datenschutzrahmen.

Probleme mit dem EU-US-Datenschutzrahmen

Der Europäische Datenschutzausschuss (EDPB) und das Europäische Parlament (EP) kritisieren, dass das Abkommen nicht weit genug geht, um das grundlegende Problem der Massenerfassung von Daten durch die US-Strafverfolgungsbehörden zu lösen. Das EP forderte die Europäische Kommission sogar auf, den Datenschutzrahmen neu zu verhandeln oder es vor dem EuGH anzufechten:

[Das Europäische Parlament] fordert die Kommission auf, im Interesse der Unternehmen und Bürger in der EU zu handeln und sicherzustellen, dass der vorgeschlagene Rahmen eine solide, ausreichende und zukunftsorientierte Rechtsgrundlage für Datenübermittlungen zwischen der EU und den USA bietet; erwartet, dass jeder Angemessenheitsbeschluss, sollte er angenommen werden, erneut vor dem EuGH angefochten wird; hebt hervor, dass die Kommission – sollte der Angemessenheitsbeschluss vom EuGH erneut für ungültig erklärt werden – die Verantwortung dafür trägt, dass die Rechte der EU-Bürger nicht geschützt werden.

Die Datenschutz-Aktivisten von NOYB weist ebenfalls auf die kritischen Punkte des Rahmens hin, darunter die folgenden:

Keine wesentlichen Änderungen an FISA 702 und EO 12.333

Laut NOYB liegt das Hauptproblem mit dem Abkommen darin, dass die USA ihre Überwachungsgesetze nicht abgeschwächt haben, obwohl der EuGH sie als „unverhältnismäßig“ eingestuft hat. Der Datenschutzrahmen erlaubt es den US-Geheimdiensten immer noch, die Daten von EU-Bürgern zu überwachen. Da das Abkommen bereits in Kraft ist und die europäischen Regulierungsbehörden wenig Einfluss auf die US-Regierung haben, bezweifelt Schrems, dass eine solche Reform jemals stattfinden wird.

Wir hatten jetzt ‘Harbors’, ‘Umbrellas’, ‘Shields’ und ‘Frameworks’ – aber keine substantielle Änderung des US-Überwachungsrechts. Die Presseerklärungen von heute sind fast eine wortwörtliche Kopie derer von vor 23 Jahren. Die bloße Behauptung, etwas sei ‚neu‘, ‚robust‘ oder ‚wirksam‘, reicht vor dem Gerichtshof nicht aus. Wir brauchten eine Änderung des US-Überwachungsrechts, und die gibt es nicht. – fasst Schrems zusammen.

Unbefriedigende Beschwerdemöglichkeiten für EU-Bürger

NOYB kritisiert auch den Umfang der Rechtsbehelfsoptionen für die EU-Bürger und die Geheimhaltung des Entscheidungsprozesses. Die Organisation führt folgende Probleme an:

  • Die Institutionen: Data Protection Review Court (DPRC) und Civil Liberties Protection Officer sind nur teilweise unabhängig von der US-Regierung. Sie ähneln dem Konzept der Ombudsperson, das durch den Privacy Shield eingeführt wurde. Das ist besonders wichtig, weil der Ombudsmann-Mechanismus einer der Gründe war, warum der EuGH den vorherigen Rahmen für ungültig erklärte. In dem Urteil ist zu lesen: Schließlich sei, da die Ombudsperson des Datenschutzschilds kein Gericht im Sinne von Art. 47 der Charta sei, davon auszugehen, dass das amerikanische Recht den Unionsbürgern kein Schutzniveau gewährleiste, das dem Niveau, das durch das in diesem Artikel niedergelegte Grundrecht garantiert werde, der Sache nach gleichwertig sei.
  • Die Einzelperson wird keinen direkten Kontakt mit dem Gericht haben, das ihre Beschwerden überprüfen wird. Stattdessen wird ihre örtliche Datenschutzbehörde das Verfahren in ihrem Namen einleiten und ein ernannter Sonderbeauftragte wird es dann überwachen.
  • Die Begründung jeder Entscheidung wird geheim gehalten und ist für den Beschwerdeführer nicht zugänglich. Dies steht im direkten Widerspruch zu den Standards des EU-Rechtssystems.

In Anbetracht der hitzigen Debatte um den neuen Rahmen ist zu erwarten, dass in den nächsten Monaten neue Beschwerden auftauchen werden. NOYB kündigte bereits seine nächsten Schritte an:

Wir haben bereits verschiedene juristische Optionen in der Schublade […]. Wir gehen derzeit davon aus, dass die Sache Anfang nächsten Jahres wieder vor dem Europäischen Gerichtshof landen wird. Der Gerichtshof könnte dann sogar das neue Abkommen während des Verfahrens aussetzen, sagt Schrems.

Der französische Abgeordnete Philippe Latombe teilte ebenfalls seine Pläne mit, den EU-US-Datenschutzrahmen vor dem EuGH anzufechten:

Der aus diesen Verhandlungen resultierende Text verstößt gegen die Charta der Grundrechte der Union und die Datenschutz-Grundverordnung (DSGVO), da die Achtung des Privat- und Familienlebens bei der Massenerfassung personenbezogener Daten nicht ausreichend gewährleistet ist, erklärt Latombe.

Google Analytics und die DSGVO: weitere ungelöste Probleme

Der transatlantische Transfer personenbezogener Daten war das dringlichste Problem bei Google Analytics in Bezug auf die DSGVO. Es ist aber nicht das einzige Dilemma. Die norwegische Datenschutzbehörde Datatilsynet weist in einer Stellungnahme unmittelbar nach der Einführung des neuen Rahmens darauf hin:

Was bisher ein großes Problem mit Google Analytics war, scheint nun gelöst zu sein. Dennoch schließen wir nicht aus, dass es noch weitere Datenschutzprobleme mit dem Tool geben kann. Wer sich dafür entscheidet, ein Analysetool auf seiner Website zu verwenden, ist auch dafür verantwortlich, dass sein Einsatz mit den Datenschutzvorschriften übereinstimmt. Der Transfer personenbezogener Daten in Länder außerhalb des EWR ist nur ein Element, das geprüft werden muss.

Unternehmen, die Daten über Google Analytics sammeln möchten, müssen dennoch sorgfältig prüfen, wie sich dies auf ihre Compliance auswirkt. Im Folgenden führen wir einige Faktoren auf, die zu beachten sind.

Google verwendet Besucherdaten für eigene Zwecke

Google verwendet Daten aus Google Analytics, um seine Dienste zu verbessern. Wie Sie in den Datenschutzbestimmungen und -bedingungen von Google nachlesen können:

Die durch Websites und Apps übermittelten Informationen verwenden wir zur Bereitstellung, Betreuung und Verbesserung unserer bestehenden Dienste, zur Entwicklung neuer Dienste, zur Messung der Effektivität bestimmter Werbung, zum Schutz vor Betrug und Missbrauch sowie zur Personalisierung von Inhalten und Werbeanzeigen, die Sie sowohl bei Google als auch auf unseren Partner-Websites und ‑apps sehen.

Wenn Sie den Google Analytics-Code auf Ihrer Website einsetzen und die Datenfreigabe aktivieren, entdecken die Werbetreibenden in Google Ads die Vorlieben Ihrer Besucher, die auf den konsumierten Inhalten basieren. Dies wiederum ermöglicht es Google, diese Nutzer gezielt mit Werbung anzusprechen.

Für jede Organisation, die einen umfassenden Datenschutz benötigt, ist dies alarmierend. Die datenschutzfreundlichste Option ist, die Datenweitergabe zu deaktivieren. Dabei verlieren Sie aber den Zugriff auf viele Funktionen, einschließlich personalisiertem Retargeting von Google Ads-Produkten und demografischen Datenberichten.

Google Analytics bietet kein zuverlässiges Einwilligungs-Framework

Wie wir bereits erwähnt haben, erfasst Google Analytics standardmäßig eindeutige Nutzer IDs. Die Verwendung solcher identifizierbarer Daten erfordert die Einwilligung des Nutzers. Das bringt uns zum letzten Thema – dem Verwalten von Besuchereinwilligungen und Datenschutzanfragen mit Google Analytics.

Google versuchte zunächst, die Aufgabe den Verlegern und Google Analytics-Nutzern zu übertragen. Sie mussten eine Drittanbieter-Plattform für das Einwilligungsmanagement implementieren oder einen eigenen Weg finden, um die Anforderungen des EU-Rechts zu erfüllen.

Eine Vereinbarung zwischen Google und dem IAB Europe signalisierte jedoch einen Wandel in ihrem Ansatz.

Allerdings ist die Integration sehr begrenzt, was die Art der Einwilligung betrifft. Sie gilt nur für die Datenerhebung in Bezug auf die Werbefunktionen von Google Analytics.

Hinzu kommt, dass einige europäische Länder das IAB Transparency & Consent Framework (TCF) als rechtswidrig ansehen. Im November 2021 entschied die belgische Datenschutzbehörde, dass das TCF gegen die DSGVO verstößt. Das TCF speichert die Präferenzen der Nutzer in Form eines eindeutigen Transparency and Consent (TC) String, der mit einer Person verknüpft werden kann.

Nach Ansicht der belgischen DSB schafft es keine gültige Rechtsgrundlage für die Verarbeitung der Daten. Außerdem stellt IAB den Nutzern keine Informationen bereit, die notwendig sind, um zu verstehen, wie die Organisation die gesammelten Daten verwendet.

Im März 2022 legte IAB Europe vor dem belgischen Marktgericht Berufung gegen die Entscheidung ein. Wir warten immer noch auf das endgültige Urteil in diesem Fall.

Google-Einwilligungsmodus

Die zweite von Google vorgeschlagene Option ist der Einwilligungsmodus. Es ist die Antwort von Google auf den Datenverlust, der sich aus den Einwilligungsvorgaben der DSGVO und anderer Datenschutzgesetze ergibt.

Der Einwilligungsmodus ist eine Funktion, die mit Ihrer Third-Party- oder benutzerdefinierten Consent Management Platform (CMP) interagiert. Diese API bestimmt, wie sich die Tags und Skripte von Google auf Websites entsprechend den Einwilligungseinstellungen des Nutzers verhalten. Es gibt zwei neue Tag-Einstellungen, mit denen Werbetreibende Cookies für Analyse- und Werbezwecke verwalten können: analytics_storage und ad_storage.

Einwilligungsmodus aktualisiert

Im November 2023 aktualisierte Google den Einwilligungsmodus. Die neue Version der API soll die Privatsphäre der Nutzer und ihre Einwilligungsbeschlüsse besser respektieren. 

Der neue Einwilligungsmodus führt zwei neue Parameter ein. Der Erste – ad_user_data – bestimmt, ob der Nutzer sein Einverständnis für die Werbezwecke von Google gibt. Der Zweite – ad_personalization – steuert, ob Daten für personalisierte Werbung verwendet werden können. Wenn diese beiden neuen Parameter nicht „gewährt“ werden, wird es nicht möglich sein, spezifische Zielgruppen zu erstellen und personalisierte Werbung auf Google Ads in der EWR-Region zu schalten.

Derzeit funktioniert GA4 auch ohne den Einwilligungsmodus gut. Wenn Sie jedoch GA4-Daten für Werbezielgruppen über die Integration von GA4 und Google Ads verwenden, sind entsprechende Einwilligungssignale erforderlich. Die Änderungen im Einwilligungsmodus betreffen Anzeigen und Zielgruppen, wie Zielgruppenaufbau und Remarketing.

Der neue Einwilligungsmodus läuft über eine Consent Management Platform (CMP). Er erhält also Signale darüber, ob ein Nutzer über das Banner seine Einwilligung gegeben hat oder nicht. Um den aktualisierten Einwilligungsmodus zu verwenden, benötigen Sie eine von Google zertifizierte CMP. Um die Qualität Ihrer Zielgruppen und Messwerte in Google Ads sicherzustellen, müssen Sie den neuen Einwilligungsmodus vor März 2024 implementieren.

Einfacher und erweiterter Einwilligungsmodus

Es gibt zwei Wege, um den Einwilligungsmodus zu implementieren:

  • Der einfache Einwilligungsmodus verhindert das Auslösen von Tags ohne entsprechende Einwilligung. Infolgedessen werden keine Informationen für Analyse- oder Werbezwecke erfasst. Diese Option ermöglicht dennoch eine gewisse Conversion-Modellierung in Google Ads.
  • Beim erweiterten Einwilligungsmodus werden cookielose Pings an Google gesendet, auch wenn es keine Einwilligung gibt. Dies ermöglicht die Verhaltensmodellierung und Nutzerdaten werden trotz fehlender Einwilligung gesammelt.

Obwohl die cookielosen Pings im erweiterten Einwilligungsmodus „anonym“ sein sollen, werfen sie immer noch Datenschutzbedenken auf. Erstens sammelt die Plattform weiterhin Nutzerdaten ohne die Einwilligung des Nutzers. Der an Google gesendete Treffer enthält nach wie vor die IP-Adresse des Nutzers und möglicherweise andere eindeutige Identifikatoren, wie Geräteinformationen, user_id oder transaction_id. Da die Erfassung dieser Informationen nicht unbedingt notwendig ist und personenbezogene Daten beinhaltet, können Sie dies nur mit der Einwilligung der Besucher tun.

Wenn ein Besucher ausdrücklich erklärt, dass er nicht getrackt werden oder seine Daten nicht verarbeiten lassen will (über das hinaus, was für das Funktionieren der Website/App “unbedingt erforderlich” ist), und Sie als Datenverarbeiter diesen Wunsch ignorieren und die Daten des Besuchers weiterhin erfassen und verarbeiten, haben Sie gerade vorsätzlich gegen die Regeln der DSGVO und der ePrivacy-Richtlinie verstoßen. Wahrscheinlich haben Sie sogar gegen alle Datenschutzgesetze verstoßen, unabhängig von der Gerichtsbarkeit.

Brian Clifton, Ph.D., Experte für Datenschutz und Datenanalytik

Die Compliance-Risiken beim Einsatz des einfachen Einwilligungsmodus deutlich geringer. Wenden Sie sich an Ihr Rechtsteam, um zu prüfen, unter welche Vorschriften Sie fallen und welche spezifischen Daten Sie erfassen, bevor Sie einen dieser Modi anwenden.

FAQ: Google Analytics und die DSGVO

Erfasst Google Analytics personenbezogene Daten?

Ja, das tut es. In seinen Datenverarbeitungsbedingungen verbietet Google Analytics den Nutzern die Erfassung aller Arten von personenbezogenen Daten, mit Ausnahme derjenigen, die in der Datenbank gespeichert sind:

Online-Kennzeichnungen (einschließlich Cookie-Kennungen), Internet-Protokoll-Adressen und Gerätekennungen, vom Kunden vergebene Kennzeichnungen

Ferner anonymisiert GA bestimmte Daten über Besucher, einschließlich IP-Adressen. Es verwendet jedoch weiterhin Identifikatoren, die als personenbezogene Daten gelten. Laut dem österreichischen DBS betrifft die IP-Anonymisierung in Google Analytics nur die IP-Adresse als solche. Daten wie Online-Identifikatoren, die über Cookies oder Gerätedaten gesetzt werden, überträgt Google im Klartext. Die IP-Anonymisierung findet erst nach dem Transfer der Daten an Google statt.

Das bedeutet, dass die mit Google Analytics gesammelten Daten der DSGVO unterliegen.

Hat Google Analytics 4 die gleichen Probleme mit der DSGVO-Compliance wie Universal Analytics?

Die kurze Antwort lautet: Ja. Trotz der aktualisierten Datenschutzeinstellungen sammelt Google Analytics 4 immer noch personenbezogene Daten (eindeutige Nutzer-IDs) und verarbeitet sie außerhalb der EU. Und schließlich ist Google Analytics 4 immer noch ein Produkt, das Google entwickelt und wartet. Und Google ist ein US-Unternehmen, das den US-Datenüberwachungsgesetzen wie FISA und EO 12.333 unterliegt.

Kann ich Google Analytics durch Datenverschlüsselung und Pseudonymisierung datenschutzfreundlicher gestalten?

Nach Ansicht einiger Datenschutzbehörden, darunter Datatilsynet und CNIL, könnten zusätzliche Datenschutzmaßnahmen einige Datenschutzprobleme mit GA lösen. Sie implementieren die Plattform rechtmäßig, wenn Sie:

  • Sicherstellen, dass Google Analytics Skripte nur nach Einwilligung des Nutzers ausführt.
  • Analytics serverseitig einrichten und EU-basierte und -eigene Server einsetzen.
  • Alle persönlichen Identifikatoren beseitigen (wie Nutzer IDs, IPs, User-Agents, Cross-Side-Identifikatoren, Referrer-URL, vollständige Seiten-URL, einschließlich Daten in UTM-Tags und benutzerdefinierten Dimensionen, die persönliche Daten enthalten können), bevor Sie Daten in die USA senden.

Dieses System ist teuer und schwer zu pflegen. Ferner schränkt es Ihren Spielraum in Analytics drastisch ein. Sie werden nicht in der Lage sein:

  • Die Leistung von Marketingkanälen zu messen – Sie wissen nicht, welche Websites, Kanäle oder Kampagnen Umsatz bringen. Sie verlieren eine Grundlage, dank der Sie Ihr Budget optimieren können.
  • Die Customer Journey und Trichter auf der Website zu tracken – zum Beispiel, wo der Kunde den Kaufvorgang abbricht. Es gibt also keine Daten darüber, wie Sie die Conversions vor Ort optimieren.
  • Geolokalisierung durchzuführen – Sie wissen nicht, woher Ihre Besucher/Conversions kommen (die Informationen werden von der IP-Adresse abgeleitet).

Wenn diese Konfiguration in Ihrem Fall nicht möglich oder nicht durchführbar ist, sollten Sie Google Analytics durch eine Software ersetzen, die den EU-Datenschutzstandards entspricht.

Behebt das serverseitige Tracking die Compliance-Probleme von GA?

Der Einsatz eines Proxy-Servers ermöglicht Ihnen eine bessere Kontrolle über die Daten, die Sie an Google senden. Sie können unter anderem die eindeutigen Nutzer IDs löschen, bevor sie in die US-Rechenzentren gelangen und Gegenstand von Überwachungsgesetzen werden.

Allerdings ist die Pflege dieser Konfiguration mit erheblichen Kosten verbunden. Ferner ist GA ohne eindeutige Nutzer IDs nicht in der Lage, Events mit Sitzungen zu verbinden. Dies macht es unmöglich, die Customer Journey und Trichter attributierte Conversions zu analysieren.

In Anbetracht dieser Nachteile erwägen Sie den Einsatz von einer datenschutzfreundlichen Analytics-Plattform, die keine derartigen Opfer erfordert.

Welche Einstellungen zur DSGVO-Compliance stellt Google Analytics bereit?

Die Liste der GA-Einstellungen, die Ihnen bei der DSGVO-Compliance helfen sollen, umfasst Folgendes:

Datenlöschungsmechanismus – In Google Analytics können Sie Informationen über Besucher löschen, wenn diese es wünschen. Allerdings betrifft diese Funktion nur ganze Kategorien von Daten. Die Liste umfasst alle Seitentitel, Ereignisbezeichnungen, -kategorien, und -aktionen, benutzerdefinierte Dimensionen oder Nutzer-IDs, die Sie in einem bestimmten Zeitraum erfasst haben. Um Daten basierend auf einem Cookie oder einer Nutzer-ID zu löschen, müssen Sie die Google Analytics User Deletion API verwenden, was einige Programmierkenntnisse erfordert.

Neue Einstellungen für die Datenspeicherung – Damit können Sie steuern, wie lange die Nutzerdaten gespeichert werden, bevor sie automatisch gelöscht werden. In Google Analytics 4 können Sie zwischen 2 und 14 Monaten wählen.

Neue Datenschutzrichtlinie – Google hat auch neue DSGVO-Klauseln im Standardvertrag, in denen es sich als „Datenverarbeiter“ für Analytics und Analytics 360 definiert.

Aktualisierte Datenverarbeitungsbedingungen – Google änderte sie erheblich. Sie gelten auch als ein Data Processing Agreement (DPA). Das neue Dokument listet Ihre Pflichten auf, wie z. B. die Informierung und Einholung einer gültigen Einwilligung europäischer Einwohner.

Datenschutzeinstellungen – Dazu gehören Cookies, Datenfreigabe, Datenschutzkontrollen, Datenlöschung bei Kontokündigung und IP-Anonymisierung.

Standardmäßig keine Datenweitergabe an Dritte – Einige Funktionen von Google Analytics 4, die die Weitergabe von Daten an das Google-Ökosystem erfordern, sind jetzt standardmäßig deaktiviert. Dazu gehören z. B. Signale – Sitzungsdaten von Websites und Apps über angemeldete Nutzer, die für personalisierte Werbung und Remarketing verwendet werden.

Google-Einwilligungsmodus – Google Analytics verfügt jetzt über einen speziellen Einwilligungsmodus, der es Ihnen ermöglicht, KI-basierte Conversion-Modelle zu verwenden, wenn Besucher die Einwilligung zum Tracking verweigern.

Google Analytics und die DSGVO: Wie man sich auf jedes Szenario vorbereitet

Unternehmen, die befürchten, dass die neuen Beschwerden zu Schrems III führen werden, oder die mit dem Ansatz von Google Analytics zum Schutz der Privatsphäre der Nutzer unzufrieden sind, sollten zukunftssichere Optionen für die Datenerfassung nach der DSGVO in Betracht ziehen.

Da Urteile wie Schrems II rückwirkend gelten und keine Schonfrist enthalten, ist es sinnvoll, sich auf jedes Szenario vorzubereiten, bevor das potenzielle Urteil in die Schlagzeilen gerät.

Hier sind einige der Optionen:

  • Übertragungsbeschränkungen/-ausschlüsse und Datenanonymisierung. Big-Tech-Software basiert in hohem Maße auf Nutzeridentifizierung und Datentransfer. Sie lösen dieses Problem, indem Sie die Übertragungen begrenzen oder personenbezogene Informationen aus den Daten entfernen, aber das hat seinen Preis. Wenn Sie etwa Google Analytics so konfigurieren, dass es die DSGVO-Standards erfüllt (z. B. gemäß den französischen CNIL-Richtlinien), verliert es die meisten seiner Funktionen.
  • Upgrade des Technologie-Stacks mit EU-Alternativen. Schrems II hat den Markt für EU-Unternehmen geöffnet, die Geschäfts- und Marketingsoftware mit lokalem EU-Hosting anbieten. Diese Alternativen ermöglichen es Unternehmen, sich von der Tortur des transatlantischen Datentransfers völlig unabhängig zu machen.
  • Die weniger datenschutzfreundliche Option besteht darin, eine Analytics Plattform mit weniger Datenschutzfunktionen zu wählen und das Compliance-Risiko durch zusätzliche Sicherheitsmaßnahmen zu mindern. Die Daten werden jedoch immer noch an Server in den USA oder im Besitz von US-Unternehmen gesendet, wo US-Überwachungsgesetze gelten.

Wenn Sie mehr darüber erfahren möchten, wie die Piwik PRO Analytics Suite Sie bei der DSGVO-Compliance unterstützt, nehmen Sie Kontakt mit uns auf. Wir werden Ihre Fragen gerne beantworten.