Zurück zum Blog

Ist Google Analytics DSGVO-konform? [Update]

Analytics DSGVO Sicherheit

Geschrieben von ,

Veröffentlicht February 4, 2022 Aktualisiert February 7, 2022

Ist Google Analytics DSGVO-konform? [Update]

Google Analytics ist das beliebteste Analysetool auf dem Markt. Es ist kostenlos und lässt Sie wertvolle Daten über das Nutzerverhalten sammeln und den Website-Traffic analysieren. Aber ist es DSGVO-konform?

Google Analytics, ob nun Version 3 oder 4, und seine Muttergesellschaft, Google LLC, stehen seit einiger Zeit auf dem Radar europäischer Datenschutzaktivisten. In den letzten Jahren gab es wiederholt Berichte über fragwürdige Datenschutzpraktiken von Google. Rechtliche Schritte folgten den Praktiken auf Grundlage der DSGVO. Dazu gehören Beschwerden von Organisationen wie der österreichischen NYOB und der Panoptykon Foundation in Polen.

Folge dessen belegten mehrere europäische Datenschutzbehörden Google mit Geldstrafen in Millionenhöhe. Dazu gehören etwa die französische CNIL, die schwedische IMY und die belgische APD.

Gleichzeitig lenkten das Schrems-II-Urteil des Europäischen Gerichtshofs (EuGH) und das Aufheben des Privacy Shield die Aufmerksamkeit auf Plattformen wie Google Analytics, die Daten von EU-Bürgern auf US-amerikanischen Cloud-Servern speichern.

Bis jetzt war die Antwort auf die Frage „Ist Google Analytics DSGVO-konform?“ zweideutig. Einige in der EU ansässige Organisationen waren durch die Kontroversen um Google Analytics alarmiert und wandten sich datenschutzfreundlicheren Alternativen zu. Andere nutzten das Tool weiterhin.

Die jüngste Entscheidung der österreichischen Datenschutzbehörde (DSB) gibt konkretere Antworten. Nach Ansicht der DSB stellt das Verwenden von Google Analytics einen Verstoß gegen die DSGVO dar. Vielleicht werde weitere europäische Behörden dem Urteil der DSB folgen. Dies könnte zu einem vollständigen Verbot von Google Analytics in Europa führen.

Lesen Sie diesen Artikel, um mehr über die Hintergründe der Entscheidung und die Folgen für Unternehmen zu erfahren, die Daten von EU-Bürgern verarbeiten. Wir stellen die Schritte vor, die Google Analytics zum Einhalten der DSGVO unternimmt, sowie ungelöste Probleme mit der Plattform.

Google Analytics und das Einhalten der GDPR: 5 wichtige Produktänderungen

Sprechen wir zunächst den positiven Wandel an, den Google Analytics gegenüber der DSGVO vornahm. Die Liste der neuen Funktionen und Maßnahmen umfasst:

1) Mechanismus zum Löschen von Daten – In Google Analytics können Sie Informationen über Besucher löschen, wenn diese es wünschen. Allerdings funktioniert diese Funktion nur für vollständige Datenkategorien. Dazu gehören Seitentitel, Eventnamen, Eventkategorien, Eventaktionen, benutzerdefinierte Dimensionen oder Nutzer-IDs, die Sie in einem bestimmten Zeitraum erfassten. Die Google Analytics API ermöglicht das Löschen von Nutzerdaten mittels eines bestimmten Cookies oder einer Nutzer-ID, erfordert aber Programmierkenntnisse.

2) Einstellungen zur Datenspeicherung – Damit steuern Sie in Google Analytics, wie lange Nutzerdaten gespeichert, bevor sie automatisch gelöscht werden. 26 Monate sind der Standard.

3) Neue Datenschutzerklärung – Google definiert sich im Standardvertrag laut DSGVO als “Datenverarbeiter” in Bezug auf Analytics und Analytics 360.

4) Aktualisierte Datenverarbeitungsbedingungen – Google änderte seine Datenverarbeitungsbedingungen, die auch als Datenverarbeitungsvertrag gelten. Das neue Dokument führt Ihre Pflichten auf, wie etwa das Einholen einer gültigen und informierten Einwilligung von Europäern. Darüber hinaus stützt sich Google auf Standardvertragsklauseln (SCC), die die Sicherheit eines internationalen Datentransfers gewährleisten sollen.

5) Vorhandene Tools, die beim Einhalten der DSGVO helfen – Google Analytics erinnert seine Nutzer an alle Datenschutzeinstellungen, die bereits verfügbar sind. Diese betreffen Cookies, das Freigeben von Daten, Datenschutzkontrollen, das Löschen von Daten bei Kontokündigung und IP-Anonymisierung.

Diese Revisionen, gepaart mit unzähligen Leitfäden, erwecken den Eindruck einer DSGVO-konformen Nutzung von Google Analytics. Doch die Realität sieht für Website-Besitzer, die Google Analytics nutzen, nicht so rosig aus.

Google Analytics und GDPR: Wie die Plattform gegen EU-Recht verstößt

Google Analytics speichert Daten über EU ansässige Personen auf US Cloud-Servern. Ebenso ist Google LLC ein amerikanisches Unternehmen. Somit unterliegt es den Überwachungsgesetzen der USA, wie dem Cloud-Act oder dem Patriot-Act.

Warum ist das ein Problem?

Im Juli 2020 erklärte der Europäische Gerichtshof (EuGH) Privacy Shield für ungültig. Dieser legte die Regeln für den Transfer von Daten zwischen der EU und den USA fest. Das Schrems II Urteil zeichnete denTransfer personenbezogener Daten aus der EU in die USA als rechtswidrig. Unternehmen können nicht garantieren, dass diese Daten europäischer Bürger vor US-Geheimdiensten sicher sind.

Der Mangel eines Transferabkommens zwang Unternehmen, darunter Google, auf Standardvertragsklauseln (SCC) zurückzugreifen. So möchten sie die in die USA übermittelten Daten schützen.

Seit dem Urteil hat die Datenschutzorganisation NYOB 101 Beschwerden gegen Unternehmen eingereicht, die mit Google Analytics und Facebook Connect Nutzerdaten sammeln. Die Liste der verklagten Unternehmen umfasst Unternehmen aus verschiedenen Sektoren, mit starker Präsenz bei Verlagen und Finanzunternehmen. Bislang bewerteten die Datenschutzbehörden nur einen Fall als konform.

Am 12. Januar 2022 veröffentlichte die österreichische DSB ihre Entscheidung im Fall eines nicht genannten deutschen Webpublishers. Die Aufsichtsbehörde stellte fest, dass das Unternehmen laut DSGVO rechtswidrig handelt, indem sie Daten mit Google Analytics sammeln.

Dem DSB zufolge ist es möglich, die mit Google Analytics gesammelten Informationen mit einer natürlichen Person zu verknüpfen. Gleichzeitig können die von Google eingeführten SCCs die Daten von EU-Bürgern nicht vor der Überwachung durch die USA schützen. Aus diesem Grund sollten Organisationen, die Analysedaten über in der EU ansässige Personen sammeln, Google Analytics nicht verwenden.

Wir wissen noch nicht, wie andere Datenschutzbehörden auf die anderen 100 Beschwerden reagieren werden. Aber zumindest einige von ihnen könnten dem Beispiel der DSB folgen. Hier ist der Grund dafür:

Obwohl die Entscheidung Google Analytics betrifft, wird sie alle US stämmigen Plattformen betreffen. Unternehmen mildern ihre Risiken, wenn sie sich auf andere Analyseprodukte verlassen. Führen Sie Sicherheitsmaßnahmen ein, die den Zugriff der US-Geheimdienste auf Nutzerdaten im Rahmen des Cloud-Acts verhindern.

Google Analytics und GDPR: weitere ungelöste Probleme

Der transatlantische Transfer personenbezogener Daten ist das drängendste Problem bei Google Analytics im Hinblick auf die DSGVO. Dabei sind sie nicht die einzigen. Im Folgenden finden Sie vier Faktoren, die Sie beachten sollten, wenn Sie die Konformität von Google Analytics bewerten:

1) Standardmäßig verwendet Google die Besucherdaten für eigene Zwecke

Google verwendet Daten aus Google Analytics, um seine Dienste zu verbessern. Die Informationen, die die Nutzer auf der Plattform sammeln, werden mit anderen Google-Produkten geteilt, wie etwa:

  • Google-Ads 
  • YouTube
  • Google AdSense

Wie Sie in den Datenschutzbestimmungen und -bedingungen von Google nachlesen können:

Auf vielen Websites und in vielen Apps werden Google-Dienste eingesetzt, um die Inhalte zu verbessern und auf Dauer eine kostenlose Nutzung zu ermöglichen. Durch die Integration unserer Dienste werden über diese Websites und Apps Daten an Google übermittelt.

Wenn Sie eine Website besuchen, auf der Werbedienste wie AdSense oder Analysetools wie Google Analytics verwendet werden oder Videoinhalte von YouTube eingebettet sind, sendet Ihr Webbrowser automatisch bestimmte Informationen an Google. Hierzu gehören auch die URL der besuchten Seite und Ihre IP-Adresse. Unter Umständen setzen wir auch Cookies in Ihrem Browser oder lesen die bereits vorhandenen Cookies. Auch durch Apps, in denen Werbedienste von Google zum Einsatz kommen, werden Daten an Google übermittelt, zum Beispiel der Name der App und eine spezifische Kennziffer für Werbezwecke.

Die von Google Analytics Nutzern bereitgestellten Daten ermöglichen Google, Nutzerprofile zu erstellen. Da es Daten aus verschiedenen Quellen sammelt, kann es Nutzermerkmale wie Geschlecht und Standort bestimmen. Später werden die Daten in Berichten zur Verfügung gestellt.

Dank des Google-Analytics-Codes auf Ihrer Website kennen Werbetreibende in Google Ads die Vorlieben Ihrer Besucher, die auf den konsumierten Inhalten basieren. Das wiederum ermöglicht Google, diese Nutzer mit Werbung anzusprechen.

Für jede Organisation, die einen umfassenden Datenschutz benötigt, ist dies alarmierend. Je mehr Stellen Zugang zu Ihren Daten haben, desto eher ist die Datensicherheit gefährdet. Außerdem erfordert das Verwenden von Besucherdaten für all diese Zwecke eine separate Einwilligung. Dazu gibt es in Google Analytics keine Möglichkeit, das Sammeln von Daten von der Einwilligung der Besucher abhängig zu machen.

Deshalb ist die beste Option, die gemeinsame Nutzung von Daten zu deaktivieren. Aber Sie verlieren den Zugang zu vielen Funktionen, einschließlich der Integration mit Google Ads-Produkten und demografischen Daten.

2) Google Analytics erlaubt Ihnen nicht, die meisten Arten von persönlichen Daten zu speichern

In dessen Verarbeitungsbedingungen verbietet Google Analytics den Nutzern das Erfassen von personenbezogenen Daten. Die Ausnahme stellen jene in der Datenbank gespeicherte Daten:

Online-Kennungen, einschließlich Cookie-Kennungen, Internetprotokolladressen und Gerätekennungen; Kundenkennungen

Dies ist für Google von Vorteil, da Sie Pflichten im Zusammenhang mit der DSGVO abnehmen. Aber aus Ihrer Sicht ist dieser Ansatz nachteilig. Was ist, wenn Sie mehr personenbezogene Daten verarbeiten und alle damit verbundenen Pflichten übernehmen wollen? Vielleicht möchten Sie CRM-Daten oder E-Mail-Marketing-Statistiken in Ihre Analyse-Instanz hochladen.

Wenn dies der Fall ist, müssen Sie zu einer Analyseplattform wechseln, die die Erfassung personenbezogener Daten erlaubt.

3) Sie müssen auch dann Einwilligungen einholen, wenn Sie keine personenbezogenen Daten verarbeiten wollen

Auch wenn Sie keine personenbezogenen Daten verarbeiten möchten, gibt es einen Haken. Google Analytics registriert jeden Nutzer mit einer eindeutigen ID. Dank dieser ID gibt Ihnen Google Analytics Aufschluss darüber, wie viele Personen Ihre Website besuchen und wie viele von ihnen wiederkommen. DSGVO betrachtet diese Online-Kennungen als personenbezogene Daten.

Hier erfahren Sie mehr über PII und personenbezogene Daten.

Google rät Ihnen Daten mindestens mit SHA256 zu verschlüsseln, damit keine personenbezogenen Daten an Google Analytics gesendet werden. Hier finden Sie die Anleitungen von Google, wie Sie das Erfassen von personenbezogenen Daten vermeiden und IP-Adressen anonymisieren.

Die DSGVO betrachtet gehashte Daten jedoch weiterhin als personenbezogene Daten. Sie benötigen eine gültige Einwilligung der Besucher, um sie zu sammeln und zu verarbeiten. Das kann zu ernsthaften Datenverlusten führen, da 30-70 % der Besucher dem Tracken ihrer personenbezogenen Daten nicht zustimmen.

Alternativ könnten Sie auf ein Produkt umsteigen, das Ihnen ermöglicht, personenbezogene Daten zu vermeiden. Das geht am besten mit fortschrittlichen Anonymisierungsmethoden. Hier erfahren Sie, wie Sie nützliche Analysen ohne personenbezogene Daten durchführen.

Das bringt uns zum letzten Thema – dem Verwalten von Besuchereinwilligungen und Datenschutzanfragen.

Google versuchte zunächst, die Aufgabe den Verlegern und Google Analytics-Nutzern zu übertragen. Eine kürzlich getroffene Vereinbarung zwischen Google und dem IAB Europe signalisiert jedoch einen Wandel in ihrem Ansatz. Das erste Ergebnis der Zusammenarbeit ist Funding Choices. Funding Choices ist eine Plattform zum Verwalten von Einwilligungen. Sie richtet sich an große Verlage, die ihr Dateninventar über Google-Produkte monetarisieren. Der gemeine Google Analytics Nutzer wird hier ausgeschlossen.

Das bedeutet, dass Nutzer, die mit Google Analytics Informationen über Besucher sammeln, weiterhin ihre eigene Art der des Consent Management finden müssen.

Im November 2021 entschied die belgische Datenschutzbehörde, dass der IAB-Zustimmungsrahmen gegen die Datenschutzgrundverordnung verstößt. Lesen Sie mehr über diese Entscheidung hier.

Google Analytics und DSGVO: Welche Alternativen gibt es?

Das endgültige Ergebnis der Google-Analytics-Saga ist unbekannt, da wir noch auf die Stellungnahmen der anderen Datenschutzbehörden warten.

Unternehmen, die Daten von Europäern sammeln, müssen ihre Entscheidungen jetzt überdenken, um auf jedes Szenario vorbereitet zu sein. Es gibt gute Gründe, warum sie sich anderen Analyseplattformen zuwenden könnten, selbst wenn die Urteile der Datenschutzbehörden über Google Analytics ausbleiben.

Der datenschutzfreundlichste Ansatz wäre der Wechsel zu einer in der EU ansässigen Analyseplattform, die Nutzerdaten schützt und ein sicheres Hosting bietet, idealerweise in einem EU-eigenen Rechenzentrum. Damit gewährleisten Sie, dass Sie Daten im Einklang mit der DSGVO erfassen, speichern und verarbeiten.

Lesen Sie hier mehr über datenschutzfreundliche Analyseverfahren.

Die weniger datenschutzfreundliche Option besteht darin, eine Analyseplattform mit weniger Datenschutzfunktionen zu wählen und das Compliance-Risiko durch zusätzliche Sicherheitsmaßnahmen zu mindern. Dies könnte jedoch nur eine vorübergehende Lösung sein, wenn Ihre Analyseplattform die Daten immer noch an die in den USA ansässigen oder in ihrem Besitz befindlichen Server sendet, für die die US-Überwachungsgesetze gelten.

Wenn Sie mehr über Google Analytics-Alternativen erfahren möchten, lesen Sie unsere detaillierten Produktvergleiche:
Google Analytics Alternativen – kostenlos und kostenpflichtig
Piwik PRO vs. Google Analytics & Google Analytics 360

Wenn Sie mehr darüber erfahren möchten, wie die Piwik PRO Analytics Suite Sie bei der Einhaltung der GDPR unterstützt, wenden Sie sich an uns. Wir beantworten gerne Ihre Fragen.

Autor

Karolina Lubowicka

Senior Content Marketer and Social Media Specialist

Karolina ist Content Marketer und Social Media Managerin bei Piwik PRO. Sie bringt viel Erfahrung als Copywriter mit sich und versteht es dem Leser komplexe Themen des Datenschutzes & der DSGVO verständlich näherzubringen.

Mehr von diesem Autor lesen

Autor

Sebastian Synowiec

Content Marketing Specialist

Sebastian throws user experience, web analysis and data protection into a pot and shakes it up with creative writing. At Piwik PRO, he delivers easy to read content about new developments and complex topics for various target groups.

Mehr von diesem Autor lesen