Zurück zum Blog

Ist Google Analytics (3 und 4) DSGVO-konform? [Update]

, ,

Geschrieben von Beata Moryl, Karolina Lubowicka

Veröffentlicht Februar 17, 2025

Google Analytics ist das beliebteste Analysetool auf dem Markt. Es ist kostenlos und lässt Sie wertvolle Daten über das Nutzerverhalten sammeln und den Website-Traffic analysieren.

Gleichzeitig ist die Art und Weise, wie Google Analytics Daten sammelt und verarbeitet, für datenschutzbewusste Unternehmen und Aufsichtsbehörden ein Problem.

Die Datenschutzbehörden aus Österreich, Frankreich, Italien, Norwegen und Schweden haben kürzlich entschieden, dass der Einsatz des Tools nach der DSGVO illegal ist. Mehrere europäische Datenschutzbehörden, darunter die französische CNIL, schwedische IMY und belgische APD, belegten auch die Muttergesellschaft von Google Analytics, Google LLC, mit Geldbußen in Millionenhöhe.

Der im Jahr 2023 eingeführte EU-US-Datenschutzrahmen löst die rechtlichen Probleme mit dem Datentransfer durch Google Analytics. Viele Datenschutzexperten bezweifeln jedoch, dass der Rahmen ausreichenden Schutz für die EU-Bürger bietet. Sie haben auch Zweifel daran, ob er einer Klage vor dem Gerichtshof der Europäischen Union (EuGH) standhalten würde.
Außerdem gibt es viele weitere Gründe, die für einen Wechsel von Google Analytics sprechen und Ihre Datenerfassung datenschutzfreundlicher, zukunftssicherer und effektiver machen.

Lesen Sie weiter, um mehr über die Datenschutzprobleme mit Google Analytics zu erfahren. Wir erklären auch, was das für Unternehmen bedeutet, die Daten von EU-Bürgern verarbeiten.

Google Analytics, die DSGVO und der EU-US-Datenschutzrahmen

Das Hauptproblem mit der Datenschutz-Compliance bei Google Analytics: Es speichert Nutzerdaten, einschließlich personenbezogener Daten der EU-Bürger, auf in den USA befindlichen Cloud-Servern. Google LLC ist außerdem ein US-amerikanisches Unternehmen. Das bedeutet, dass die von ihm gesammelten Daten den US-Überwachungsgesetzen unterliegen.

Amerikanische Bürger sind durch den vierten Verfassungszusatz geschützt. Er sichert sie gegen unangemessene Durchsuchungen und Beschlagnahmungen ab. Personen aus anderen Ländern, einschließlich Europa, werden jedoch anders behandelt. Die US-Regierung ermächtigt ihre Behörden durch Gesetze wie den Foreign Intelligence Surveillance Act von 1978 (FISA 702) und die Executive Order 12.333 zur Massenüberwachung von Nicht-Amerikanern.

Jedes Mal, wenn personenbezogene Daten von EU-Bürgern Europa verlassen und in den USA landen, besteht das Risiko, dass die US-Sicherheitsbehörden sie untersuchen. Dies führt zu einem Konflikt zwischen amerikanischem Recht und dem Datenschutz, den Europäern Gesetze wie die DSGVO und die Charta der Grundrechte der Europäischen Union gewähren.

Deswegen regelt ein spezielles Abkommen den Datentransfer zwischen der EU und den USA. Es bescheinigt, dass Informationen über Europäer in den USA genauso sicher sind wie in der EU.

Die Geschichte der vorherigen Versionen des Abkommens – Safe Harbor und Privacy Shield – zeigt jedoch, dass die Rahmenwerke allein nicht ausreichen, um die Daten der Europäer vor Überwachung durch die USA zu schützen.

Wir erläutern kurz die Geschichte der beiden außer Kraft gesetzten Rechtsrahmen, um Ihnen einen besseren Überblick zu verschaffen.

Safe Harbor-Prinzipien zum Datenschutz: Was sie waren und warum sie nicht mehr gelten

Der erste Rechtsrahmen, der den Datentransfer zwischen der EU und den USA regelte, stammte aus dem Jahr 2000. Er hieß International Safe Harbor Privacy Principles (Safe Harbor).

Mit dem Safe Harbor-Abkommen agierten US-Unternehmen basierend auf ihrer „Selbstzertifizierung“ über die Compliance mit europäischen Datenschutzvorschriften. Die Liste der Unternehmen, die sich auf das Abkommen beriefen, war über 5.000 Namen lang. Sie umfasste Unternehmen wie Facebook und Google.

Im Jahr 2013 beschwerte sich Max Schrems, Gründer der Datenschutzorganisation NOYB, bei der irischen Datenschutzkommission (DPC) über die Datenweitergabepraxis von Facebook. Er beschuldigte den Tech-Riesen, personenbezogene Daten von EU-Bürgern zu sammeln und an die USA zu übermitteln. So hatte die National Security Agency Zugriff auf diese Daten. Der Fall wurde dann vor den EuGH gebracht. Die Geschworenen befanden 2015, dass Safe Harbor personenbezogene Daten nicht ausreichend vor Eingriffen der US-Regierung schützt. Das als Schrems I bekannte Urteil hat am 6. Oktober 2015 das Abkommen aufgehoben.

Lesen Sie auch dazu: Das EU-US Data Privacy Framework (Privacy Shield 2.0): Wie wirkt sich der neue Datenschutzrahmen auf Ihr Unternehmen aus

Das Privacy-Shield-Ende und die Folgen für Unternehmen, die Google Analytics nutzen

Der Privacy Shield sollte Probleme mit Safe Harbor beheben. Er trat am 12. Juli 2016 in Kraft, einige Monate nach der Ungültigerklärung von Safe Harbor.

Mit dem neuen Abkommen verschärfte die Europäische Kommission die Ansprüche an das Selbstzertifizierungsprogramm. Der Rahmen brachte aber einige Probleme mit sich.

Max Schrems leitete die Klage erneut an den EuGH weiter. Er argumentierte, dass der Datentransfer aus der EU in die USA, den die Unternehmen wie Facebook vornehmen, auch nach dem neuen Abkommen gegen die Datenschutzrechte der Europäer verstoße. Im Juli 2020 erklärte der Gerichtshof das Privacy-Shield-Rahmenwerk in dem als Schrems II bekannten Urteil für ungültig.

Die DSGVO erlaubt den Einsatz von Vertragsklauseln, die angemessene Datenschutzgarantien gewährleisten, als Grundlage für den Datentransfer aus der EU in Drittländer. Dazu gehören auch Mustervertragsklauseln – sogenannte Standardvertragsklauseln (SCC) – die die Europäische Kommission „vorab genehmigt“ hat.

Am 4. Juni 2021 veröffentlichte die Kommission modernisierte Standardvertragsklauseln im Rahmen der DSGVO für den Datentransfer von Organisationen, die der DSGVO unterliegen, an Organisationen, die nicht der DSGVO unterliegen.

Diese modernisierten SCC ersetzen die drei SCC-Sätze, die unter der vorherigen Datenschutzrichtlinie 95/46 angenommen wurden.

Lesen Sie auch dazu: Der Status des EU-US Datentransfers nach Privacy Shield

Die Folgen von Privacy Shield für Google Analytics-Nutzer

Da es keinen Angemessenheitsbeschluss gab, der diesen Datenfluss regelte, wurde der Transfer von Nutzerinformationen in die USA mit Tools wie Google Analytics riskant. Google stützte schließlich weiterhin auf dieselben SCCs, die es vor dem Scheitern des Abkommens verwendete. Unternehmen, die die Plattform von Google nutzten, riskierten hohe Geldstrafen und Imageschäden.

Unmittelbar nach der Aufhebung des Rahmenwerks reichte NOYB unter der Leitung von Schrems 101 Beschwerden gegen Unternehmen ein, die Besucherdaten über Google Analytics und Facebook Connect sammeln. Dies löste eine Kettenreaktion in Europa aus:

  • Am 12. Januar 2022 veröffentlichte die österreichische DSB ihr Urteil im Fall eines ungenannten deutschen Internetanbieters. Die Aufsichtsbehörde stellte fest, dass der Einsatz von Google Analytics zum Sammeln von Daten über die EU-Bürger gemäß der DSGVO rechtswidrig ist.
  • Im April 2022 wies die CNIL drei französische Websites an, Google Analytics nicht mehr zu verwenden. In den folgenden Monaten veröffentlichten die italienischen, dänischen, norwegischen und schwedischen Datenschutzbehörden ähnliche Stellungnahmen zu Unternehmen aus ihren Regionen.
  • Im Jahr 2020 bildete der Europäische Datenschutzausschuss (EDPB) eine Arbeitsgruppe, die den europäischen Behörden dabei helfen sollte, einen einvernehmlichen Ansatz für Beschwerden zu finden. Infolgedessen folgten alle Urteile der EU-Behörden denselben Leitlinien und sprachen sich gegen den Einsatz von Google Analytics in Europa aus.
  • Die niederländische Datenschutzbehörde AP, die ein Handbuch zur datenschutzkonformen Nutzung von Google Analytics verfasst hat, erklärte, dass der Einsatz von Google Analytics „nicht zulässig ist“. Die liechtensteinische Datenschutzstelle veröffentlichte eine ähnliche Stellungnahme wie die AP.
  • Die österreichische Datenschutzbehörde hat eine zweite Entscheidung veröffentlicht, in der sie erklärt, dass die IP-Anonymisierung von GA eine unzureichende Schutzmaßnahme für Datenübermittlungen aus der EU in die USA darstellt.
  • Im Anschluss an ihren früheren Bescheid gab die französische CNIL überarbeitete Leitlinien für den Einsatz von Google Analytics heraus. In den FAQ heißt es, dass in der EU ansässige Organisationen das Tool nicht ohne zusätzliche Schutzmaßnahmen verwenden dürfen. Die französische Behörde erklärte auch, dass ihre Ansicht zu Google Analytics eine koordinierte Position aller europäischen Datenschutzbehörden ist.

In der Zwischenzeit entwickelten die Europäische Kommission und das Büro von US-Präsident Joe Biden einen neuen Rahmen, um den Datentransfer zwischen Europa und den Vereinigten Staaten wieder zu legalisieren.

EU-US-Datenschutzrahmen: Ist Google Analytics damit DSGVO-konform?

Am 10. Juli 2023 verabschiedete die Europäische Kommission einen neuen EU-US-Datenschutzrahmen, bekannt als Privacy Shield 2.0. Das Abkommen geht auf einige Bedenken ein, die durch Schrems II entstanden. Es schränkt den Spielraum der US-Spionagebehörden ein und führt neue Bedingungen für die Erhebung von personenbezogenen Daten ein.

US-Unternehmen können dem Programm beitreten, indem sie sich selbst zertifizieren. Sie sichern dabei, dass sie eine Reihe von Datenschutzpflichten einhalten werden. Google LLC schloss sich bereits dem Data Privacy Framework Program an.

Das bedeutet, dass US-Unternehmen, die sich selbst zertifizieren lassen und die Regeln der DSGVO befolgen, vorerst wieder Google Analytics verwenden dürfen, um Daten über die EU-Bürger zu sammeln. Sie müssen jedoch beachten, dass das Abkommen das Datenproblem zwischen der EU und den USA möglicherweise nicht löst. Datenschützer weisen bereits auf auffällige Ähnlichkeiten zwischen dem neuen und dem vorherigen Datenschutzrahmen.

Probleme mit dem EU-US-Datenschutzrahmen

Der Europäische Datenschutzausschuss (EDPB) und das Europäische Parlament (EP) kritisierten, dass das Abkommen nicht weit genug geht, um das grundlegende Problem der Massenerfassung von Daten durch die US-Strafverfolgungsbehörden zu lösen. Das EP forderte die Europäische Kommission sogar auf, den Datenschutzrahmen neu zu verhandeln oder es vor dem EuGH anzufechten.

Die Datenschutz-Aktivisten von NOYB wiesen ebenfalls auf die kritischen Punkte des Rahmens hin, darunter die folgenden:

  • Der Datenschutzrahmen erlaubt es den US-Geheimdiensten immer noch, die Daten von EU-Bürgern zu überwachen.
  • Der Spielraum für Rechtsbehelfe für EU-Bürger ist zu eng und der Entscheidungsprozess bleibt geheim.

Trotz der Ankündigung, dass der Fall Anfang 2024 erneut vor dem Europäischen Gerichtshof landen wird, hat NYOB beschlossen, nicht erneut vor Gericht zu gehen.

Die Situation änderte sich jedoch mit dem Amtsantritt von Donald Trump als US-Präsident im Januar 2025. In einer seiner ersten Executive Orders legte Trump fest, dass alle nationalen Sicherheitsentscheidungen von Biden (einschließlich der relevanten Entscheidungen, auf denen die EU-US-Transfers beruhen) innerhalb von 45 Tagen überprüft und möglicherweise verworfen werden sollen. Welche Auswirkungen dies für den EU-US-Datenschutzrahmen haben kann, können Sie in der von NYOB erstellten Analyse nachlesen.

Google Analytics und die DSGVO: weitere ungelöste Probleme

Der transatlantische Transfer personenbezogener Daten war das dringlichste Problem bei Google Analytics in Bezug auf die DSGVO. Es ist aber nicht das einzige Dilemma. Die norwegische Datenschutzbehörde Datatilsynet wies in einer Stellungnahme unmittelbar nach der Einführung des neuen Rahmens darauf hin:

Was bisher ein großes Problem mit Google Analytics war, scheint nun gelöst zu sein. Dennoch schließen wir nicht aus, dass es noch weitere Datenschutzprobleme mit dem Tool geben kann. Wer sich dafür entscheidet, ein Analysetool auf seiner Website zu verwenden, ist auch dafür verantwortlich, dass sein Einsatz mit den Datenschutzvorschriften übereinstimmt. Der Transfer personenbezogener Daten in Länder außerhalb des EWR ist nur ein Element, das geprüft werden muss.

Auch die deutschen Behörden hinken in dieser Frage nicht hinterher. So hat die Sächsische Datenschutz- und Transparenzbeauftragte (SDTB) im Jahr 2024 rund 30.000 Webseiten aus Sachsen auf Datenschutzverstöße untersucht. Dazu gehörte auch die Verwendung von Google Analytics. Sachsens Datenschutz- und Transparenzbeauftragte Dr. Juliane Hundert fasste die Aktion wie folgt zusammen:

Tracking-Dienste wie Google Analytics gewähren tiefgehende Einblicke in das Verhalten und die Privatsphäre von Websitebesuchern. Datenschutzrechtlich stehen die Interessen der Betreiberinnen und Betreiber deshalb zurück. Das bedeutet, möchten Verantwortliche Google Analytics nutzen, sind sie verpflichtet, von Nutzerinnen und Nutzern eine Einwilligung einzuholen.

Unternehmen, die Daten über Google Analytics sammeln möchten, müssen daher sorgfältig prüfen, wie sich dies auf ihre Compliance auswirkt. Im Folgenden führen wir einige Faktoren auf, die zu beachten sind.

Google verwendet Besucherdaten für eigene Zwecke

Google verwendet Daten aus Google Analytics, um seine Dienste zu verbessern. Wie Sie in den Datenschutzbestimmungen und -bedingungen von Google nachlesen können:

Die durch Websites und Apps übermittelten Informationen verwenden wir zur Bereitstellung, Betreuung und Verbesserung unserer bestehenden Dienste, zur Entwicklung neuer Dienste, zur Messung der Effektivität bestimmter Werbung, zum Schutz vor Betrug und Missbrauch sowie zur Personalisierung von Inhalten und Werbeanzeigen, die Sie sowohl bei Google als auch auf unseren Partner-Websites und ‑apps sehen.

Wenn Sie den Google Analytics-Code auf Ihrer Website einsetzen und die Datenfreigabe aktivieren, entdecken die Werbetreibenden in Google Ads die Vorlieben Ihrer Besucher, die auf den konsumierten Inhalten basieren. Dies wiederum ermöglicht es Google, diese Nutzer gezielt mit Werbung anzusprechen.

Für jede Organisation, die einen umfassenden Datenschutz benötigt, ist dies alarmierend. Die datenschutzfreundlichste Option ist, die Datenweitergabe zu deaktivieren. Dabei verlieren Sie aber den Zugriff auf viele Funktionen, einschließlich personalisiertem Retargeting von Google Ads-Produkten und demografischen Datenberichten.

Google Analytics bietet kein zuverlässiges Einwilligungs-Framework

Wie wir bereits erwähnt haben, erfasst Google Analytics standardmäßig eindeutige Nutzer IDs. Die Verwendung solcher identifizierbarer Daten erfordert die Einwilligung des Nutzers. Das bringt uns zum letzten Thema – dem Verwalten von Besuchereinwilligungen und Datenschutzanfragen mit Google Analytics.

Google versuchte zunächst, die Aufgabe den Verlegern und Google Analytics-Nutzern zu übertragen. Sie mussten eine Drittanbieter-Plattform für das Einwilligungsmanagement implementieren oder einen eigenen Weg finden, um die Anforderungen des EU-Rechts zu erfüllen.

Eine Vereinbarung zwischen Google und dem IAB Europe signalisierte jedoch einen Wandel in ihrem Ansatz.

Allerdings ist die Integration sehr begrenzt, was die Art der Einwilligung betrifft. Sie gilt nur für die Datenerhebung in Bezug auf die Werbefunktionen von Google Analytics.

Hinzu kommt, dass einige europäische Länder das IAB Transparency & Consent Framework (TCF) als rechtswidrig ansehen. Im November 2021 entschied die belgische Datenschutzbehörde, dass das TCF gegen die DSGVO verstößt. Das TCF speichert die Präferenzen der Nutzer in Form eines eindeutigen Transparency and Consent (TC) String, der mit einer Person verknüpft werden kann.

Nach Ansicht der belgischen DSB schafft es keine gültige Rechtsgrundlage für die Verarbeitung der Daten. Außerdem stellt IAB den Nutzern keine Informationen bereit, die notwendig sind, um zu verstehen, wie die Organisation die gesammelten Daten verwendet.

Das IAB Europe hat dagegen Berufung eingelegt. Im März 2024 stimmte der Europäische Gerichtshof der belgischen Datenschutzbehörde zu. Er betrachtete TC-Strings als personenbezogene Daten im Sinne der DSGVO. Der Grund dafür ist, dass sie nutzeridentifizierbare Daten enthalten. Die Entscheidung des EuGH stellt nicht das Ende des Verfahrens dar. Es wird bei den zuständigen Behörden in Belgien fortgesetzt.

Google Consent Mode

Die zweite von Google vorgeschlagene Option ist der Einwilligungsmodus. Es ist die Antwort von Google auf den Datenverlust, der sich aus den Einwilligungsvorgaben der DSGVO und anderer Datenschutzgesetze ergibt.

Der Google Consent Mode ist eine Funktion, die mit Ihrer Third-Party- oder benutzerdefinierten Consent Management Platform (CMP) interagiert. Diese API bestimmt, wie sich die Tags und Skripte von Google auf Websites entsprechend den Consent-Einstellungen des Nutzers verhalten. Es gibt zwei Tag-Einstellungen, mit denen Werbetreibende Cookies für Analyse- und Werbezwecke verwalten können: analytics_storage und ad_storage.

Google Consent Mode v2

Im November 2023 hat Google ein Update des Google Consent Modes herausgebracht, das ab dem 6. März 2024 obligatorisch ist. Die neue Version der API sollte die Privatsphäre der Nutzer und ihre Einwilligungsbeschlüsse besser respektieren. 

Google Consent Mode v2 führte zwei neue Parameter ein. Der Erste – ad_user_data – bestimmt, ob der Nutzer sein Einverständnis für die Werbezwecke von Google gibt. Der Zweite – ad_personalization – steuert, ob Daten für personalisierte Werbung verwendet werden können. Wenn diese Parameter nicht „gewährt“ werden, ist es nicht möglich, spezifische Zielgruppen zu erstellen und personalisierte Werbung auf Google Ads in der EWR-Region zu schalten.

Derzeit funktioniert GA4 auch ohne den Einwilligungsmodus gut. Wenn Sie jedoch GA4-Daten für Werbezielgruppen über die Integration von GA4 und Google Ads verwenden, sind entsprechende Einwilligungssignale erforderlich. Die Änderungen im Einwilligungsmodus betreffen Anzeigen und Zielgruppen, wie Zielgruppenaufbau und Remarketing.

Der neue Einwilligungsmodus läuft über eine Consent Management Platform (CMP). Er erhält also Signale darüber, ob ein Nutzer über das Banner seine Einwilligung gegeben hat oder nicht. Sie benötigen eine von Google zertifizierte CMP, um den Google Consent Mode v2 zu verwenden.

Einfacher und erweiterter Einwilligungsmodus

Es gibt zwei Wege, um den Google Consent Mode zu implementieren:

  • Der einfache Einwilligungsmodus (Basic Mode) verhindert das Auslösen von Tags ohne entsprechende Einwilligung. Infolgedessen werden keine Informationen für Analyse- oder Werbezwecke erfasst. Diese Option ermöglicht dennoch eine gewisse Conversion-Modellierung in Google Ads.
  • Beim erweiterten Einwilligungsmodus (Advanced Mode) werden cookielose Pings an Google gesendet, auch wenn es keine Einwilligung gibt. Dies ermöglicht die Verhaltensmodellierung und Nutzerdaten werden trotz fehlender Einwilligung gesammelt.

Obwohl die cookielosen Pings im erweiterten Einwilligungsmodus „anonym“ sein sollen, werfen sie immer noch Datenschutzbedenken auf. Erstens sammelt die Plattform weiterhin Nutzerdaten ohne die Einwilligung des Nutzers. Der an Google gesendete Treffer enthält nach wie vor die IP-Adresse des Nutzers und möglicherweise andere eindeutige Identifikatoren, wie Geräteinformationen, user_id oder transaction_id. Da die Erfassung dieser Informationen nicht unbedingt notwendig ist und personenbezogene Daten beinhaltet, können Sie dies nur mit der Einwilligung der Besucher tun.

25 Abs. 1 TDDDG verlangt auch die ausdrückliche Einwilligung zum Auslesen von Informationen auf den Endgeräten der Nutzer, unabhängig von deren Personenbezug. Die Übermittlung von Pings mit User-Agent-Informationen ist in diesem Sinne ein Vorgang, der der Einwilligung bedarf.

Wenn ein Besucher ausdrücklich erklärt, dass er nicht getrackt werden oder seine Daten nicht verarbeiten lassen will (über das hinaus, was für das Funktionieren der Website/App „unbedingt erforderlich“ ist), und Sie als Datenverarbeiter diesen Wunsch ignorieren und die Daten des Besuchers weiterhin erfassen und verarbeiten, haben Sie gerade vorsätzlich gegen die Regeln der DSGVO und der ePrivacy-Richtlinie verstoßen. Wahrscheinlich haben Sie sogar gegen alle Datenschutzgesetze verstoßen, unabhängig von der Gerichtsbarkeit.

Brian Clifton, Ph.D., Experte für Datenschutz und Datenanalytik

Letztlich sind die Compliance-Risiken beim Einsatz von Basic Mode deutlich geringer. Wenden Sie sich an Ihr Rechtsteam, um zu prüfen, unter welche Vorschriften Sie fallen und welche spezifischen Daten Sie erfassen, bevor Sie einen dieser Modi anwenden.

Lesen Sie auch dazu:

FAQ: Google Analytics und die DSGVO

Erfasst Google Analytics personenbezogene Daten?

Ja, das tut es. In seinen Datenverarbeitungsbedingungen verbietet Google Analytics den Nutzern die Erfassung aller Arten von personenbezogenen Daten, mit Ausnahme derjenigen, die in der Datenbank gespeichert sind:

Online-Kennzeichnungen (einschließlich Cookie-Kennungen), Internet-Protokoll-Adressen und Gerätekennungen, vom Kunden vergebene Kennzeichnungen

Ferner anonymisiert GA bestimmte Daten über Besucher, einschließlich IP-Adressen. Es verwendet jedoch weiterhin Identifikatoren, die als personenbezogene Daten gelten. Laut dem österreichischen DBS betrifft die IP-Anonymisierung in Google Analytics nur die IP-Adresse als solche. Daten wie Online-Identifikatoren, die über Cookies oder Gerätedaten gesetzt werden, überträgt Google im Klartext. Die IP-Anonymisierung findet erst nach dem Transfer der Daten an Google statt.

Das bedeutet, dass die mit Google Analytics gesammelten Daten der DSGVO unterliegen.

Hat Google Analytics 4 die gleichen Probleme mit der DSGVO-Compliance wie Universal Analytics?

Die kurze Antwort lautet: Ja. Trotz der aktualisierten Datenschutzeinstellungen sammelt Google Analytics 4 immer noch personenbezogene Daten (eindeutige Nutzer-IDs) und verarbeitet sie außerhalb der EU. Und schließlich ist Google Analytics 4 immer noch ein Produkt, das Google entwickelt und wartet. Und Google ist ein US-Unternehmen, das den US-Datenüberwachungsgesetzen wie FISA und EO 12.333 unterliegt.

Kann ich Google Analytics durch Datenverschlüsselung und Pseudonymisierung datenschutzfreundlicher gestalten?

Nach Ansicht einiger Datenschutzbehörden, darunter Datatilsynet und CNIL, könnten zusätzliche Datenschutzmaßnahmen einige Datenschutzprobleme mit GA lösen. Sie implementieren die Plattform rechtmäßig, wenn Sie:

  • Sicherstellen, dass Google Analytics Skripte nur nach Einwilligung des Nutzers ausführt.
  • Analytics serverseitig einrichten und EU-basierte und -eigene Server einsetzen.
  • Alle persönlichen Identifikatoren beseitigen (wie Nutzer IDs, IPs, User-Agents, Cross-Side-Identifikatoren, Referrer-URL, vollständige Seiten-URL, einschließlich Daten in UTM-Tags und benutzerdefinierten Dimensionen, die persönliche Daten enthalten können), bevor Sie Daten in die USA senden.

Dieses System ist teuer und schwer zu pflegen. Ferner schränkt es Ihren Spielraum in Analytics drastisch ein. Sie werden nicht in der Lage sein:

  • Die Leistung von Marketingkanälen zu messen – Sie wissen nicht, welche Websites, Kanäle oder Kampagnen Umsatz bringen. Sie verlieren eine Grundlage, dank der Sie Ihr Budget optimieren können.
  • Die Customer Journey und Trichter auf der Website zu tracken – zum Beispiel, wo der Kunde den Kaufvorgang abbricht. Es gibt also keine Daten darüber, wie Sie die Conversions vor Ort optimieren.
  • Geolokalisierung durchzuführen – Sie wissen nicht, woher Ihre Besucher/Conversions kommen (die Informationen werden von der IP-Adresse abgeleitet).

Wenn diese Konfiguration in Ihrem Fall nicht möglich oder nicht durchführbar ist, sollten Sie Google Analytics durch eine Software ersetzen, die den EU-Datenschutzstandards entspricht.

Behebt das serverseitige Tracking die Compliance-Probleme von GA?

Der Einsatz eines Proxy-Servers ermöglicht Ihnen eine bessere Kontrolle über die Daten, die Sie an Google senden. Sie können unter anderem die eindeutigen Nutzer IDs löschen, bevor sie in die US-Rechenzentren gelangen und Gegenstand von Überwachungsgesetzen werden.

Allerdings ist die Pflege dieser Konfiguration mit erheblichen Kosten verbunden. Ferner ist GA ohne eindeutige Nutzer IDs nicht in der Lage, Events mit Sitzungen zu verbinden. Dies macht es unmöglich, die Customer Journey und Trichter attributierte Conversions zu analysieren.

In Anbetracht dieser Nachteile erwägen Sie den Einsatz von einer datenschutzfreundlichen Analytics-Plattform, die keine derartigen Opfer erfordert.

Lesen Sie mehr dazu: Server Side Tracking mit First-Party-Collector einfach erklärt

Welche Einstellungen zur DSGVO-Compliance stellt Google Analytics bereit?

Die Liste der GA-Einstellungen, die Ihnen bei der DSGVO-Compliance helfen sollen, umfasst Folgendes:

Datenlöschungsmechanismus – In Google Analytics können Sie Informationen über Besucher löschen, wenn diese es wünschen. Allerdings betrifft diese Funktion nur ganze Kategorien von Daten. Die Liste umfasst alle Seitentitel, Ereignisbezeichnungen, -kategorien und -aktionen, benutzerdefinierte Dimensionen oder Nutzer-IDs, die Sie in einem bestimmten Zeitraum erfasst haben. Um Daten basierend auf einem Cookie oder einer Nutzer-ID zu löschen, müssen Sie die Google Analytics User Deletion API verwenden, was einige Programmierkenntnisse erfordert.

Neue Einstellungen für die Datenspeicherung – Damit können Sie steuern, wie lange die Nutzerdaten gespeichert werden, bevor sie automatisch gelöscht werden. In Google Analytics 4 können Sie zwischen 2 und 14 Monaten wählen.

Neue Datenschutzrichtlinie – Google hat auch neue DSGVO-Klauseln im Standardvertrag, in denen es sich als „Datenverarbeiter“ für Analytics und Analytics 360 definiert.

Aktualisierte Datenverarbeitungsbedingungen – Google änderte sie erheblich. Sie gelten auch als ein Data Processing Agreement (DPA). Das neue Dokument listet Ihre Pflichten auf, wie z. B. die Informierung und Einholung einer gültigen Einwilligung europäischer Einwohner.

Datenschutzeinstellungen – Dazu gehören Cookies, Datenfreigabe, Datenschutzkontrollen, Datenlöschung bei Kontokündigung und IP-Anonymisierung.

Standardmäßig keine Datenweitergabe an Dritte – Einige Funktionen von Google Analytics 4, die die Weitergabe von Daten an das Google-Ökosystem erfordern, sind jetzt standardmäßig deaktiviert. Dazu gehören z. B. Signale – Sitzungsdaten von Websites und Apps über angemeldete Nutzer, die für personalisierte Werbung und Remarketing verwendet werden.

Google Consent Mode – Google Analytics verfügt über einen speziellen Einwilligungsmodus, der es Ihnen ermöglicht, KI-basierte Conversion-Modelle zu verwenden, wenn Besucher die Einwilligung zum Tracking verweigern.

Google Analytics und die DSGVO: Wie man sich auf jedes Szenario vorbereitet

Unternehmen, die befürchten, dass die neuen Beschwerden zu Schrems III führen werden, oder die mit dem Ansatz von Google Analytics zum Schutz der Privatsphäre der Nutzer unzufrieden sind, sollten zukunftssichere Optionen für die Datenerfassung nach der DSGVO in Betracht ziehen.

Da Urteile wie Schrems II rückwirkend gelten und keine Schonfrist enthalten, ist es sinnvoll, sich auf jedes Szenario vorzubereiten, bevor das potenzielle Urteil in die Schlagzeilen gerät.

Hier sind einige der Optionen:

  • Übertragungsbeschränkungen/-ausschlüsse und Datenanonymisierung. Big-Tech-Software basiert in hohem Maße auf Nutzeridentifizierung und Datentransfer. Sie lösen dieses Problem, indem Sie die Übertragungen begrenzen oder personenbezogene Informationen aus den Daten entfernen, aber das hat seinen Preis. Wenn Sie etwa Google Analytics so konfigurieren, dass es die DSGVO-Standards erfüllt (z. B. gemäß den französischen CNIL-Richtlinien), verliert es die meisten seiner Funktionen.
  • Upgrade des Technologie-Stacks mit EU-Alternativen. Schrems II hat den Markt für EU-Unternehmen geöffnet, die Geschäfts- und Marketingsoftware mit lokalem EU-Hosting anbieten. Diese Alternativen ermöglichen es Unternehmen, sich von den Komplikationen des transatlantischen Datentransfers vollkommen unabhängig zu machen.
  • Die weniger datenschutzfreundliche Option besteht darin, eine Analytics Plattform mit weniger Datenschutzfunktionen zu wählen und das Compliance-Risiko durch zusätzliche Sicherheitsmaßnahmen zu mindern. Die Daten werden jedoch immer noch an Server in den USA oder im Besitz von US-Unternehmen gesendet, wo US-Überwachungsgesetze gelten.

Mehr über Google Analytics-Alternativen finden Sie in unseren Produktvergleichen:

Wenn Sie mehr darüber erfahren möchten, wie die Piwik PRO Analytics Suite Sie bei der DSGVO-Compliance unterstützt, nehmen Sie Kontakt mit uns auf. Wir werden Ihre Fragen gerne beantworten.

Individuelle Piwik PRO Demo
Kostenlose Core Instanz

Beata Moryl

Translator and Content Marketer

Beata Moryl ist ein Profi mit 20 Jahren freiberuflicher Erfahrung im Übersetzen und Verfassen von Inhalten. Sie verfügt außerdem über einen soliden betriebswirtschaftlichen Hintergrund und Erfahrung als Managerin in den Bereichen Kundenservice, Produktmanagement und Geschäftsentwicklung. Beata übersetzte fast 20 wirtschaftsbezogene Bücher (zu den Themen Marketing, Soft Skills, Coaching, HR und Kundenservice) für etablierte Verlage wie den Verlag C.H. Beck. Bei Piwik PRO spezialisiert sie sich auf die rechtlichen Aspekte der Webanalyse, den Datenschutz und die Optimierung von Geschäftsergebnissen mithilfe moderner IT-Tools. LinkedIn Profil

Karolina Lubowicka

Senior Content Marketer and Social Media Specialist

Karolina ist Content Marketer und Social Media Managerin bei Piwik PRO. Sie bringt viel Erfahrung als Copywriter mit sich und versteht es dem Leser komplexe Themen des Datenschutzes & der DSGVO verständlich näherzubringen.