Zurück zum Blog

Ist Google Analytics DSGVO-konform? 10 Dinge die zu beachten sind!

Analytics DSGVO Sicherheit

Geschrieben von ,

Veröffentlicht December 11, 2020

Ist Google Analytics DSGVO-konform? 10 Dinge die zu beachten sind!

Google Analytics (GA) ist bei Weitem die populärste Analytics Plattform auf dem Markt. Sie ist kostenlos und lässt Sie Website Traffic analysieren und wertvolle Daten über Userverhalten sammeln.

Die Datenerhebung erfordert aber auch konformes Handeln unter den Datenschutzbestimmungen, wie die DSGVO.

In den letzten Jahren haben wir Berichte über fragwürdige Datenschutzpraktiken durch Google aufgeschnappt. Darunter fallen:

Einige davon führten zu rechtlichen Konfrontationen, die auf der DSGVO basierten. Bisher haben viele Organisationen Google verklagt. Die Liste beinhaltet:

  • Die CNIL aus Frankreich
  • Die NYOB aus Österreich
  • Die Panoptykon Foundation in Polen
  • Die irische Datenschutzkommission (DPC) 
  • Die europäische Konsumentenorganisation (BEUC)

Für Konsumenten und Unternehmen, die die Privatsphäre Ihrer Kunden wertschätzen, ist dies alarmierend. Jetzt stellt sich die Frage: “Ist Google Analytics DSGVO-konform?” Die Antwort beschränkt sich hierbei nicht auf ein einfaches Ja oder Nein. Im Folgenden sind 10 Faktoren angeführt, die bei der Bewertung der DSGVO-Konformität von Google Analytics berücksichtigt werden sollten.

Google Analytics & DSGVO-Konformität: 5 wichtige Produktänderungen

Lassen Sie uns zunächst die positiven Änderungen in Google Analytics ansprechen, die versuchen die Standards der DSGVO zu erfüllen.

Wenn Sie Google Analytics verwenden, ist Google Ihr Datenprozessor oder Datenverarbeiter. Das ist eine wichtige Rolle unter der DSGVO. Hier erfahren Sie mehr über die Aufgaben eines Data Processor.

Da Google Daten von Menschen auf der ganzen Welt verarbeitet, musste es Maßnahmen ergreifen, um die Standards der DSGVO einzuhalten. Die Liste der neuen Funktionen und Optimierungen enthält:

1) Mechanismus der Datenlöschung

In Google Analytics können Sie jetzt Informationen über Besucher löschen, wenn diese das anfordern. Sie sollten sich jedoch bewusst sein, dass der Mechanismus einige schwerwiegende Einschränkungen aufweist.

Standardmäßig sind Sie nicht in der Lage Datensätze eines einzelnen Besuchers zu löschen. Stattdessen können Sie alle Seitentitel, Event-Bezeichnungen, Event-Kategorien, Event-Aktionen, benutzerdefinierte Dimensionen oder Benutzer-IDs löschen, die Sie in einem bestimmten Zeitraum gesammelt haben:

Eine Anforderung zum Löschen von Daten in Google Analytics

Um Daten mittels eines bestimmten Cookies oder einer bestimmten Benutzer-ID zu löschen, müssen Sie die Analytics User Deletion API verwenden. Jedoch müssen Sie einen Code editieren, um diese Funktion in Ihren Account zu integrieren.

2) Einstellungen zur Datenaufbewahrung

Google hat auch Einstellungen für die Datenaufbewahrung eingeführt. Auf diese Weise können Sie steuern, wie lange einzelne Benutzerdaten gespeichert werden sollen, bevor sie automatisch gelöscht werden:

Nachricht zu den Einstellungen der Datenaufbewahrung in Google Analytics

Die Standardeinstellung beträgt 26 Monate.

3) Neue Datenschutzrichtlinie

Google hat außerdem neue DSGVO-Bestimmungen in den Standardvertrag aufgenommen, in denen es sich in Bezug auf Analytics und Analytics 360 als „Data Processor“ definiert. In dessen Help Center gibt Google Folgendes an:

Google Analytics und Google Analytics for Firebase bleiben Verarbeiter für Analytics-Daten, die unter dieser Einstellung nicht freigegeben und verwendet werden.

Wenn Sie jedoch die Einstellungen für die Datenfreigabe in Ihrem Google Analytics-Konto aktivieren, um die Daten für Google Ads freizugeben, wird Google zu einem offenen Data Controller:

Wenn Google Analytics-Kunden die Datenfreigabeeinstellung für “Google-Produkte und -Dienste” (Google Analytics) aktivieren und die “Datenschutzbestimmungen für Controller – Messcontroller” (welche die EU-Richtlinie zur Zustimmung der Nutzer enthalten) akzeptieren, ist Google für DSGVO-Zwecke ein Controller der Daten, die unter dieser Einstellung freigegeben und verwendet werden.

Vergleich
Vergleich

Piwik PRO vs. Google Analytics

Eine praktische Übersicht zu allen Unterschieden. Vergleichen Sie beide Anbieter und finden Sie die passende Software.

4) Aktualisierte Datenverarbeitungsbedingungen

Google hat wesentliche Änderungen an den Bedingungen der Datenverarbeitung vorgenommen. Diese Bedingungen dienen auch als Datenverarbeitungsvereinbarung  (Data Processing Agreement (DPA)) – eines der wichtigsten Dokumente, die Sie mit jedem Unternehmen unterzeichnen sollten, dem Sie Zugriff auf die persönlichen Daten Ihrer Besucher gewähren.

Das neue Dokument listet Ihre Verantwortung, z. B. auf das Informieren und Einholen einer gültigen Einwilligung von in Europa ansässigen Personen.

Randnotiz

Die Aktualisierung der Datenverarbeitungsrichtlinie, um den Verpflichtungen aus der DSGVO gerecht zu werden, ist ein großer Schritt. Wenn Benutzer jedoch aufgefordert werden, ein Kontrollkästchen zu aktivieren, um auf Dienste zugreifen zu dürfen, müssen Benutzer alles oder nichts auswählen. Das ist eine Verletzung der DSGVO. Max Schrems, ein österreichischer Datenschutzaktivist, ging in seiner ersten Klage gegen Google, die am ersten Tag der Durchsetzung der DSGVO eingereicht wurde, auf dieses Problem ein.

5) Bestehende Tools zur Einhaltung der DSGVO

Google Analytics erinnert seine Nutzer auch an alle Datenschutzeinstellungen, die bereits in ihren Accounts verfügbar sind – das sind Tools und Funktionen wie:

  • Anpassbare Cookie-Einstellungen
  • Einstellungen zur gemeinsamen Nutzung von Daten
  • Datenschutzkontrollen
  • Datenlöschung bei Kontoauflösung
  • IP-Anonymisierung

DSGVO-konform mit Google Analytics: Einige ungelöste Probleme

So weit, so gut. Es gibt aber auch Themen, die Google nicht angesprochen hat, obwohl die DSGVO seit über zwei Jahren als Gesetz besteht.

1) In Google Analytics dürfen Sie die meisten Arten von persönlichen Daten nicht speichern

In seinen Verarbeitungsbedingungen verbietet Google seinen Nutzern, alle Arten von persönlichen Daten zu sammeln, außer:

Online-Kennungen, einschließlich Cookie-Kennungen, Internetprotokolladressen und Gerätekennungen; Client-IDs

Dies könnte für Google nützlich sein, da es einige DSGVO-bezogene Aufgaben von dessen Schultern nimmt. Aus Ihrer Sicht ist dieser Ansatz jedoch überhaupt nicht vorteilhaft. Was ist, wenn Sie mehr personenbezogene Daten verarbeiten und die damit verbundene Verantwortung übernehmen möchten? Beispielsweise möchten Sie CRM-Daten oder E-Mail-Marketing-Statistiken in Ihre Analytics-Instanz hochladen. In diesem Fall müssen Sie zu einer Analyseplattform wechseln, die dies ermöglicht.

2) Sie müssen weiterhin Einwilligungen einholen, auch wenn Sie keine personenbezogenen Daten verarbeiten möchten

Auch wenn Sie keine personenbezogenen Daten verarbeiten, gibt es einen Haken. In Google Analytics wird jeder Nutzer mit einer eindeutigen ID registriert. Dank dieser ID erhalten Sie von Google Analytics einen Einblick, wie viele Personen Ihre Website besuchen und wie viele von ihnen beispielsweise zurückkehren. Diese Online-Kennungen gelten gemäß der DSGVO als personenbezogene Daten.

Möchten Sie mehr über PII und personenbezogene Daten erfahren? Lesen Sie diesen Artikel: Was sind PII, Non-PII und personenbezogene Daten? [UPDATE]

Um zu vermeiden, dass personenbezogene Daten an Google Analytics gesendet werden, empfiehlt Google, eine Mindest-Hashing-Anforderung von SHA256 zu nutzen. Hier finden Sie die Google-Anleitungen, wie Sie das Sammeln von PII vermeiden und IP-Adressen anonymisieren können.

Unter der DSGVO gelten gehashte Daten jedoch weiterhin als personenbezogene Daten. Daher benötigen Sie eine gültige Einwilligung des Besuchers, um sie sammeln und verarbeiten zu dürfen. Dies kann zu ernsthaften Datenverlusten führen, da nur 30-70% der Besucher sich dafür entscheiden ihre persönlichen Daten tracken zu lassen.

Alternativ können Sie zu einem Produkt wechseln, dass es Ihnen ermöglicht personenbezogene Daten und die damit verbundenen Probleme zu vermeiden. 
Der beste Weg dies zu tun, ist, wenn Sie fortschrittliche Methoden der Anonymisierung verwenden. Erfahren Sie, wie Sie nützliche Analysen ohne personenbezogene Daten durchführen können.

Damit gelangen wir zum nächsten Thema – der Verwaltung von Besucher-Consents und Datenanfragen.

Google hat zunächst versucht, die Aufgabe Publishern und Google Analytics-Nutzern zuzuweisen. Eine kürzlich zwischen Google und IAB Europe getroffene Vereinbarung signalisiert jedoch eine Änderung ihres Ansatzes. Das erste Ergebnis der Zusammenarbeit ist Funding Choices. Funding Choices ist eine Consent Management Plattform für große Publisher, die ihr Dateninventar über Google-Produkte monetarisieren.

Obwohl das Tool in den AdManager und AdMob von Google integriert ist, bietet es leider keine Lösungen für den Umgang mit Analysedaten. Dies bedeutet, dass Nutzer, die mit Google Analytics Informationen über Besucher sammeln möchten, noch ihre eigene Art der Bearbeitung von Zustimmungen und Datenanfragen finden müssen.

4) Standardmäßig verwendet Google Besucherdaten für eigene Zwecke

Es gibt auch ein Problem mit dem Dateneigentum. Google verwendet Daten von Google Analytics, um seine Dienste zu verbessern. Die Informationen, die Benutzer auf der Plattform sammeln, werden an Nutzer anderer Google-Produkte weitergegeben, z.B.:

  • Google Ads
  • YouTube
  • Google AdSense

Wie Sie in den Datenschutzbestimmungen und Nutzungsbedingungen von Google lesen können:

Viele Websites und Apps verwenden Google-Dienste, um ihre Inhalte zu verbessern und kostenlos zu halten. Bei der Integration unserer Dienste teilen diese Websites und Apps Informationen mit Google.

Wenn Sie beispielsweise eine Website besuchen, die Werbedienste wie AdSense verwendet, einschließlich Analysetools wie Google Analytics, oder Videoinhalte von YouTube einbetten, sendet Ihr Webbrowser automatisch bestimmte Informationen an Google. Dies umfasst die URL der Seite, die Sie besuchen, und Ihre IP-Adresse. Wir können auch Cookies in Ihrem Browser setzen oder bereits vorhandene Cookies lesen. Apps, die Google-Werbedienste verwenden, teilen auch Informationen mit Google, z. B. den Namen der App und eine eindeutige Kennung für Werbung.

Mit den von Google Analytics-Nutzern bereitgestellten Daten kann Google Nutzerprofile erstellen. Durch das Sammeln von Daten aus mehreren Quellen können Benutzermerkmale wie Geschlecht und Standort ermittelt werden. Später werden die Daten in Reports verfügbar gemacht.

Dank des Google Analytics-Codes auf Ihrer Website, kennen Werbetreibende in Google Ads die Präferenzen Ihrer Besucher anhand des von ihnen konsumierten Inhalts. Dies ermöglicht es wiederum, diese User mit Werbung anzusprechen.

Als Websitebesitzer stimmen Sie dem standardmäßig in den Einstellungen für die Datenfreigabe zu:

Für jede Organisation, die vollständigen Datenschutz benötigt, ist dies alarmierend. Je mehr Instanzen Zugriff auf Ihre Daten haben, desto größer ist die Wahrscheinlichkeit, dass deren Sicherheit gefährdet wird. Die Verwendung von Besucherdaten für all diese Zwecke erfordert ebenfalls einen Consent. Es gibt jedoch keine Möglichkeit, die Datenerfassung von der Zustimmung des Besuchers abhängig zu machen.

Aus diesem Grund ist es am besten, die Datenfreigabe zu deaktivieren. Dann verlieren Sie jedoch den Zugriff auf viele Funktionen, einschließlich der Integration in Google Ads-Produkte und demografischer Datenberichte.

5) Google Analytics speichert Ihre Daten auf entfernt gelegenen Servern

Lassen Sie uns abschließend über die Datenresidenz sprechen. Bei Nutzern von Google Analytics sind die Daten auf zufällig ausgewählte öffentliche Cloud-Rechenzentren verteilt, von denen sich die meisten in den USA befinden.

Um die Sicherheit dieser Datenübertragungen zwischen der EU und den USA zu gewährleisten, hat sich Google früher auf das Privacy Shield-Framework verlassen.

Update: Ab dem 16. Juli 2020 ist Privacy Shield kein gültiger Rechtsrahmen mehr für die Übertragung von Daten aus der EU und der Schweiz in die USA. Die Situation entwickelt sich jedoch schnell. Hier haben wir über die Entscheidung geschrieben und werden Updates bereitstellen, wenn sich etwas ändert.

Dies bedeutet, dass Sie eine Standardvertragsklausel (Standard Contractual Clause, SCC) bei Google unterzeichnen müssen, um sicherzustellen, dass Ihre Datenverarbeitung mit Google Analytics rechtmäßig ist. Google übernimmt diese Lösung bereits:

[…] Google wird sich bei relevanten Datenübertragungen auf Standardvertragsklauseln verlassen, die gemäß dem Urteil weiterhin ein gültiger rechtlicher Mechanismus für die Datenübertragung im Rahmen der DSGVO sind. Wir werden so bald wie möglich weitere Informationen zu diesen Updates (einschließlich Zeitplänen) veröffentlichen. [Quelle]

Vergleich
Vergleich

Piwik PRO vs. Google Analytics

Eine praktische Übersicht zu allen Unterschieden. Vergleichen Sie beide Anbieter und finden Sie die passende Software.

Sie müssen jedoch wissen, dass SCCs Ihnen als Datenverantwortlicher hohe Verpflichtungen auferlegen und die Verantwortung für die Einhaltung der Datenschutzstandards auf Sie übertragen, den Unterzeichner des Vertrags. Laut Aussage des European Data Protection Board:

Bei der Durchführung einer solchen vorherigen Bewertung berücksichtigt der Ausführer (gegebenenfalls mit Unterstützung des Einführers) den Inhalt der SCCs, die besonderen Umstände der Überstellung sowie die im Land des Einführers geltenden gesetzlichen Regelungen. [… ]

Wenn das Ergebnis dieser Bewertung folgendermaßen ausfällt, dass das Land des Datenimporteurs kein gleichwertiges Schutzniveau bietet, muss der Exporteur möglicherweise erwägen, weitere Maßnahmen zu ergreifen, die in der SCC nicht enthaltenen sind. Die EDPB prüft weiter, woraus diese zusätzlichen Maßnahmen bestehen könnten.

Viele europäische Datenschutzbehörden, darunter die niederländische Autoriteit Persoonsgegevens und der Hamburger Datenschutzbeauftragte, sind besorgt über die Übermittlung von Daten an Länder ohne strenge Datenschutzgesetze. Zum Beispiel geben sie an, dass die USA kein allgemeines Datenschutzgesetz führt, dass mit der DSGVO vergleichbar wäre.

Alles in allem scheint der beste Weg dieses Problem anzugehen, den Finger am Puls der Datenschutzbestimmungen zu halten und darauf zu warten, dass der europäische Gesetzgeber eine klare Meinung zu diesem Thema abgibt.

Google Analytics und die DSGVO: Welche Alternativen gibt es?

Wir hoffen, dass wir mit diesem Text zumindest einige Ihrer Fragen zu Google Analytics und der DSGVO beantworten konnten. Wenn Sie Piwik PRO mit Google Analytics vergleichen möchten, finden Sie hier ein hilfreiches Whitepaper: Piwik PRO vs. Google Analytics: Der ultimative Leitfaden zur Auswahl des richtigen Web-Analytics-Tools.

Wenn Sie weitere Fragen haben, wenden Sie sich bitte an unser Team. Wir zeigen Ihnen gerne, wie wir Ihnen bei der Durchführung hochwertiger Analysen und der Einhaltung der Datenschutzgesetze helfen!

Autor

Karolina Lubowicka

Content Marketer

Karolina ist Content Marketer und Social Media Managerin bei Piwik PRO. Sie hat viel Erfahrung als Copy Writer gesammelt und versteht es komplexe Zusammenhänge verständlich zu beschreiben. Besonders intensiv beschäftigt sie sich derzeit mit Datenschutz & DSGVO.

Mehr von diesem Autor lesen

Autor

Sebastian Synowiec

Content Marketing Specialist

Content Marketer Sebastian, verbindet bei Piwik PRO User Experience, Webanalyse und Datenschutz mit der Kunst der leichten Feder. Als erfahrener Texter bringt er jeder Zielgruppe auch komplexe Zusammenhänge und neue Entwicklungen näher. LinkedIn Profil

Mehr von diesem Autor lesen