Ist Google Analytics 4 legal?

Mit der Einführung von Google Analytics 4 möchte Google (unter anderem) die Datenschutzprobleme von Universal Analytics, also dem Vorläufer von GA4, lösen.

Viele Unternehmen fragen sich nun, ob der Einsatz von Google Analytics 4 in der EU tatsächlich legal ist und ob es DSGVO-konform und ohne Risiko eingesetzt werden kann. Die Frage wollen wir in diesem Artikel beantworten:

Die vorherige Version von Google Analytics (GA) sammelte standardmäßig die IP-Adressen der Nutzer. Dies war natürlich ein Verstoß gegen den europäischen Datenschutz. Die IP-Adresse gilt als persönlich identifizierbare Information (PII), die durch das Gesetz geschützt ist. Google Analytics erlaubte die Aktivierung der IP-Anonymisierungsfunktion, so dass GA die letzten drei bis vier Ziffern anonymisierte, um die Privatsphäre der Nutzer zu schützen. Die IP-Anonymisierung musste jedoch von den Nutzern manuell aktiviert werden, erforderte eine Bearbeitung des Tracking-Codes.

In GA4 ist die IP-Anonymisierung nun standardmäßig aktiviert und kann auch nicht ausgeschaltet werden. Das bedeutet, dass GA4 die IP-Adressen der Nutzer nicht speichert und die Nutzer nicht nachverfolgen kann. Aus Sicht der Datenschutzgrundverordnung ist dies die wichtigste Änderung in GA4, die den Nutzern hilft, die Datenschutzgrundverordnung einzuhalten.

Auf dieser Basis behauptet Google, dass es keine persönlichen Daten sammelt. Im Teilbeschluss vom April 2022 bestätigte die österreichische DSB jedoch erneut, dass die IP-Anonymisierung von Google Analytics nicht ausreicht. Sie begründete es, wie folgt:

Die IP-Anonymisierung betrifft nur die IP-Adresse als solche. Daten wie Online-Identifikatoren, die über Cookies oder Gerätedaten gesetzt werden, überträgt Google im Klartext.
Die IP-Anonymisierung findet erst nach dem Transfer der Daten an Google statt.
Das bedeutet, dass Google Analytics nach wie vor personenbezogene Daten sammelt.

Die österreichische DSB betonte schon in ihrem ersten Teilbeschluss, dass „IP-Adresse (…) nur eines von vielen ‚Puzzleteilen‘ des digitalen Fußabdrucks (…) ist“. Die Anonymisierung von IP-Adressen fuhrt nicht unbedingt zu dem Schluss, dass die verarbeiteten Daten nicht personenbezogen sind. Cookie-Identifikationsnummern zum Beispiel sind an sich personenbezogene Daten.

Die österreichische DSB bestätigte, dass die Verwendung dieser Kennnummern es Google Analytics ermöglicht „Website-Besucher zu unterscheiden und auch die Information zu erhalten, ob es sich um einen neuen oder um einen wiederkehrenden Website-Besucher (…) handelt.“

Google kann die Informationen, die Google Analytics 4 zu einem bestimmten Pseudonym sammelt, mit anderen Daten verknüpfen, die andere Nutzer dieser Plattform oder weiterer Google-Diensten übermitteln. Und es gibt Unmengen davon. So könnte Google die Identität der einzelnen Website-/App-Nutzer und deren Verhalten auf derselben Website oder App oder womöglich auch auf anderen Websites und in anderen Apps bestimmen.

Eine weitere wichtige Funktion von GA4 ist die wesentlich kürzere Speicherdauer der Daten. In der vorherigen GA-Version konnten Sie die gesammelten Daten für bis zu 64 Monate speichern.

In GA4 haben Sie nur zwei Optionen für die Speicherung personenbezogener Daten: 2 Monate oder 14 Monate, je nach Ihren analytischen Aktivitäten.

Diese Funktion hilft den Nutzern bei der Einhaltung des Grundsatzes der Speicherbegrenzung der DSGVO, da die Daten laut Gesetz nur so lange aufbewahrt werden dürfen, wie sie absolut notwendig sind. Wenn Ihr Unternehmen jedoch eine längere Datenspeicherung als 14 Monate benötigt, ist es möglich, die Daten über einen längeren Zeitraum zu speichern, indem ein Data Warehouse wie BigQuery von Google verwendet wird.

Präsident Biden hat eine neue Verordnung, bekannt als Executive Order, erlassen, um das EU-U.S. Data Privacy Framework als Nachfolgeinitiative des Privacy Shield Frameworks zu implementieren.

Nach der Bekanntgabe einer politischen Übereinkunft am 25. März 2022 hat die US-Regierung nun weitere Details darüber veröffentlicht, wie sie die massenhafte Überwachung durch Geheimdienste auf eine rechtlich solide Grundlage stellen möchte. Zu diesem Zweck hat Präsident Biden die unverzüglich wirksame Executive Order On Enhancing Safeguards For United States Signals Intelligence Activities unterzeichnet.

Diese soll die Beanstandungen des Europäischen Gerichtshofs (EuGH) in seinem Schrems-II-Urteil vom 16. Juli 2020 (C-311/18) berücksichtigen. Der EuGH hatte das vorherige Privacy Shield Framework für nichtig erklärt, da die umfangreiche Überwachung durch US-Geheimdienste nicht den rechtlichen Mindestanforderungen entsprach. Die neue Executive Order soll diese rechtlichen Mindeststandards beinhalten und dadurch den geplanten neuen Angemessenheitsbeschluss der EU-Kommission für Privacy-Shield-zertifizierte Unternehmen ermöglichen.

Aktuell ist die Verwendung aller US-Dienste, die unter dem DPF zertifiziert sind, rechtlich abgesichert. US-Firmen müssen ein Selbstzertifizierungsverfahren absolvieren, um sich auf den Angemessenheitsbeschluss berufen zu können.

Bei Unternehmen mit vielen EU-Nutzern oder Kunden, wie etwa Meta, Google, Microsoft, AWS, kann man davon ausgehen, dass diese die Zertifizierung vorhanden ist.

Der Google-Einwilligungsmodus ist eine Datenschutzfunktion, die es ermöglicht, das Verhalten von Google-Tags auf Ihrer Website auf der Grundlage der Einwilligungseinstellungen der Nutzer zu ändern. Mit einer neuen GA4-Einwilligungsimplementierung können Sie GA4 anweisen, das Verhalten der Nutzer entsprechend den Einwilligungseinstellungen der Nutzer zu verfolgen.

Der Consent-Mode ist also kein einfacher „Cookie Banner“, sondern muss die Datenflüsse vor der Zustimmung des Nutzers tatsächlich unterbinden.

Die meisten Datenschutzgesetze, darunter auch die DSGVO, geben den Verbrauchern das Recht, die Löschung ihrer Daten zu verlangen. Als Reaktion darauf bietet GA4 die Möglichkeit, die Daten eines einzelnen Nutzers innerhalb einer bestimmten Zeitspanne zu löschen.

Diese Funktion hilft den Nutzern auch bei der Einhaltung der GDPR.

Um die meisten Datenschutzgesetze, einschließlich der GDPR, einzuhalten, erlaubt Google den Nutzern nicht, persönlich identifizierbare Informationen (PII) in GA4 zu sammeln. Das Sammeln von PII über GA4 gilt als Verstoß gegen die Nutzungsbedingungen von Google, und Google hat das Recht, alle Daten eines Nutzers zu löschen, wenn PII gefunden werden.

GDPR Artikel 4 definiert personenbezogene Daten: „Personenbezogene Daten sind alle Informationen über eine bestimmte oder bestimmbare natürliche Person; als bestimmbar wird eine natürliche Person angesehen, die direkt oder indirekt identifiziert werden kann, insbesondere durch Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.“

Zu den personenbezogenen Daten gehören auch:

Religiöse Ansichten
Ethnische Herkunft und Identitäten
Genetische Daten
Biometrische Daten
Philosophische Überzeugungen
Gesundheitsdaten
Sexuelle Orientierungen
Politische Ansichten
Mitgliedschaften

Google fördert die gemeinsame Nutzung Ihrer Daten mit anderen Google-Produkten wie Google Signals oder Google Ads, da dies bestimmte Vorteile bietet und die Tracking-Ergebnisse Ihres Unternehmens verbessert.

Die gemeinsame Nutzung von Daten erhöht jedoch das Risiko, gegen Datenschutzgesetze zu verstoßen, insbesondere gegen die Datenschutz-Grundverordnung, wenn sie nicht ordnungsgemäß verwaltet wird.

Gemäß der Datenschutz-Grundverordnung müssen Sie die ausdrückliche Zustimmung der Website-Nutzer zur gemeinsamen Nutzung ihrer Daten durch andere Google-Produkte wie Google Signals oder Google Ads einholen. Die Zustimmung muss erteilt werden, BEVOR die gemeinsame Datennutzung in Kraft tritt. Darüber hinaus muss in den Datenschutzbestimmungen Ihrer Website deutlich darauf hingewiesen werden, dass die privaten Daten der Nutzer mit anderen Google-Produkten geteilt werden können.

Sie können sich auch gegen die gemeinsame Nutzung von Daten entscheiden, um hinsichtlich der Einhaltung der Datenschutzgesetze auf der sicheren Seite zu sein.

Nachdem Sie also alle Funktionen von GA4 in Bezug auf die Privatsphäre der Nutzer implementiert haben, ist GA4 DSGVO-konform?

Die einfache Antwort lautet: Nein!

Am 14. Oktober 2020 veröffentlichte Google Analytics 4 (GA4), das Universal Analytics ersetzen soll und seinen Nutzern helfen wird, die Anforderungen der DSGVO zu erfüllen.

GA4 führte eine Reihe von Datenschutzfunktionen ein, darunter die standardmäßige IP-Anonymisierung, eine kürzere Datenspeicherdauer, den Standort der Server, den Zustimmungsmodus, die Löschung persönlicher Daten der Nutzer und Regeln für personenbezogene Daten.

Die wichtigste Datenschutzverbesserung ist die Standard-IP-Anonymisierungsfunktion, die bedeutet, dass Google Analytics IP-Adressen nicht mehr speichert.

Die Implementierung aller Datenschutzfunktionen von GA4 ab 2022 macht Ihre Website jedoch leider zur Zeit nicht zwangsläufig DSGVO-konform.

Wenn Sie Google Analytics 4 nutzen möchten, dann sollten Sie die folgenden Maßnahmen ergreifen:

1. Verwenden Sie GA4 nur mit der standardmäßigen Anonymisierung;
2. Geben Sie GA4-Daten nicht an Google-Produkte weiter, wie z. B. Google Signals oder Google Ads;
3. Unterzeichnen Sie eine Datenverarbeitungsvereinbarung mit Google bezüglich einer eingeschränkten Datenübertragung;
4. Deaktivieren Sie die Personalisierungsfunktion für Werbung in GA4;
5. die anonymisierten Daten nur für aggregierte statistische Berichte zu verwenden;
6. die ausdrückliche Zustimmung der Endnutzer zur Verwendung der Google Analytics-Cookies einholen.