Zurück zum Blog

Ist Google Analytics (3 und 4) DSGVO-konform? [Update]

Analytics DSGVO Sicherheit

Geschrieben von ,

Veröffentlicht Oktober 31, 2022 Aktualisiert November 7, 2022

Ist Google Analytics (3 und 4) DSGVO-konform? [Update]

Google Analytics ist das beliebteste Analysetool auf dem Markt. Es ist kostenlos und lässt Sie wertvolle Daten über das Nutzerverhalten sammeln und den Website-Traffic analysieren.

Google Analytics und seine Muttergesellschaft, Google LLC, stehen seit einiger Zeit auf dem Radar europäischer Datenschutzaktivisten. In den letzten Jahren gab es wiederholt Berichte über fragwürdige Datenschutzpraktiken von Google. Rechtliche Schritte folgten den Praktiken auf Grundlage der DSGVO. Dazu gehören Beschwerden von Organisationen wie der österreichischen NYOB und der Panoptykon Foundation in Polen.

Folge dessen belegten mehrere europäische Datenschutzbehörden Google mit Geldstrafen in Millionenhöhe. Dazu gehören etwa die französische CNIL, die schwedische IMY und die belgische APD.

Gleichzeitig lenkten das Schrems-II-Urteil des Europäischen Gerichtshofs (EuGH) und das Aufheben des Privacy Shield die Aufmerksamkeit auf Plattformen wie Google Analytics, die Daten von EU-Bürgern auf US-amerikanischen Cloud-Servern speichern.

Bis jetzt war die Antwort auf die Frage „Ist Google Analytics DSGVO-konform?“ zweideutig. Einige in der EU ansässige Organisationen waren durch die Kontroversen um Google Analytics alarmiert und wandten sich datenschutzfreundlichen Alternativen zu. Andere nutzten das Tool weiterhin.

Die Bescheide der österreichischen, französischen, italienischen und niederländischen Datenschutzbehörden (DSB) geben konkretere Antworten. Nach Ansicht der DSB stellt das Verwenden von Google Analytics einen Verstoß gegen die DSGVO dar.

Lesen Sie diesen Artikel, um mehr über die Hintergründe der Entscheidung und die Folgen für Unternehmen zu erfahren, die Daten von EU-Bürgern verarbeiten.

Inhaltsverzeichnis

  1. Google Analytics und das Einhalten der DSGVO: 8 wichtige Produktänderungen
  2. Google Analytics und die DSGVO: Wie die Plattform gegen EU-Recht verstößt
  3. Google Analytics und DSGVO: Ihre dringendsten Fragen, beantwortet
    1. Erfasst Google Analytics personenbezogene Daten?
    2. Die meisten der Bescheide beziehen sich auf Universal Analytics. Bedeutet dies, dass Google Analytics 4 DSGVO-konform ist?
    3. Ist Google Analytics for Firebase SDK DSGVO-konform?
    4. Löst die Einholung der Einwilligung die Compliance-Probleme mit Google Analytics?
    5. Kann ich Datenverschlüsselung und Pseudonymisierung verwenden, damit Google Analytics DSGVO-konform funktioniert?
    6. Behebt das serverseitige Tracking die Compliance-Probleme von GA?
    7. Wird das angekündigte Privacy Shield 2.0 das Problem mit Google Analytics lösen?
    8. Wie sieht es aus mit anderen US-basierten Analytics Plattformen wie Amplitude oder Adobe Analytics?
  4. Google Analytics und die DSGVO: weitere ungelöste Probleme
    1. Google verwendet Besucherdaten für eigene Zwecke
    2. Google Analytics bietet kein zuverlässiges Einwilligungs-Framework
      1. Das IAB Transparency & Consent Framework
      2. Google-Einwilligungsmodus
  5. Google Analytics und die DSGVO: Welche Alternativen gibt es?

Google Analytics und das Einhalten der DSGVO: 8 wichtige Produktänderungen

Sprechen wir zunächst den positiven Wandel an, den Google Analytics gegenüber der DSGVO vornahm. Die Liste der neuen Funktionen und Maßnahmen umfasst:

  1. Mechanismus zum Löschen von Daten – In Google Analytics können Sie Informationen über Besucher löschen, wenn diese es wünschen. Allerdings funktioniert diese Funktion nur für vollständige Datenkategorien. Dazu gehören Seitentitel, Eventnamen, Eventkategorien, Eventaktionen, benutzerdefinierte Dimensionen oder Nutzer-IDs, die Sie in einem bestimmten Zeitraum erfassten. Die Google Analytics API ermöglicht das Löschen von Nutzerdaten mittels eines bestimmten Cookies oder einer Nutzer-ID, erfordert aber Programmierkenntnisse.
  2. Einstellungen zur Datenaufbewahrung – Damit steuern Sie in Google Analytics, wie lange Nutzerdaten gespeichert, bevor sie automatisch gelöscht werden.  In Google Analytics 4 können Sie zwischen 2 und 14 Monaten wählen.
  3. Neue Datenschutzerklärung – Google definiert sich im Standardvertrag laut DSGVO als “Datenverarbeiter” in Bezug auf Analytics und Analytics 360.
  4. Aktualisierte Datenverarbeitungsbedingungen – Google änderte seine Datenverarbeitungsbedingungen, die auch als Datenverarbeitungsvertrag gelten. Das neue Dokument führt Ihre Pflichten auf, wie das Einholen einer gültigen und informierten Einwilligung von Europäern. Ferner stützt sich Google auf Standardvertragsklauseln (SCC), die die Sicherheit eines internationalen Datentransfers gewährleisten sollen.
  5. Vorhandene Tools, die beim Einhalten der DSGVO helfen – Google Analytics erinnert seine Nutzer an alle Datenschutzeinstellungen, die bereits verfügbar sind. Diese betreffen Cookies, das Freigeben von Daten, Datenschutzkontrollen, das Löschen von Daten bei Kontokündigung und IP-Anonymisierung.
  6. Datenerfassung teilweise in die EU verlagertGoogle Analytics 4 erhebt Daten von EU-Nutzern über die in der EU lokalisierten Server von Google, bevor sie zur Verarbeitung an die Analytics-Server weitergeleitet werden.
  7. Keine standardmäßige Weitergabe der Daten an Dritte –  Einige Funktionen von Google Analytics 4, die die Weitergabe von Daten an das Google-Ökosystem erfordern, sind jetzt standardmäßig deaktiviert. Dazu gehören z. B. Signale. Es sind Sitzungsdaten von Websites und Apps über angemeldete Nutzer, die Google für personalisierte Werbung und Remarketing verwendet. 
  8. Google Einwilligungsmodus – Google Analytics verfügt jetzt über einen Einwilligungsmodus. Er ermöglicht es Ihnen, eine KI-basierte Conversion-Modellierung einzusetzen, wenn Besucher die Einwilligung zum Tracking verweigern.

Diese Revisionen, gepaart mit Leitfäden der französischen CNIL und der niederländischen DSB, erwecken den Eindruck einer DSGVO-konformen Nutzung von Google Analytics. Doch die Realität sieht für Website-Besitzer, die Google Analytics nutzen, nicht so rosig aus.

Google Analytics und die DSGVO: Wie die Plattform gegen EU-Recht verstößt

Google Analytics speichert Daten über EU ansässige Personen auf US-Cloud-Servern. Ebenso ist Google LLC ein amerikanisches Unternehmen. Somit unterliegt es den Überwachungsgesetzen der USA, wie dem Cloud-Act.

Warum verstößt der Datentransfer zwischen der EU und den USA gegen die DSGVO?

Im Juli 2020 erklärte der Europäische Gerichtshof (EuGH) Privacy Shield für ungültig. Dieser legte die Regeln für den Transfer von Daten zwischen der EU und den USA fest. Das Schrems II Urteil bezeichnete denTransfer personenbezogener Daten aus der EU in die USA als rechtswidrig. Unternehmen können nicht garantieren, dass die Daten europäischer Bürger vor US-Geheimdiensten sicher sind.

Der Mangel an dem Transferabkommen zwang Unternehmen, darunter Google, auf Standardvertragsklauseln (SCC) zurückzugreifen. So möchten sie die in die USA übermittelten Daten schützen.

Seit dem Urteil hat die Datenschutzorganisation NYOB 101 Beschwerden gegen Unternehmen eingereicht, die mit Google Analytics und Facebook Connect Nutzerdaten sammeln. Die Liste der verklagten Unternehmen umfasst Unternehmen aus verschiedenen Sektoren, mit starker Präsenz bei Verlagen und Finanzunternehmen.

Am 12. Januar 2022 veröffentlichte die österreichische DSB ihre Entscheidung im Fall eines nicht genannten deutschen Webpublishers. Die Aufsichtsbehörde stellte fest, dass das Unternehmen laut DSGVO rechtswidrig handelt, indem es Daten mit Google Analytics sammelt.

Dem DSB zufolge ist es möglich, die mit Google Analytics gesammelten Informationen mit einer natürlichen Person zu verknüpfen. Gleichzeitig können die von Google eingeführten SCCs die Daten von EU-Bürgern nicht vor Überwachung durch die USA schützen. Aus diesem Grund sollten Organisationen, die Analysedaten über in der EU ansässige Personen sammeln, Google Analytics nicht verwenden.

Im April 2022 wies CNIL drei französische Websites an, Google Analytics nicht mehr zu verwenden. In den folgenden Monaten veröffentlichten die italienische und die dänische DBS ähnliche Bescheide. Andere Datenschutzbehörden könnten diesem Beispiel folgen. Hier ist der Grund dafür:

  • Im Jahr 2020 bildete der Europäische Datenschutzausschuss (EDPB) eine Taskforce. Sie koordiniert die Kommunikation zwischen allen europäischen Datenschutzbehörden nach dem Schrems-II-Urteil und unterstützt sie beim Bearbeiten von Beschwerden. Infolgedessen folgt jede Entscheidung der europäischen Behörden einem einvernehmlichen Ansatz, der nach Absprache mit dem EDPB entsteht. Letztlich wird jedes neue Urteil der EU-Behörden denselben Leitlinien folgen.
  • Die niederländische Datenschutzbehörde AP, der Autor eines Handbuchs zur datenschutzkonformen Nutzung von Google Analytics, widerrief ihre Aussage. AP meint, Google Analytics sei “möglicherweise nicht zulässig”.
  • Sowohl die norwegische Datenschutzbehörde, der EDSB, als auch die liechtensteinische Datenschutzstelle (DSS) gaben eine ähnliche Stellungnahme wie die der AP ab.
  • Die österreichische DSB erklärte die IP-Anonymisierung von Google Analytics zu einer nutzlosen Schutzmaßnahme für Datentransfers zwischen der EU und den Vereinigten Staaten. Die Datenschutzbehörde lehnte auch den von Google vertretenen „risikobasierten Ansatz“ für Transfers in Drittländer ab.  
  • Im Anschluss an ihre frühere Entscheidung gab die französische CNIL einen überarbeiteten Leitfaden zum Gebrauch von Google Analytics heraus. In den FAQ weist sie darauf hin, dass in der EU ansässige Organisationen das Tool nicht ohne zusätzliche Sicherheitsmaßnahmen verwenden dürfen. Die französische Behörde erklärte auch, dass ihre Ansicht zu Google Analytics eine koordinierte Position aller europäischen Datenschutzbehörden ist.

Obwohl die Entscheidung Google Analytics betrifft, wird sie alle US-stämmigen Plattformen betreffen. Unternehmen mildern ihre Risiken, wenn sie sich auf andere Analyseprodukte verlassen. Führen Sie Sicherheitsmaßnahmen ein, die den Zugriff der US-Geheimdienste auf Nutzerdaten im Rahmen des Cloud-Acts verhindern.

Lesen Sie auch dazu: Ist Google Analytics illegal?

Google Analytics und DSGVO: Ihre dringendsten Fragen, beantwortet

Die Bescheide der EU-Behörden ohne den richtigen Kontext und die entsprechende Darlegung scheinen vielleicht unklar. Im Folgenden beantworten wir die wichtigsten Fragen, die sich aus diesen Urteilen ergeben.

Erfasst Google Analytics personenbezogene Daten?

Ja, das tut es. In seinen Verarbeitungsbedingungen untersagt Google Analytics den Nutzern die Erfassung aller Arten von personenbezogenen Daten, mit Ausnahme von:

Online-Kennzeichnungen (einschließlich Cookie-Kennungen), Internet-Protokoll-Adressen und Gerätekennungen, vom Kunden vergebene Kennzeichnungen

Ferner anonymisiert GA bestimmte Daten über Besucher, einschließlich IP-Adressen. Aber es verwendet immer noch Kennungen, die als personenbezogene Daten gelten.

Laut dem österreichischen DBS betrifft die IP-Anonymisierung nur die IP-Adresse als solche. Daten wie Online-Identifikatoren, die über Cookies oder Gerätedaten gesetzt werden, überträgt Google im Klartext. Die IP-Anonymisierung findet erst nach dem Transfer der Daten an Google statt.

Das bedeutet, dass Google Analytics nach wie vor personenbezogene Daten sammelt. Gleichzeitig heißt es, dass die mit Google Analytics erfassten Daten der DSGVO unterliegen.

Die meisten der Bescheide beziehen sich auf Universal Analytics. Bedeutet dies, dass Google Analytics 4 DSGVO-konform ist?

Die kurze Antwort lautet: Nein. Trotz einiger Korrekturen in den Datenschutzeinstellungen sammelt Google Analytics 4 immer noch personenbezogene Daten (eindeutige Nutzer-IDs) und verarbeitet sie außerhalb der EU. Google Analytics 4 ist nach wie vor ein Produkt, das Google, ein US-Unternehmen, entwickelt und wartet. Es heißt, dass Google den US-Datenüberwachungsgesetzen wie FISA und dem Cloud- Act unterliegt.

Die dänische Datenschutzbehörde bestätigt:

In Bezug auf Google Analytics 4 geht aus der Dokumentation von Google hervor, dass IP-Adressen verwendet werden, um den ungefähren Standort des Besuchers zu bestimmen, woraufhin die Adresse verworfen wird, bevor die Daten auf einem Server gespeichert werden. Wie bei Universal Analytics ist das gleiche Problem auch bei Google Analytics 4 relevant, da – je nach Standort der betroffenen Person – eine direkte Verbindung u. a. zu amerikanischen Servern bestehen kann, bevor die Adresse verworfen wird.

Keine der beiden Versionen von Google Analytics erfüllt die von der DSGVO festgelegten Datenschutzstandards.

Ist Google Analytics for Firebase SDK DSGVO-konform?

Google Analytics (GA)  for Firebase hat die gleichen Compliance-Probleme wie die reguläre Version der Plattform. Sie sammelt personenbezogene Daten (eindeutige Geräte-IDs) und sendet sie außerhalb der europäischen Datenschutzgerichtsbarkeit. Deswegen gelten die jüngsten Beschlüsse, die GA in der EU für illegal erklären, auch für GA for Firebase.

Löst die Einholung der Einwilligung die Compliance-Probleme mit Google Analytics?

Nein, denn die Einwilligung legitimiert keine grenzüberschreitenden Datentransfers nach der DSGVO. Die französische Datenschutzbehörde erklärte es ausdrücklich: 

[…] die Zustimmung der Benutzer zur Speicherung von Cookies während ihres Besuchs auf der Website kann nicht als gleichwertig betrachtet werden mit ihrer „ausdrücklichen Einwilligung zu der vorgeschlagenen Übertragung, nachdem sie – im Sinne von Artikel 49.1.a der Verordnung – über die möglichen Risiken einer solchen Übertragung für die betroffene Person aufgrund des Fehlens eines Angemessenheitsbeschlusses und geeigneter Garantien informiert wurden.

Deswegen sind die regelmäßigen Datentransfers, die auf der Einwilligung der Nutzer beruhen, nicht zu rechtfertigen. Sie müssen durch eine gesonderte Rechtsvorschrift geregelt werden, die es derzeit für Datentransfers zwischen der EU und den USA nicht gibt.

Kann ich Datenverschlüsselung und Pseudonymisierung verwenden, damit Google Analytics DSGVO-konform funktioniert?

Nach Ansicht einiger Datenschutzbehörden, darunter Datatilsynet und CNIL, könnten zusätzliche Datenschutzmaßnahmen einige Datenschutzprobleme mit GA lösen. Sie implementieren die Plattform rechtmäßig, wenn Sie:

  • Sicherstellen, dass Google Analytics Skripte nur nach Einwilligung des Nutzers ausführt.
  • Analytics serverseitig einrichten und EU-basierte und -eigene Server einsetzen.
  • Alle persönlichen Identifikatoren beseitigen (wie Nutzer IDs, IPs, User-Agents, Cross-Side-Identifikatoren, Referrer-URL, vollständige Seiten-URL, einschließlich Daten in UTM-Tags und benutzerdefinierten Dimensionen, die persönliche Daten enthalten können), bevor Sie Daten in die USA senden.

Dieses System ist teuer und schwer zu pflegen. Ferner schränkt es Ihren Spielraum in Analytics drastisch ein. Sie werden nicht in der Lage sein:

  • Die Leistung von Marketingkanälen zu messen –  Sie wissen nicht, welche Websites, Kanäle oder Kampagnen Umsatz bringen. Sie verlieren eine Grundlage, dank der Sie Ihr Budget optimieren können.
  • Die Customer Journey und Trichter auf der Website zu tracken –  zum Beispiel, wo der Kunde den Kaufvorgang abbricht. Es gibt also keine Daten darüber, wie Sie die Conversions vor Ort optimieren.
  • Geolokalisierung durchzuführen –  Sie wissen nicht, woher Ihre Besucher/Conversions kommen (die Informationen werden von der IP-Adresse abgeleitet).

Wenn diese Konfiguration in Ihrem Fall nicht möglich oder nicht durchführbar ist, sollten Sie Google Analytics durch eine Software ersetzen, die den EU-Datenschutzstandards entspricht.

Behebt das serverseitige Tracking die Compliance-Probleme von GA?

Die Antwort lautet: Jein. Die serverseitige Implementierung von Google Analytics ist eine der von der CNIL gestellten Vorgaben für ein rechtmäßiges Setup der Plattform. Der Einsatz eines Proxy-Servers ermöglicht Ihnen eine bessere Kontrolle über die Daten, die Sie an Google senden. Sie können unter anderem die eindeutigen Nutzer IDs löschen, bevor sie in die US-Rechenzentren gelangen und Gegenstand von Überwachungsgesetzen werden. 

Allerdings ist die Pflege dieser Konfiguration mit erheblichen Kosten verbunden. Ferner ist GA ohne eindeutige Nutzer IDs nicht in der Lage, Events mit Sitzungen zu verbinden. Dies macht es unmöglich, die Customer Journey und Trichter zu analysieren oder Conversions zuzuordnen.

In Anbetracht dieser Nachteile erwägen Sie den Einsatz von einer datenschutzfreundlichen Analytics-Plattform, die keine derartigen Opfer erfordert.

Wird das angekündigte Privacy Shield 2.0 das Problem mit Google Analytics lösen?

Das neue Abkommen könnte den Gebrauch von Google Analytics im Rahmen der DSGVO legalisieren. Wir wissen aber nicht, wie und wann dies geschehen wird. Derzeit gibt es keinen solchen Rahmen, nicht einmal im Entwurfsstadium. Wir sind gezwungen, noch bis März 2023 zu warten, um zu sehen, wie die vorgeschlagene Lösung aussehen wird. 

NOYB bestätigte bereits, dass sie die neuen Vorschriften vor den EU-Gerichten anfechten wird. Es ist die Organisation, die hinter den Beschwerden steht, die zu den Urteilen Schrems I und II und zur Ungültigkeit der beiden früheren Datenübermittlungsabkommen geführt haben. In ihrem offenen Brief an die gesetzgebenden Organe der EU betont NOYB, dass das Grundproblem des EU-US Datentransfers dasselbe bleibt. Das US-Recht gewährleistet immer noch kein angemessenes Datenschutzniveau für die Daten der in der EU ansässigen Personen:

(Wir) gehen (…) davon aus, dass die USA jeglichen wesentlichen Schutz für Nicht-US-Personen abgelehnt haben und Nicht-US-Personen weiterhin diskriminieren, indem sie grundlegende Schutzmaßnahmen wie die gerichtliche Genehmigung einzelner Überwachungsmaßnahmen verweigern.

Wir gehen davon aus, dass sich das geplante Abkommen weitgehend auf US-Exekutivanordnungen stützen wird. Nachdem wir mit US-Überwachungsexperten und Anwälten zusammengearbeitet haben, scheinen solche Anordnungen strukturell unzureichend zu sein, um die Anforderungen des EuGH zu erfüllen.

Indessen machen sich Unternehmen, die weiterhin Google Analytics verwenden, zum potenziellen Gegenstand von DPA-Untersuchungen. 

Wie sieht es aus mit anderen US-basierten Analytics Plattformen wie Amplitude oder Adobe Analytics?

Obwohl die Bescheide nur Google Analytics betreffen, sind alle Plattformen betroffen, die Daten auf Servern in den USA speichern. Unternehmen mindern möglicherweise ihre Risiken, indem sie auf andere Analytics-Tools zurückgreifen. Eine der Optionen ist die Annahme von Sicherheitsmaßnahmen, die verhindern, dass US-Geheimdienste im Rahmen des Cloud Acts auf Nutzerdaten zugreifen können.  Dazu gehört etwa die Verschlüsselung der Daten mit dem Schlüssel des Kunden.

Google Analytics und die DSGVO: weitere ungelöste Probleme

Der transatlantische Transfer personenbezogener Daten ist das drängendste Problem bei Google Analytics im Hinblick auf die DSGVO. Dabei sind sie nicht die einzigen. Im Folgenden finden Sie einige Faktoren, die Sie beachten sollten, wenn Sie die Konformität von Google Analytics bewerten:

Google verwendet Besucherdaten für eigene Zwecke

Google verwendet Daten aus Google Analytics, um seine Dienste zu verbessern. Wie Sie in den Datenschutzbestimmungen und -bedingungen von Google nachlesen können:

Die durch Websites und Apps übermittelten Informationen verwenden wir zur Bereitstellung, Betreuung und Verbesserung unserer bestehenden Dienste, zur Entwicklung neuer Dienste, zur Messung der Effektivität bestimmter Werbung, zum Schutz vor Betrug und Missbrauch sowie zur Personalisierung von Inhalten und Werbeanzeigen, die Sie sowohl bei Google als auch auf unseren Partner-Websites und ‑apps sehen. 

Wenn Sie den Google Analytics-Code auf Ihrer Website einsetzen und die Datenfreigabe aktivieren, entdecken die Werbetreibenden in Google Ads die Vorlieben Ihrer Besucher, die auf den konsumierten Inhalten basieren. Dies wiederum ermöglicht es Google, diese Nutzer gezielt mit Werbung anzusprechen.

Für jede Organisation, die einen umfassenden Datenschutz benötigt, ist dies alarmierend. Je mehr Stellen Zugang zu Ihren Daten haben, desto eher ist die Datensicherheit gefährdet. 

Deshalb ist die beste Option, die gemeinsame Nutzung von Daten zu deaktivieren. Aber Sie verlieren den Zugang zu vielen Funktionen, einschließlich der Integration mit Google Ads-Produkten und demografischen Daten.

Google Analytics bietet kein zuverlässiges Einwilligungs-Framework

Wie wir bereits erwähnt haben, erfasst Google Analytics standardmäßig eindeutige Nutzer IDs. Die Verwendung solcher identifizierbarer Daten erfordert die Einwilligung des Nutzers. Das bringt uns zum letzten Thema – dem Verwalten von Besuchereinwilligungen und Datenschutzanfragen mit Google Analytics.

Google versuchte zunächst, die Aufgabe den Verlegern und Google Analytics-Nutzern zu übertragen. Sie mussten eine Drittanbieter-Plattform für das Einwilligungsmanagement implementieren oder einen eigenen Weg finden, um die Anforderungen des EU-Rechts zu erfüllen.

Eine Vereinbarung zwischen Google und dem IAB Europe signalisierte jedoch einen Wandel in ihrem Ansatz.

Allerdings ist die Integration sehr begrenzt, was die Art der Einwilligung betrifft. Sie gilt nur für die Datenerhebung in Bezug auf die Werbefunktionen von Google Analytics.

Hinzu kommt, dass einige europäische Länder das IAB Transparency & Consent Framework (TCF) als rechtswidrig ansehen. Im November 2021 entschied die belgische Datenschutzbehörde, dass das TCF gegen die DSGVO verstößt. Das TCF speichert die Präferenzen der Nutzer in Form eines eindeutigen Transparency and Consent (TC) String, der mit einer Person verknüpft werden kann. 

Nach Ansicht der belgischen DSB schafft es keine gültige Rechtsgrundlage für die Verarbeitung der Daten. Außerdem stellt IAB den Nutzern keine Informationen bereit, die notwendig sind, um zu verstehen, wie die Organisation die gesammelten Daten verwendet. 

Im März 2022 legte IAB Europe vor dem belgischen Marktgericht Berufung gegen die Entscheidung ein. Wir warten immer noch auf das endgültige Urteil in diesem Fall.

Google-Einwilligungsmodus

Die zweite von Google vorgeschlagene Option ist der Einwilligungsmodus. Es ist die Antwort von Google auf den Datenverlust, der sich aus den Einwilligungsvorgaben der DSGVO und anderer Datenschutzgesetze ergibt.

Es handelt sich um eine Funktion, die mit Ihrer Drittanbieter- oder benutzerdefinierten Consent Management-Plattform interagiert. Falls Besucher die Einwilligung verweigern, werden über Tags Pings an Universal Analytics gesendet, statt Cookies zu speichern. Wenn Sie Google Analytics 4 verwenden, schließt Google die Lücken bei der Datenerhebung durch Conversion-Modellierung und Verhaltensmodellierung, die mithilfe eines KI-basierten Algorithmus die “verlorenen” Online-Konversionen schätzen. 

Das Ersetzen von Cookies durch cookielosen Pings ist zwar hilfreich, wirft aber weitere Datenschutzbedenken auf. Mit den von Google empfohlenen Standardeinstellungen sammelt die Plattform weiterhin Nutzerdaten ohne die Zustimmung des Nutzers. Der an Google gesendete Treffer enthält nach wie vor die IP-Adresse des Nutzers und möglicherweise andere eindeutige Identifikatoren wie Geräteinformationen, user_id und transaction_id. Da die Erfassung dieser Informationen nicht unbedingt erforderlich ist, dürfen Sie sie nur mit Einwilligung der Besucher vornehmen. 

Wenn ein Besucher ausdrücklich erklärt, dass er nicht getrackt werden oder seine Daten nicht verarbeiten lassen will (über das hinaus, was für das Funktionieren der Website/App “unbedingt erforderlich” ist), und Sie als Datenverarbeiter diesen Wunsch ignorieren und die Daten des Besuchers weiterhin erfassen und verarbeiten, haben Sie gerade vorsätzlich gegen die Regeln der DSGVO und der ePrivacy-Richtlinie verstoßen. Wahrscheinlich haben Sie sogar gegen alle Datenschutzgesetze verstoßen, unabhängig von der Gerichtsbarkeit.

Brian Clifton, Ph.D., Experte für Datenschutz und Datenanalytik

Sie können den Transfer von Nutzerdaten an Google verhindern, indem Sie die Einstellungen für den Einwilligungsmodus ändern. Nutzer, die sich dieses Problems nicht bewusst sind, geben jedoch weiterhin Daten an GA weiter und gefährden damit die Datenschutz-Compliance.

Google Analytics und die DSGVO: Welche Alternativen gibt es?

Das endgültige Ergebnis der Google-Analytics-Saga ist unbekannt, da wir noch auf die Stellungnahmen der anderen Datenschutzbehörden warten.

Unternehmen, die Daten von Europäern sammeln, müssen ihre Entscheidungen jetzt überdenken, um auf jedes Szenario vorbereitet zu sein. Es gibt gute Gründe, warum sie sich anderen Analyseplattformen zuwenden könnten, selbst wenn die Urteile der Datenschutzbehörden über Google Analytics ausbleiben.

Der datenschutzfreundlichste Ansatz wäre der Wechsel zu einer in der EU ansässigen Analyseplattform, die Nutzerdaten schützt und ein sicheres Hosting bietet, idealerweise in einem EU-eigenen Rechenzentrum. Damit gewährleisten Sie, dass Sie Daten im Einklang mit der DSGVO erfassen, speichern und verarbeiten.

Lesen Sie hier mehr über datenschutzfreundliche Analyseverfahren.

Die weniger datenschutzfreundliche Option besteht darin, eine Analyseplattform mit weniger Datenschutzfunktionen zu wählen und das Compliance-Risiko durch zusätzliche Sicherheitsmaßnahmen zu mindern. Dies könnte jedoch nur eine vorübergehende Lösung sein, wenn Ihre Analyseplattform die Daten immer noch an die in den USA ansässigen oder in ihrem Besitz befindlichen Server sendet, für die die US-Überwachungsgesetze gelten.

Wenn Sie mehr über Google Analytics-Alternativen erfahren möchten, lesen Sie unsere detaillierten Produktvergleiche:
Google Analytics Alternativen – kostenlos und kostenpflichtig
Piwik PRO vs. Google Analytics & Google Analytics 360

Wenn Sie mehr darüber erfahren möchten, wie die Piwik PRO Analytics Suite Sie bei der Einhaltung der DSGVO unterstützt, wenden Sie sich an uns. Wir beantworten gerne Ihre Fragen.

Autor

Karolina Lubowicka

Senior Content Marketer and Social Media Specialist

Karolina ist Content Marketer und Social Media Managerin bei Piwik PRO. Sie bringt viel Erfahrung als Copywriter mit sich und versteht es dem Leser komplexe Themen des Datenschutzes & der DSGVO verständlich näherzubringen.

Mehr von diesem Autor lesen

Autor

Beata Moryl

Content Marketer

Content Marketer und Übersetzerin mit langjähriger Erfahrung im wirtschaftlichen Bereich. Sie glaubt Übersetzer sind wie Ninjas, wenn man sie bemerkt, taugen sie nichts. LinkedIn Profil.

Mehr von diesem Autor lesen