Google Analytics 4 – Können Sie das Tool noch datenschutzkonform nutzen?

Inhaltsverzeichnis:

1. Neuerungen durch Google Analytics 4
2. Datenschutzrechtliche Beurteilung
3. Reaktionen der Datenschutzbehörden
4. Fazit
5. Unser Tipp

Diesen Artikel jetzt als Podcast anhören

Google Analytics ist eines der beliebtesten Analysetools auf dem Markt. Viele Online-Shops nutzen Google Analytics zur Auswertung des Nutzerverhaltens, um so die Anzahl der Besuche des Online-Shops zu erhöhen. Das Nutzen von Google Analytics in der EU gestaltet sich jedoch aufgrund der vom EuGH für unzulässig befundenen Übertragung und Verarbeitung personenbezogener Daten in die USA schon länger als datenschutzrechtlich problematisch.

Nun hat Google angekündigt, den Support für das bisherige Analysetool „Universal Analytics“ bis Mitte 2023 einzustellen und dann nur noch die neue Version „Google Analytics 4“ zu unterstützen.

Doch bringt dieser Wechsel nur technische Neuerungen mit sich? Oder löst er auch die datenschutzrechtlichen Probleme und ermöglicht die rechtssichere Nutzung von Google Analytics 4 für den Online-Handel im europäischen Markt?

Neuerungen durch Google Analytics 4

Welche technischen Änderungen bringt der Wechsel von der letzten Version zu Google Analytics 4?

Tatsächlich lässt sich der Wechsel nicht wirklich als „Update“ der alten Version verstehen, sondern viel mehr als Einführung eines vollständig neuen Analysetools. So ändert sich nicht nur die bekannte Benutzeroberfläche (auch „User-Interface“), sondern auch das zugrundeliegende Datenmodell, um besser visualisierte Analysen zu erstellen.

Die größten Neuerungen sind wohl, dass der Fokus bei Google Analytics 4 (GA4) nun auf den Ereignissen statt auf den Sitzungen liegt. Während Universal Analytics die Daten noch aufgrund von Sitzungen und Seitenaufrufen erstellte, stehen bei GA4 die Endnutzer und deren Ereignisse im Mittelpunkt. Die Daten werden zum Beispiel durch sogenannte „Standardereignisse“, wie die Klicks der Endnutzer auf externe Links oder die Interaktion mit Videoinhalten, erstellt und aufbereitet.

Konkret bedeutet dies, dass die Interaktionen der Besucherinnen und Besucher, wie zum Beispiel die Scroll-Tiefe, einfach und mithilfe von automatisch eingerichteten Ereignissen erfasst werden können. Damit ist es nicht länger notwendig, den Website-Code für diese Ereignisse anzupassen. Durch diese und weitere Änderungen wird eine weitaus anfängerfreundliche Einrichtung des Analysetools ermöglicht.

Auch für den Datenschutz bringt der Wechsel einige Neuerungen mit sich. Google Analytics 4 verspricht, die IP-Adressen der Endnutzer automatisch zu anonymisieren. Außerdem sollen größere Datenlücken vermieden werden, indem ein Teil der Daten auch ohne konkrete Zustimmung datenkonform getrackt werden können soll.

Datenschutzrechtliche Beurteilung

Doch werden diese technischen Änderungen die aktuellen Datenschutzprobleme tatsächlich lösen?

Nach § 25 Abs. 1 TTDSG muss für die Speicherung von und den Zugriff auf Informationen, die im Endgerät des Endnutzers gespeichert sind, stets eine Einwilligung des Endnutzers vorliegen. Auch unter Google Analytics 4 bleibt dies gleich. Vor dem Setzen und Auslesen von Cookies muss somit eine Einwilligung eingeholt werden.

Außerdem fordert die DSGVO, dass die Verarbeitung von personenbezogenen Daten gerechtfertigt ist.

Auch dabei ändert sich durch den Wechsel zu Google Analytics 4 nichts. Die Betreiber von Online-Shops müssen entweder ein „überwiegendes berechtigtes Interesse“ zur Verarbeitung dieser Daten haben, oder es wird wie für das Setzen und Auslesen von Cookies eine Einwilligung zur Datenverarbeitung erforderlich. 

Wie schon jetzt möglich kann die Einwilligung für das Setzen von Cookies und die Verarbeitung von persönlichen Daten weiterhin gemeinsam eingeholt werden. 

Welcher Fall auch auf Ihren Online-Shop zutreffen mag: den Endnutzern steht eine Opt-Out Möglichkeit zu, durch welche diese stets ihre erteilte Einwilligung widerrufen können.

Wie schon unter Universal Analytics stellt die Übertragung von personenbezogenen Daten außerhalb der EU das größte datenschutzrechtliche Problem dar.

Reaktionen der Datenschutzbehörden

Aufgrund dieser personenbezogenen Datenübertragung positionierten sich in der Vergangenheit mehrere europäische Datenschutzbehörden kritisch gegen den Google Dienst.

Im Sommer 2020 stellte der EuGH mit dem Schrems-II-Urteil fest, dass eine Übermittlung personenbezogener Daten in die USA gegen die Vorgaben der DSGVO verstößt. Folglich geriet Google Analytics immer stärker in das Blickfeld der europäischen Datenschutzbehörden.

Als erste Aufsichtsbehörde traf die österreichische Datenschutzbehörde einen Beschluss zum Einsatz von Google Analytics, in welchem durch die Übermittlung von personenbezogenen Daten in die USA ein DSGVO-Verstoß festgestellt wurde. Nähere Informationen dazu finden Sie in diesem Blog-Beitrag.

Kurz darauf entschied auch die französische Datenschutzbehörde CNIL, dass der Einsatz von Google Analytics auf Webseiten nicht mit der Datenschutz-Grundverordnung vereinbar ist. 

Dieser Entscheidung schloss sich auch die italienische Datenschutzbehörde im Juni 2022 an und forderte einen Webseitenbetreiber auf, die Verarbeitung mittels Google Analytics innerhalb von 90 Tagen einzustellen.

Die CNIL begründete ihre Entscheidung damit, dass durch die Aufhebung des US-Privacy Shield im Schrems-II Urteil kein vergleichbares Datenschutzniveau mehr für die Datenübermittlung in die USAvorliegt. Da die US-Behörden an vertragliche Maßnahmen von Drittparteien nicht gebunden sind, stellen auch die von Google eingeführten Standarddatenschutzklauseln nach der CNIL keine ausreichende Anpassung des Datenschutzniveaus dar.

Im Gegensatz zu dem Beschluss aus Österreich wurde im Fall der französischen Datenschutzbehörde jedoch ausdrücklich in die Verwendung von Google Analytics eingewilligt.

Doch auch die ausdrückliche Einwilligung eines Nutzers kann nach dem Beschluss der CNIL das Problem der Datenübertragung in die USA nicht lösen. Eine Einwilligung in den Datentransfer ist zumindest aus der Sicht der Datenschutzbehörden somit auch nicht möglich.

Zu beachten ist, dass keine der genannten Aufsichtsbehörden ein Bußgeld auferlegt hat. Es wurde lediglich ein DSGVO-Verstoß festgestellt und angeordnet, das Analysetool abzustellen.

Auch die niederländische Datenschutzbehörde Autoriteit Persoonsgegevens hat nach mehreren Beschwerden gegen die Verwendung von Google Analytics ihre Hinweise zu einer datenschutzfreundlichen Einrichtung von Google Analytics um den Hinweis erweitert, dass dieses Tool möglicherweise schon bald nicht mehr erlaubt sei.

Fazit

Schließlich bleibt festzustellen, dass auch der Wechsel zu Google Analytics 4 die große datenschutzrechtliche Problematik der Datenübermittlung von personenbezogenen Daten in die USA nicht lösen wird.

Spätestens nach den jüngsten Entwicklungen lohnt es sich für die meisten Betreiber, sich in naher Zukunft mit möglichen Alternativen zu Google Analytics auseinanderzusetzen.

Dabei stellen alle Anbieter, die entweder selbst in der EU ansässig sind oder bei denen die Daten zumindest garantiert in der EU verbleiben, aus dem Blickwinkel der Datenschutzbehörden eine lohnenswerte Alternative da.

Unser Tipp

Für die Praxis raten wir Ihnen, den Einsatz von Analysetools sehr genau zu untersuchen und eine ausgewogene und umfassende Risikoentscheidung zu treffen.

Kund*innen unserer Legal Produkte erhalten nähere Informationen zum rechtssicheren Einsatz von Webanalysetools in unserem exklusiven Webinar am 27 Oktober.