Ist Google Analytics 4 legal?

Mit der Einführung von Google Analytics 4 möchte Google (unter anderem) die Datenschutzprobleme von Universal Analytics, also dem Vorläufer von GA4, lösen.

Viele Unternehmen fragen sich nun, ob der Einsatz von Google Analytics 4 in der EU tatsächlich legal ist und ob es DSGVO-konform und ohne Risiko eingesetzt werden kann. Die Frage wollen wir in diesem Artikel beantworten:

Die vorherige Version von Google Analytics (GA) sammelte standardmäßig die IP-Adressen der Nutzer. Dies war natürlich ein Verstoß gegen den europäischen Datenschutz. Die IP-Adresse gilt als persönlich identifizierbare Information (PII), die durch das Gesetz geschützt ist. Google Analytics erlaubte die Aktivierung der IP-Anonymisierungsfunktion, so dass GA die letzten drei bis vier Ziffern anonymisierte, um die Privatsphäre der Nutzer zu schützen. Die IP-Anonymisierung musste jedoch von den Nutzern manuell aktiviert werden, erforderte eine Bearbeitung des Tracking-Codes.

In GA4 ist die IP-Anonymisierung nun standardmäßig aktiviert und kann auch nicht ausgeschaltet werden. Das bedeutet, dass GA4 die IP-Adressen der Nutzer nicht speichert und die Nutzer nicht nachverfolgen kann. Aus Sicht der Datenschutzgrundverordnung ist dies die wichtigste Änderung in GA4, die den Nutzern hilft, die Datenschutzgrundverordnung einzuhalten.

Auf dieser Basis behauptet Google, dass es keine persönlichen Daten sammelt. Im Teilbeschluss vom April 2022 bestätigte die österreichische DSB jedoch erneut, dass die IP-Anonymisierung von Google Analytics nicht ausreicht. Sie begründete es, wie folgt:

Die IP-Anonymisierung betrifft nur die IP-Adresse als solche. Daten wie Online-Identifikatoren, die über Cookies oder Gerätedaten gesetzt werden, überträgt Google im Klartext.
Die IP-Anonymisierung findet erst nach dem Transfer der Daten an Google statt.
Das bedeutet, dass Google Analytics nach wie vor personenbezogene Daten sammelt.

Die österreichische DSB betonte schon in ihrem ersten Teilbeschluss, dass „IP-Adresse (…) nur eines von vielen ‚Puzzleteilen‘ des digitalen Fußabdrucks (…) ist“. Die Anonymisierung von IP-Adressen fuhrt nicht unbedingt zu dem Schluss, dass die verarbeiteten Daten nicht personenbezogen sind. Cookie-Identifikationsnummern zum Beispiel sind an sich personenbezogene Daten.

Die österreichische DSB bestätigte, dass die Verwendung dieser Kennnummern es Google Analytics ermöglicht „Website-Besucher zu unterscheiden und auch die Information zu erhalten, ob es sich um einen neuen oder um einen wiederkehrenden Website-Besucher (…) handelt.“

Google kann die Informationen, die Google Analytics 4 zu einem bestimmten Pseudonym sammelt, mit anderen Daten verknüpfen, die andere Nutzer dieser Plattform oder weiterer Google-Diensten übermitteln. Und es gibt Unmengen davon. So könnte Google die Identität der einzelnen Website-/App-Nutzer und deren Verhalten auf derselben Website oder App oder womöglich auch auf anderen Websites und in anderen Apps bestimmen.

Eine weitere wichtige Funktion von GA4 ist die wesentlich kürzere Speicherdauer der Daten. In der vorherigen GA-Version konnten Sie die gesammelten Daten für bis zu 64 Monate speichern.

In GA4 haben Sie nur zwei Optionen für die Speicherung personenbezogener Daten: 2 Monate oder 14 Monate, je nach Ihren analytischen Aktivitäten.

Diese Funktion hilft den Nutzern bei der Einhaltung des Grundsatzes der Speicherbegrenzung der DSGVO, da die Daten laut Gesetz nur so lange aufbewahrt werden dürfen, wie sie absolut notwendig sind. Wenn Ihr Unternehmen jedoch eine längere Datenspeicherung als 14 Monate benötigt, ist es möglich, die Daten über einen längeren Zeitraum zu speichern, indem ein Data Warehouse wie BigQuery von Google verwendet wird.

Die Datenverarbeitung von Google Analytics erfolgt über mehrere Server auf der ganzen Welt, von denen sich die meisten in den USA befinden. Vor 2020 wurde die Datenübermittlung gemäß dem Privacy-Shield-Rahmen geregelt. Im Juli 2020 erklärte der EU-Gerichtshof das Privacy-Shield-Rahmenwerk für ungültig. Dabei handelt es sich um einen Rechtsrahmen zur Regelung des Austauschs personenbezogener Daten zwischen der EU und den USA sowie zwischen der Schweiz und den USA, der Unternehmen auf beiden Seiten des Atlantiks einen Mechanismus zur Einhaltung der Datenschutzanforderungen bietet.

Wie Universal Analytics erlaubt es GA4 den Nutzern jedoch nicht, zu wählen, wo ihre Daten gespeichert werden sollen.

Das bedeutet, dass Unternehmen, die in der EU ansässig ist oder Nutzer aus der EU hat, zusätzliche Maßnahmen im Hinblick auf die Datenübertragung ergreifen müssen. Nach der Datenschutz-Grundverordnung gilt die Übermittlung personenbezogener Daten aus der EU oder dem Vereinigten Königreich in die USA als eingeschränkte Übermittlung.

Daher müssen Sie mit Google eine Datenverarbeitungsvereinbarung über eine eingeschränkte Datenübermittlung unterzeichnen. Sie müssen auch eine Kopie der unterzeichneten Vereinbarung aufbewahren. Darüber hinaus muss Ihre Website über eine Datenschutzerklärung verfügen, in der die Vorgehensweise bei internationalen Datenübermittlungen klar dargelegt wird.

Wenn Sie jedoch nur eine Datenverarbeitungsvereinbarung unterzeichnet haben, ist Ihre Datenübermittlung im Sinne der DSGVO nicht rechtmäßig

Google übermittelt letztlich Daten zum Speichern in die USA. Dort sind sie nach Ansicht verschiedenen Gerichte und Datenschutzbehörden nicht ausreichend vor dem Zugriff z.B. durch US-Geheimdienste geschützt.

Verschiedene europäische Gerichte und Datenschutzbehörden haben den Einsatz von Google Analytics deshalb für unzulässig erklärt. Diese Rechtsansicht vertreten auch einige Datenschützer in Deutschland.

Der Datentransfers zwischen der EU und den USA bleibt also auch bei Google Analytics 4 ein Problem.

Der Google-Einwilligungsmodus ist eine Datenschutzfunktion, die es ermöglicht, das Verhalten von Google-Tags auf Ihrer Website auf der Grundlage der Einwilligungseinstellungen der Nutzer zu ändern. Mit einer neuen GA4-Einwilligungsimplementierung können Sie GA4 anweisen, das Verhalten der Nutzer entsprechend den Einwilligungseinstellungen der Nutzer zu verfolgen.

Der Consent-Mode ist also kein einfacher „Cookie Banner“, sondern muss die Datenflüsse vor der Zustimmung des Nutzers tatsächlich unterbinden.

Die meisten Datenschutzgesetze, darunter auch die DSGVO, geben den Verbrauchern das Recht, die Löschung ihrer Daten zu verlangen. Als Reaktion darauf bietet GA4 die Möglichkeit, die Daten eines einzelnen Nutzers innerhalb einer bestimmten Zeitspanne zu löschen.

Diese Funktion hilft den Nutzern auch bei der Einhaltung der GDPR.

Um die meisten Datenschutzgesetze, einschließlich der GDPR, einzuhalten, erlaubt Google den Nutzern nicht, persönlich identifizierbare Informationen (PII) in GA4 zu sammeln. Das Sammeln von PII über GA4 gilt als Verstoß gegen die Nutzungsbedingungen von Google, und Google hat das Recht, alle Daten eines Nutzers zu löschen, wenn PII gefunden werden.

GDPR Artikel 4 definiert personenbezogene Daten: „Personenbezogene Daten sind alle Informationen über eine bestimmte oder bestimmbare natürliche Person; als bestimmbar wird eine natürliche Person angesehen, die direkt oder indirekt identifiziert werden kann, insbesondere durch Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.“

Zu den personenbezogenen Daten gehören auch:

Religiöse Ansichten
Ethnische Herkunft und Identitäten
Genetische Daten
Biometrische Daten
Philosophische Überzeugungen
Gesundheitsdaten
Sexuelle Orientierungen
Politische Ansichten
Mitgliedschaften

Google fördert die gemeinsame Nutzung Ihrer Daten mit anderen Google-Produkten wie Google Signals oder Google Ads, da dies bestimmte Vorteile bietet und die Tracking-Ergebnisse Ihres Unternehmens verbessert.

Die gemeinsame Nutzung von Daten erhöht jedoch das Risiko, gegen Datenschutzgesetze zu verstoßen, insbesondere gegen die Datenschutz-Grundverordnung, wenn sie nicht ordnungsgemäß verwaltet wird.

Gemäß der Datenschutz-Grundverordnung müssen Sie die ausdrückliche Zustimmung der Website-Nutzer zur gemeinsamen Nutzung ihrer Daten durch andere Google-Produkte wie Google Signals oder Google Ads einholen. Die Zustimmung muss erteilt werden, BEVOR die gemeinsame Datennutzung in Kraft tritt. Darüber hinaus muss in den Datenschutzbestimmungen Ihrer Website deutlich darauf hingewiesen werden, dass die privaten Daten der Nutzer mit anderen Google-Produkten geteilt werden können.

Sie können sich auch gegen die gemeinsame Nutzung von Daten entscheiden, um hinsichtlich der Einhaltung der Datenschutzgesetze auf der sicheren Seite zu sein.

Nachdem Sie also alle Funktionen von GA4 in Bezug auf die Privatsphäre der Nutzer implementiert haben, ist GA4 DSGVO-konform?

Die einfache Antwort lautet: Nein!

Das EU-US Privacy Shield trat am 12. Juli 2016 in Kraft und war ein rechtlicher Rahmen für die Regelung des transatlantischen Austauschs personenbezogener Daten zur Einhaltung der Datenschutzanforderungen. Das EU-US Privacy Shield wurde jedoch am 16. Juli 2020 ungültig.

Im September 2020 teilte der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) mit, dass der Rahmen für den Datenschutz zwischen der Schweiz und den USA ebenfalls ungültig geworden ist.

Die neue vorgeschlagene Regelung des Datentransfers, das Trans-Atlantic Data Privacy Framework (TADPF), befindet sich in der Verhandlungsphase und wird voraussichtlich Ende 2022 vorliegen. Derzeit gibt es noch keine vereinbarten Regelungen für den Datentransfer zwischen der EU und den USA.

Ab Ende 2022 ist GA4 nicht vollständig DSGVO-konform. Trotz der Hinzufügung aller oben erwähnten datenschutzfreundlichen Funktionen hat GA4 immer noch keinen Konsens mit den europäischen Regulierungsbehörden erreicht. Nach dem Außerkrafttreten des Privacy-Shield-Rahmens im Jahr 2020 muss Google den Datenschutz zwischen der EU und den USA erst noch regeln. Derzeit schützt das Unternehmen die Daten von EU-Bürgern und Anwohnern nicht ausreichend vor US-Überwachungsgesetzen. GA4 verfügt über keinen Mechanismus zur Gewährleistung der Datenspeicherung innerhalb der EU oder zur Auswahl eines bestimmten regionalen Speicherortes. Google informiert die Nutzer auch nicht über Datenspeicherorte oder Datenübertragungen außerhalb der EU. Dies ist ein direkter Verstoß gegen die Datenschutz-Grundverordnung, und die Datenverarbeitungsvereinbarung mit Google über eine eingeschränkte Datenübermittlung löst das Problem nicht vollständig.

Am 25. März 2022 kündigten der US-Präsident, Joe Biden, und die Präsidentin der EU-Kommission, Ursula von der Leyen, eine politische Einigung über einen neuen Transatlantischen Datenschutzrahmen an. Er soll das Privacy Shield ersetzen. Die EU-Kommission und die USA erklärten dann gemeinsam, dass sie sich „grundsätzlich“ auf einen neuen Transatlantischen Datenschutzrahmen einigen. Google reagierte darauf mit dem Kommentar, dass es seine Prozesse im Rahmen des neuen Trans-Atlantic Data Privacy Framework nächstmöglich zertifiziert.

Am 14. Oktober 2020 veröffentlichte Google Analytics 4 (GA4), das Universal Analytics ersetzen soll und seinen Nutzern helfen wird, die Anforderungen der DSGVO zu erfüllen.

GA4 führte eine Reihe von Datenschutzfunktionen ein, darunter die standardmäßige IP-Anonymisierung, eine kürzere Datenspeicherdauer, den Standort der Server, den Zustimmungsmodus, die Löschung persönlicher Daten der Nutzer und Regeln für personenbezogene Daten.

Die wichtigste Datenschutzverbesserung ist die Standard-IP-Anonymisierungsfunktion, die bedeutet, dass Google Analytics IP-Adressen nicht mehr speichert.

Die Implementierung aller Datenschutzfunktionen von GA4 ab 2022 macht Ihre Website jedoch leider zur Zeit nicht zwangsläufig DSGVO-konform.

Wenn Sie Google Analytics 4 nutzen möchten, dann sollten Sie die folgenden Maßnahmen ergreifen:

1. Verwenden Sie GA4 nur mit der standardmäßigen Anonymisierung;
2. Geben Sie GA4-Daten nicht an Google-Produkte weiter, wie z. B. Google Signals oder Google Ads;
3. Unterzeichnen Sie eine Datenverarbeitungsvereinbarung mit Google bezüglich einer eingeschränkten Datenübertragung;
4. Deaktivieren Sie die Personalisierungsfunktion für Werbung in GA4;
5. die anonymisierten Daten nur für aggregierte statistische Berichte zu verwenden;
6. die ausdrückliche Zustimmung der Endnutzer zur Verwendung der Google Analytics-Cookies einholen.

Warten Sie nicht bis Juli 2023, um auf GA4 zu migrieren. Auch wenn GA4 zum jetzigen Zeitpunkt noch nicht vollständig GDPR-konform ist, verfügt es im Vergleich zu Google Universal Analytics über fortschrittlicheren Datenschutzfunktionen. Wechseln Sie jetzt zu Google Analytics 4.