Zurück zum Blog

Google Analytics Alternative: 100 % weniger Abmahnungen – 70 % mehr Daten

Analytics Datenschutz DSGVO

Geschrieben von

Veröffentlicht October 6, 2020 Aktualisiert October 10, 2020

Google Analytics Alternative: 100 % weniger Abmahnungen – 70 % mehr Daten

Inhaltsverzeichnis

  1. Google Analytics wälzt die Verantwortung auf Sie ab
  2. Der richtige Weg Verantwortung zu übernehmen
    1. Besitzen Sie Ihre Daten komplett
    2. Sammeln Sie Consents
    3. Sammeln Sie bis zu 70 % mehr Daten
  3. Datenschutzbehörden erhöhen Druck auf Google Analytics User
  4. Einfacher Wechsel auf eine Google Analytics Alternative
  5. Fazit

Google Analytics fällt als “electronic communication service provider” unter das 702 FISA Gesetz (50 USC § 1881a). Indem Sie das Programm nutzen, werden Ihre gesammelten, personenbezogenen Daten in die USA gesendet. Dadurch werden sie möglicher Gegenstand zur Untersuchung und Beobachtung durch US-amerikanische Kontrollorgane. 

Da der Privacy Shield am 16 Juli 2020 aufgehoben wurde, ist das Nutzen der Plattform zwar nicht unrechtens, aber der Transfer persönlicher Daten in die Vereinigten Staaten schon. In Folge dessen, rieseln Abmahnungen ein. Darunter fallen auch Unternehmen aus Deutschland, Österreich und der Schweiz, die Google Analytics oder Facebook Connect nutzen.

Max Schrems, Ehrenvorsitzender von nyob, kommentiert: “Der EuGH hat ausdrücklich erklärt, dass man die Standardvertragsklauseln nicht verwenden kann, wenn der Empfänger in den USA unter diese Überwachungsgesetze fällt. Es scheint, dass US-Unternehmen immer noch versuchen, ihre EU-Kunden vom Gegenteil zu überzeugen. Das ist mehr als unlauter Wettbewerb.” 

Google Analytics überschreibt seinen Kunden die Verantwortung Daten zu sichern und zur Übertragung in die USA vorzubereiten. Was das genau heißt und wie Sie sich gegen Abmahnungen und zusätzliche Kosten wehren können finden Sie in diesem Artikel.

Google Analytics wälzt die Verantwortung auf Sie ab

Google nutzt alle Daten aus Google Analytics um seine Services zu verbessern und Bedürfnisse Ihrer Kunden zu erkennen. Klingt eigentlich ganz logisch, da Sie GA doch aus dem gleichen Grund nutzen. 

Nur gibt Google Analytics Ihnen keine Kontrolle über den Speicherort personenbezogener Daten und transferiert diese in die USA. Die dortigen Behörden berufen sich auf den USA Patriot Act und USA Freedom Act, die ihnen ermöglichen diese Daten einzusehen. Dies verstößt aber gegen die europäische DSGVO und muss unterbunden werden. 

Als datenverarbeitende Partei, sind Sie gemäß der DSGVO dazu verpflichtet den Transfer von personenbezogenen Daten in die USA zu unterbinden. Sollten Sie dem nicht nachkommen, ist es die Pflicht der Datenschutzbehörde des jeweiligen Landes dagegen vorzugehen. 

Da Google Analytics die Verantwortung der Verschlüsselung auf Ihr Unternehmen überträgt, heißt es für Sie:

  • IP-Adressen anonymisieren
  • Andere Identifikatoren mit dem minimum der Hashing-Anforderung von SHA256 zu verschlüsseln

Nur reicht die alleinige Verhashung laut DSGVO nicht aus. Gehashte Daten werden trotzdem als personenbezogene Daten angesehen. Sie benötigen einen aktiven und geltenden User-Consent zum Sammeln und Verarbeiten der Daten. Google Analytics bietet keinen Mechanismus an, der dies für Sie übernimmt.

Natürlich könnten Sie argumentieren, dass Sie ein Produkt nutzen und keinen Einfluss auf dessen Politik im Umgang mit Daten haben. Wenn Sie aber in eine der für Österreich beschriebenen Beschwerden hineinschauen, wird schnell klar, dass dieses Argument keinen Bestand hat:

Gemäß den Nutzungsbedingungen für Google Analytics ist Google LCC, 1600 Amphitheatre Parkway Mountain View, CA 94043, USA („Google”) der Vertragspartner des Verantwortlichen. Gemäß Punkt 5.1.1(b) der Auftragsdatenverarbeitungsbedingungen für Google Werbeprodukte […] verarbeitet Google personenbezogene Daten im Auftrag des Verantwortlichen und ist daher als Auftragsverarbeiter des Verantwortlichen gemäß Artikel 4(8) DSGVO zu qualifizieren.” [Quelle]

Der richtige Weg Verantwortung zu übernehmen

Es gibt Mittel und Wege die Verantwortung des Datenschutzes zu übernehmen. Dazu ist es wichtig folgendes zu beachten:

Besitzen Sie Ihre Daten komplett

Am einfachsten unterbinden Sie den Datentransfer in die USA, wenn Sie genau wissen wo sich Ihre Daten befinden. Speichern Sie Ihre gesammelten Daten zum Beispiel in Deutschland ab. Somit werden diese nicht von amerikanischen Behörden eingesehen. 

Mit Piwik PRO haben Sie folgendes zur Auswahl, um Daten in Ihrem Besitz zu behalten:

  • Cloud – Speichern Sie Ihre gesammelten Daten auf einer Cloud ab, die sich in Europa (Niederlande, Deutschland) befindet.
  • Private Cloud – Sollten Sie mehr Sicherheit benötigen, dann ist eine Private Cloud gewiß eine Option für Sie. Wählen Sie den Standort aus den Azure und AWS Private Cloud Regionen selbst aus. 
  • On-Premises – Diese Option wird von Unternehmen gewählt, die mit hoch sensiblen Daten umgehen. Meistens sind das Unternehmen, die im Finanzwesen oder Gesundheitswesen tätig sind.

Sammeln Sie Consents

Um persönliche Daten verarbeiten zu dürfen, benötigen Sie eine Einwilligung der betroffenen Person. Zusätzlich ist es notwendig Ihren Kunden die Möglichkeit zu garantieren den Consent zurückziehen zu dürfen. 

Eine DSGVO-konforme Google Analytics Alternative beinhaltet einen integrierten Consent Manager, die die Verordnung respektiert. Somit tracken Sie keine personenbezogenen Daten ohne ausdrücklicher Einwilligung.

Piwik PRO Consent-Banner mit Opt-In Verfahren auf der Piwik PRO Homepage

Opt-In-Tracking
Mit dem Opt-In-Tracking erhalten Sie 100 % der Daten Ihrer User. Kunden entscheiden sich freiwillig dafür, dass Sie ihre Daten sammeln und verarbeiten dürfen. User bewilligen Ihnen somit:

  • First-Party Cookies für einen Zeitraum von 13 Monaten zu setzen.
  • Die Fingerprint-Erkennung zu aktivieren.
  • Die Geolocation anhand der IP-Adresse ihrer User zu erlauben.
  • Personenbezogene Daten in Form von Online-Identifikatoren in einer Datenbank zu speichern.
Opt-In Verfahren bei Piwik PRO

DSGVO-konformes Tracken bringt aber auch seine Tücken mit sich. Die typische Opt-In Rate liegt bei 30 % – 50 %. Das heißt aber nicht, dass Sie auf die restlichen Daten verzichten müssen.

Sammeln Sie bis zu 70 % mehr Daten

Die meisten Kunden erteilen ihr Einverständnis zur Sammlung und Verarbeitung ihrer Daten nicht. Trotzdem ist es möglich die restlichen 50 % – 70 % der Daten zu erhalten. Diese sind zwar nicht so vollständig wie personenbezogene Daten, bieten aber eine sehr gute Basis, um die Performance der Website zu kontrollieren und die Customer Journey der User zu verfolgen. 

Piwik PRO bietet Ihnen dazu zwei Tracking-Methoden an. In beiden Fällen werden keine Informationen über den Besucher gesammelt, außer die Einwilligung dazu wurde gegeben:

Anonymous Tracking Zero-Identity Tracking
Unikale Besucher
Wiederkehrende Besucher
Sessions
Durchschn. Zeit der Session
Seiten per Session
Bounce Rate
Page Views
Conversions
Durchschn. Zeit auf der Seite
Geolocation
Information über Geräte
Browser-Information
Traffic-Quellen
Einstiegsseiten
Ausstiegsseiten
User Flow
Funnel

Anonymes Tracking
Das anonyme Tracking kann in den Einstellungen der Piwik PRO Analytics Suite eingeschaltet werden. Es tritt in Kraft, sobald ein Besucher den Consent Banner ignoriert, oder die Aufforderung zur Datenverarbeitung ablehnt. 

Das bedeutet:

  • Die Fingerprint Erkennung wird deaktiviert.
  • Die Geolocation basiert auf anonymisierten IP-Adressen, oder ist deaktiviert.
  • Ein Session Cookie wird gesetzt, der nach 30 Minuten seine Lebenszeit verliert.
  • Personalisierte Daten werden nicht in der Datenbank gespeichert.
  • Besucher erscheinen als einmalige Besucher.
Anonymes Tracking bei Piwik PRO

Diese Methode ermöglicht Ihnen das Tracken von Sessions und Events, ohne die Privatsphäre Ihrer Kunden zu verletzen. Sie erhalten Informationen, wie Ihre Seite performt und von wo Ihre Besucher kommen (Organische Suche, Werbekampagne, etc.). In den meisten Fällen können Sie die Aktionen sogar einem einzelnen nicht wiederkehrendem Besucher zuordnen.

Zero-Identity-Tracking
Im Gegensatz zum anonymen Tracking bleibt das Zero-Identity-Tracking in Piwik PRO eingeschaltet. Diese Daten sind keinen Sessionen und Personen zugeordnet. Das heißt:

  • Die Fingerprint Erkennung ist deaktiviert.
  • Die Geolocation basiert auf anonymisierten IP-Adressen, oder ist deaktiviert.
  • Die Session- oder Besuchererkennung ist deaktiviert.
  • Es werden keine Daten des Besuchers gespeichert und keine Sessionen aufgezeichnet.
Zero-Identity Tracking bei Piwik PRO

Die Daten werden aber in den Event-Statistiken angezeigt. Da keine Besucher und Sessionen aufgezeichnet werden, werden folgende Daten nicht getrackt:

  • Die Zeit auf der Website
  • Bounce rate
  • User Flows und Funnels
  • Kanal-Attribution
Whitepaper
Whitepaper

4 Schritte-Guide für Analysten und Marketer zur Datenschutz-Compliance

Lesen Sie, welche Art von Daten Sie für Analytics und Marketing sammeln dürfen und wie Sie Bewilligungen datenschutzkonform einholen.

Datenschutzbehörden erhöhen Druck auf Google Analytics User

Google Analytics bietet Ihnen keine Tools zur datenschutzkonformen Datenverarbeitung an. Das heißt, dass nach dem Sturz des Privacy Shields die ganze Verantwortung bei Ihrer Organisation liegt, sich an die europäischen Gesetze zu halten. Sie müssen sicherstellen, dass keine personenbezogenen Daten an die USA weitergegeben werden. 

Datenschutzbehörden selbst beginnen langsam nach Verstößen zu suchen, um den Datentransfer in die USA zu unterbinden. Sollte Ihre Organisation eine Abmahnung erhalten, steht Ihnen ein kurzer Hieb auf Ihre Finger oder sogar eine Geldbuße von bis zu EUR 20 Mio bevor. Die Höhe der Strafe wird anhand verschiedener Faktoren bestimmt. Darunter fallen zum Beispiel:

  • Art, Schwere und Dauer des Verstoßes
  • Zahl der von der Verarbeitung betroffenen Personen und deren erlittener Schaden
  • Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes.

Natürlich werden auch Maßnahmen zur Schadensminderung miteinbezogen. Nur müssen diese Ihrerseits bewiesen werden. Sollten Sie GA nutzen, müssen Sie sicherstellen, dass Sie einerseits Consents von Ihren Besuchern erhalten, andererseits den Datentransfer eigenhändig unterbinden. 

Wäre es da nicht profitabler eine einheitliche Plattform zu wählen, die Ihnen die nötigen Tools und mehr zur Verfügung stellt.

Einfacher Wechsel auf eine Google Analytics Alternative

Der Wechsel auf eine andere Plattform zieht natürlich einige Tücken mit sich und muss gut überlegt werden. Daher ist es notwendig, dass Sie alle Risiken abwägen und den besten Ausweg für Ihr Unternehmen wählen.

Bei Piwik PRO zum Beispiel ist es möglich alle Ihre Tags, die Sie über eine Zeit hinweg in Google Analytics erstellt haben, zu übertragen. Die Migration selbst muss manuell durchgeführt werden. Der Schweregrad wird durch die Anzahl und Komplexität Ihrer Tags bestimmt. Aber genau dazu hat Piwik PRO ein dediziertes Team an Spezialisten, die Ihnen genau dabei helfen können und die Migration für Sie durchführen.

Fazit

Google Analytics bietet Ihnen keine Tools an, um sich vor Abmahnungen zu schützen und gleichzeitig Daten über Ihre Kunden zu erhalten. Die Verantwortung des Datenschutzes wird einfach auf die Nutzer abgewälzt. Sie müssen somit mehrere Hürden überwinden und zusätzliche Kosten mit einrechnen, um nur einen Bruchteil der Daten zu erhalten.

Mit einem integrierten Consent Manager, unikalen und DSGVO-konformen Tracking Methoden, sowie einem Team, dass Sie bei jeder Herausforderung berät und tatkräftig zu Seite steht, nimmt Piwik PRO ein großes Stück der Verantwortung von Ihren Schultern und bietet Ihnen einen Mehrwert an Daten. 

Sollten Sie Fragen zu diesem Thema haben, stehen wir Ihnen gerne zur Verfügung. Am besten Sie schauen sich das Produkt selbst live bei einer Demo an.

Autor

Sebastian Synowiec

Content Marketing Specialist

Content Marketer Sebastian, verbindet bei Piwik PRO User Experience, Webanalyse und Datenschutz mit der Kunst der leichten Feder. Als erfahrener Texter bringt er jeder Zielgruppe auch komplexe Zusammenhänge und neue Entwicklungen näher. LinkedIn Profil

Mehr von diesem Autor lesen