Die Risiken von Google Analytics im Hinblick auf den Datenschutz – reduziert GA4 die Risken?

1. Warum sehen europäische Datenschutzbehörden den Einsatz von Google Analytics kritisch?

Dürfen Unternehmen Tools der großen US-Tech-Unternehmen wie Google Analytics überhaupt noch nutzen? Die Antwort ist wie zu erwarten nicht einfach, denn die aktuelle Rechtsprechung und Sichtweise der Datenschutzbehörden stellt eine Herausforderung dar. Seit dem Schrems II-Urteil des Europäischen Gerichtshofs und dem Wegfall des Privacy Shields ist der Datenschutz bei der Übertragung von personenbezogenen Daten aus der EU in die USA nicht mehr automatisch gewährleistet, sondern von einer Einzelfallbetrachtung abhängig. Unternehmen, die dennoch Tech-Produkte aus den USA nutzen, müssen mit Ermittlungen rechnen und sollten die Risken gegen die Chancen genaustens abwägen. Vor allem Google Analytics gerät ins Visier der europäischen Datenschutzbehörden, da nach der Auffassung mehrere Behörden das Tracking nicht mit der DSGVO im Einklang steht. In einigen Ländern wurde die Nutzung für rechtswidrig oder möglicherweise unzulässig erklärt.

Google Analytics sammelt eine Vielzahl an Informationen über die Besucherinnen und Besucher einer Webseite, wie zum Beispiel Suchbegriffe, IP-Adressen, Gerätekennungen oder Parameter, die von den Webseitenbetreibern vergeben werden. Diese Daten werden für gezielte Werbung oder andere Zwecke genutzt und fließen vermutlich auch in eine Profilbildung ein. Unstrittig ist, dass ein Tracking mit Cookies DSGVO konform nur bei einer Einwilligung der Betroffenen oder des Betroffenen erfolgen kann. Die meisten Datenschutzbehörden sehen auch ein Tracking ohne Cookies als Einwilligungspflichtig, die Aussagen sind hier jedoch nicht ganz so eindeutig. Der Einsatz von Google Analytics im Vergleich zu anderen Diensten unterliegt dabei zunächst dem gleichen Vorwurf wie beim Einsatz anderer US-Dienste.

2. Welche besonderen Probleme bereitet Google Analytics für den Datenschutz?

Obwohl Google versichert, dass nach der Anonymisierung von Bestandteilen der IP-Adresse die Daten keine Rückschlüsse auf einzelne Nutzer ermöglichen, sehen die Behörden Anhaltspunkte, dass in Profilen gespeicherte Daten unzulässige Rückschlüsse durch Vernetzung der Daten zulassen. Da nach Ansicht des EuGHs die Gesetze der USA keinen ausreichenden Schutz für europäische Bürger vorsehen, können auch die von Google gegeben Garantien (Standardvertragsklausel) nicht ausreichend sein. In diesem Fall müsste das Unternehmen, das Google Analytics einsetzen möchte, weitere Schutzmaßnahmen ergreifen, um den Datenschutz zu gewährleisten. Dieses könnte im Einzelfall möglich, aber schwer zu bewerkstelligen sein.

3. Verbessert GA4 die Situation im Hinblick auf den Datenschutz

Zunächst einmal: Universal Analytics (GA3) und Google Analytics 4 (GA4) unterscheiden sich nicht nur deutlich in Bezug auf die Funktionsweise und Messmetriken, Sie stellen auch andere Funktionen zur Einhaltung des Datenschutzes zur Verfügung. Hier sind einige wichtige Unterschiede:

1. IP-Adressen: Bei GA4 werden nach Angabe von Google die Anonymisierungsschritte bereits auf EU-Servern statt. Bei GA3 wird davon ausgegangen, dass die Anonymisierung erst in den USA erfolgte. Dieses stellt eine Verbesserung bei der individuellen Risikoeinschätzung dar.
2. Opt-out-Möglichkeiten: GA4 bietet erweiterte Opt-Out Möglichkeiten, die Praxiswirkung in der EU ist aber beschränkt, da eine Erhebung ohne Einwilligung derzeit von den meisten Datenschutzbehörden abgelehnt wird und ein erweitertes Opt-Out in einem Opt-In-Model nur wenig Vorteile bietet.
3. GA4 bietet eine Version ohne das Setzen eigener Cookies an: Diese Einstellung ist sicher im Sinne des Datenschutzes, insbesondere im Hinblick auf die E-Privacy-Richtline. Die grundsätzlichen Problematiken des Trackings und Übertragung in die USA löst diese Einstellung nicht. Zudem schließt Google nicht aus, andere Cookies, die bereits gesetzt sind, auszulesen. Dieses könnte den Vorteil vollständig aufheben, da die Betreiberin oder der Betreiber der Webseite diese Faktoren nicht kontrollieren kann.

Die Nutzung von Google Analytics 4 kann also bei der individuellen Risikoeinschätzung von Vorteil sein. Einen Freibrief, Google Analytics ohne genaue Abwägung einzusetzen, ist es aber nicht.

4. Alternativen zu Google Analytics für mehr Datenschutz

Neben Google Analytics gibt es auch andere Tools, die eine datenschutzfreundlichere Alternative darstellen können. Eine gute Übersicht von Alternativen findet sich hier. Wir selbst setzen eine selbstgehostete Version von Matomo ein, einem Open-Source-Tool, welches in einer Basisversion kostenfrei auf eigenen Servern genutzt werden kann. Hier stellt sich die Frage der Datenübertragung an Dritte nicht mehr. Das Tracking erfordert in jedem Fall dennoch die Einwilligung der Besucherin oder des Besuchers. Wem das eigene Hosting zu kompliziert ist, sollte drauf achten, dass die Daten durch den Auftragsverarbeiter nur in der EU verarbeitet werden. Auch hier gibt es eine gute Auswahl.

5. Jüngste Entwicklungen und Urteil des LG Köln vom 23.03.2023

In einem Urteil des LG Köln, das nach Klage der Verbraucherzentrale NRW gegen die Telekom erfolgt, beanstandete das Gericht den Einsatz von Google Ads im Zusammenspiel mit Google Analytics. Konkret wurde die Übertragung von Daten in die USA bemängelt, so wie die Tatsache, dass die Cookie-Bannereinwilligung nicht als zulässige Einwilligung galt, da keine informierte Einwilligung möglich war. Zwar richtet sich das Urteil hier nur gegen Google Analytics 3 und eine bestimmte Ausgestaltung der Einwilligungsinformation. Es zeigt sich jedoch auch, dass die Anforderungen beim Einsatz von Google Analytics derzeit zunehmen.

6. Wie reagieren die USA und EU auf die Situation?

US-Präsident Joe Biden hat per Dekret ein neues Regelwerk zum Umgang mit Daten von EU-Bürger*innen unterzeichnet, bei dem die USA auf die EU-Positionen zugehen. Für die EU-Unternehmen ändert sich aber nichts, bis die EU in Reaktion darauf ein Angemessenheitsbeschluss trifft. Dieses ist bisher noch nicht geschehen. Auch danach wird dieses nicht der letzte Akt in dieser Geschichte sein, da auch in dem neuen US-Regelwerk vermutlich nicht alle Punkte ausgeräumt wurden. Update 10.7.2023: Der Angemessenheitsbeschluss ist jetzt erfolgt. Mehr dazu hier.

7. Was sollte ich bedenken, wenn ich Google Analytics derzeit einsetze?

Die jüngsten Urteile und Aussagen der Datenschutzbehörden lassen vermuten, dass Google Analytics weiter untersucht und beanstandet werden wird. Dennoch handelt es sich bisher um Beanstandungen der konkreten Ausgestaltungen und Einsatzweisen. Ein generelles Verbot lässt sich – nach Einschätzung der meisten Kommentare – daraus nicht ableiten. Es sollte aber in jedem Fall eine individuelle Risikoanalyse erfolgen und der Einsatz gegeben falls von weiteren Maßnahmen begleitet werden. Auch sollte erwogen werden, ob der Einsatz einer europäischen Alternative möglich ist. Letztere Punkt ist insbesondere hervorzuheben, wenn ein Einsatz erst begonnen werden soll.

*Das Angebot richtet sich an Unternehmen, Selbständige und Freiberufler*innen in Deutschland und nicht an Verbraucher*innen. Alle angegebenen Preise sind zuzüglich der jeweils gültigen Umsatzsteuer. Es gelten detaillierte Vertragsbedingungen, die wir Ihnen mit unserem Angebot zusenden.

Der Inhalt dieses Beitrags wurde von uns sorgfältig aus öffentlichen Quellen und bekannten Einschätzungen zusammengestellt. Es sollten keine Entscheidungen allein auf Basis der Informationen in diesem Text getroffen werden. Er stellt auch keine Rechtsberatung dar und kann eine individuelle Beratung durch eine Rechtsanwältin oder einen Rechtsanwalt nicht ersetzen.