Google Analytics wurde kürzlich von den europäischen Behörden wegen Nichteinhaltung der GDPR-Vorschriften zur Datenübermittlung kritisiert. Google verspricht, dass die neueste Version seines Analysetools stärker auf den Datenschutz ausgerichtet sein wird. Im nächsten Jahr wird Universal Analytics zugunsten von GA4 eingestellt, und der Datenschutz war der Hauptgrund für diese Änderung. Aber wie "datenschutzfreundlich" wird diese Version sein?
Viele Unternehmen freuen sich auf Google Analytics 4 als Lösung für das Problem der Einhaltung von Vorschriften. Die Unternehmen könnten jedoch ein wenig zu optimistisch sein. Es gibt zwar noch keine Rechtsprechung zu GA4, aber es scheint, dass GA4 unter denselben rechtlichen Problemen leidet wie UA.
- Was ist neu in Google Analytics 4?
- Wird Google Analytics 4 die rechtlichen Probleme von Universal Analytics lösen?
- Datenschutz ist mehr als Konformität
- Wie kann ich meine Google Analytics-Daten löschen?
- Abschließende Überlegungen
Tauchen wir ein!
Was ist neu in Google Analytics 4?
Universal Analytics wurde 2012 veröffentlicht und ist mittlerweile praktisch das Standard-Webanalysetool des Internets. Das wird sich bald ändern: Google hat angekündigt, dass sie Universal Analytics bis Juli 2023 auslaufen lassen werden. Personen und Unternehmen, die Google Analytics weiterhin nutzen möchten, müssen also bald auf Google Analytics 4 umsteigen.
Die neue Version des Google-Tools wurde im Jahr 2020 entwickelt und unterscheidet sich in vielerlei Hinsicht von Universal Analytics. Google Analytics 4 basiert auf First-Party-Cookies, die von Google selbst ausgestellt werden. Außerdem verwendet es ein ereignisbasiertes Modell: Es verfolgt spezifische Nutzeraktionen wie das Klicken auf einen Link oder das Aufrufen einer Seite und verknüpft sie mit einem einzelnen Nutzer. Universal Analytics hingegen basiert auf Cookies von Drittanbietern und verwendet ein sitzungsbasiertes Modell, das die Nutzeraktivitäten während eines einzigen Besuchs auf einer Website verfolgt.
Der Wechsel von einem sitzungsbasierten Modell zu einem ereignisbasierten Modell ist in der Praxis sehr wichtig. Um das neue Modell zu unterstützen, sammelt Google Analytics 4 andere Metriken als sein Vorgänger, was es für Nutzer, die mit Universal Analytics vertraut sind, schwierig machen kann, das neue Tool zu erlernen. Und da die alten Metriken nicht in das neue Modell passen, können die meisten mit Universal Analytics erfassten Daten nicht in Google Analytics 4 importiert werden.
Es gibt noch viele weitere Unterschiede zwischen Ultimate Analytics und Google Analytics 4: Die neue Version bietet beispielsweise ein verbessertes geräteübergreifendes Tracking im Vergleich zum Vorgänger und behandelt IP-Adressen auf andere Weise.
Wird Google Analytics 4 die rechtlichen Probleme von Universal Analytics lösen?
Google behauptet, dass Google Analytics 4 datenschutzfreundlicher sein wird als sein Vorgänger, und seine Nutzer hoffen, dass das neue Tool die rechtlichen Probleme von Google mit der Datenübertragung lösen wird. Die neue Version behebt jedoch nicht die entscheidenden rechtlichen Probleme, die im Spiel sind. Hier ist der Grund dafür.
Die Kernprobleme: personenbezogene Daten und ergänzende Maßnahmen
Die rechtlichen Probleme bei der Datenübermittlung sind komplex und langwierig zu erklären. Wenn Sie Zeit haben, sollten Sie sie hier ausführlich behandeln.
Kurz gesagt: Mit dem Schrems-II-Urteil des EU-Gerichtshofs wurde ein Rahmen für die Datenübermittlung für ungültig erklärt, der eine einfache Datenübermittlung in die USA ermöglichte. Europäische Unternehmen müssen sich nun auf einen Mechanismus namens Standardvertragsklauseln verlassen, um Daten ins Ausland zu übertragen. Darüber hinaus müssen sie zusätzlich zu diesen Klauseln weitere Maßnahmen ergreifen, um Daten vor staatlicher Überwachung zu schützen.
Unmittelbar nach dem Schrems-II-Urteil reichte die Datenschutz-NGO noyb bei mehreren europäischen Datenschutzbehörden 101 Beschwerden gegen Websites ein, die Google Analytics und Facebook Connect verwenden. Der Europäische Datenschutzausschuss (die Organisation, in der alle europäischen Datenschutzbehörden zusammengeschlossen sind) bildete später eine Task Force, um das Vorgehen auf europäischer Ebene zu koordinieren.
Bislang hat dieses koordinierte Vorgehen dazu geführt, dass die österreichischen, französischen, italienischen und finnischen Datenschutzbehörden Google Analytics für rechtswidrig erklärt haben. Darüber hinaus hat die dänische Behörde in einer Pressemitteilung im Wesentlichen dasselbe gesagt, und die norwegische Behörde hat in einem noch anhängigen Fall vorläufig gegen Google Analytics entschieden.
(Und vergessen wir nicht, dass es sich dabei um dieselben Rechtsfragen handelt, die Meta Ireland eine Geldstrafe von 1,2 Milliarden Euro und eine Anordnung zur Aussetzung der Datenübermittlung für Facebook gekostet haben! Wir haben diesen wichtigen Fall hier besprochen)
Der Kern der Beschwerden sind die zusätzlichen Maßnahmen, die durch das Schrems-II-Urteil gefordert werden. Es gibt keine wirksamen Maßnahmen zum Schutz personenbezogener Daten vor staatlicher Überwachung für GA und alle anderen Cloud-basierten Dienste, die Daten im Klartext verarbeiten müssen1. Daraus folgt, dass Google die DSGVO nur einhalten kann, wenn es überhaupt keine personenbezogenen Daten in den USA verarbeitet, und das ist nicht der Fall. Auch nicht für Google Analytics 4.
Google Analytics 4 überträgt personenbezogene Daten
Google hat GA4 als einen Schritt hin zu einem kochfreien und datenschutzfreundlichen Webanalysemodell beworben, aber sein neues Analysetool ist nicht völlig kochfrei. GA4 verzichtet auf Cookies von Drittanbietern und verwendet stattdessen Erstanbieter-Cookies namens Client ID. Ähnlich wie die Drittanbieter-Cookies, die von Universal Analytics verwendet werden, enthalten die Cookies von Google Analytics 4 eine eindeutige Kennung namens Client-ID. Aus diesem Grund handelt es sich um personenbezogene Daten im Sinne der DSGVO2. Google Analytics 4 überträgt also weiterhin personenbezogene Daten in die USA.
GA4 verwendet auch eine Kennung namens User-ID. User-IDs sind keine Cookies, sondern ein anderes Tool, das GA verwendet, um Nutzer geräteübergreifend zu verfolgen. Es handelt sich um personenbezogene Daten, da sie es ermöglichen, einzelne Nutzer aus dem Website-Verkehr herauszufiltern3. Das Gleiche gilt für die eindeutige ID4, einen anderen Parameter, der von Google Analytics verarbeitet wird, um eine Nutzer-ID zu erzeugen.
DieDatenverknüpfung ist ein weiterer entscheidender Faktor. GA4 verarbeitet viele Ereignisse und Metriken, die für sich genommen keine sinnvollen Daten sind, aber kombiniert werden können, um einen Nutzer zu identifizieren. Entscheidend ist, dass Google auch persönliche Daten von Nutzern sammelt, die in ihrem Google-Konto angemeldet sind. Diese Daten können mit anderen von GA4 gesammelten Daten verknüpft werden, so dass ein Nutzer leicht identifiziert werden kann. Wie die europäischen Behörden in jüngsten Entscheidungen festgestellt haben, handelt es sich bei diesen Daten ebenfalls um personenbezogene Daten.
Die Übermittlung personenbezogener Daten in die USA ist das eigentliche Problem. Google Analytics 4 löst dieses Problem nicht. Bei der Einrichtung von Google Analytics 4 werden nach wie vor personenbezogene Daten in die USA übertragen.
Datenschutz ist mehr als Konformität
Bisher haben wir einen Blick auf die Einhaltung der GDPR durch GA4 geworfen. Aber wie sieht es mit den allgemeinen Auswirkungen auf den Datenschutz aus?
Beginnen wir mit den guten Nachrichten. GA4 ist definitiv datenschutzfreundlicher im Umgang mit IP-Adressen, da diese weder protokolliert noch gespeichert werden. Zum Vergleich: UA speichert IP-Adressen immer und bietet nur ein optionales IP-Anonymisierungsprotokoll an (das von den europäischen Datenschutzbehörden für unwirksam gehalten wird). Die Abschaffung der Cookies von Drittanbietern ist ebenfalls ein Schritt in die richtige Richtung.
Andererseits ermutigt das User-ID-System zu sehr invasiven Tracking-Praktiken. Es handelt sich im Wesentlichen um ein zweistufiges System, bei dem die Website selbst bestimmte Daten sammelt, um einen Nutzer plattformübergreifend zu identifizieren. Auf der Grundlage dieser Daten erstellt die Website eine eindeutige ID und übermittelt sie an Google. Google generiert dann eine Nutzer-ID für jede bereitgestellte eindeutige ID und verfolgt den Parameter geräteübergreifend.
Sobald GA4 zum Standard wird, haben Websites einen Anreiz, Nutzer noch intensiver zu verfolgen und werden vorhersehbar nach jedem Vorwand suchen, um die Daten zu sammeln, die Google Analytics benötigt, um Nutzer geräteübergreifend zu verfolgen. Sie könnten damit beginnen, Inhalte hinter einer Registrierung zu verbergen, um Anmeldedaten zu sammeln und eine eindeutige ID zu generieren, ähnlich wie bei den "Cookie-Walls", die im Wesentlichen Daten als Bezahlung für einen "eingemauerten" Artikel verlangen.
Was die Einhaltung der Vorschriften angeht, kann dies leicht schief gehen. Es ist zu erwarten, dass Websites Anmeldedaten mit der Zustimmung des Nutzers sammeln, ohne den Nutzer darüber zu informieren, dass die Anmeldedaten verwendet werden, um sein Verhalten zu Analysezwecken nachzuverfolgen, was einen Verstoß gegen die Datenschutz-Grundverordnung5 darstellt. Oder sie informieren den Nutzer, zwingen ihn aber auch dazu, in die Nachverfolgung einzuwilligen, um sich zu registrieren - dies ist ein Fall von "gebündelter" Einwilligung und rechtlich problematisch6. Entscheidend ist, dass die Erstellung einer eindeutigen ID gemäß den Nutzungsbedingungen von GA vollständig in der Verantwortung des Kunden liegt und Google nicht für Verstöße verantwortlich ist.
Alternativ könnten Websites auch nach anderen "kreativen" Wegen suchen, um ihre Nutzer zu verfolgen. Sie können zum Beispiel probabilistisches Tracking einsetzen, d. h. sie sammeln eine Reihe von Daten wie IP, Gerätestandort und Browsing-Daten und lassen sie durch Algorithmen laufen, um die Wahrscheinlichkeit zu schätzen, dass zwei Geräte demselben Nutzer gehören. Das klingt invasiv, und das ist es auch.
Unterm Strich: Google schafft einen potenziellen Datenschutz-Albtraum und entzieht sich der Verantwortung, indem es einen Teil der Nachverfolgungsarbeit an die Kunden auslagert.
Wie kann ich meine Google Analytics-Daten löschen?
Wenn Sie sich dafür entscheiden, den Datenschutz an erste Stelle zu setzen, sollten Sie Ihre Google Analytics-Daten löschen. Dies ist leicht zu bewerkstelligen. In unserem Blog finden Sie eine ausführlichere Erklärung, wie Sie dies tun können, aber in Kürze
- Melden Sie sich bei Ihrem Google Analytics-Konto an
- Öffnen Sie den Verwaltungsbereich über das Symbol unten links auf Ihrem Bildschirm
- Gehen Sie zu den Eigenschaftseinstellungen
- Wählen Sie die Eigenschaft für Ihre Website aus und verschieben Sie sie in den Papierkorb
- Entfernen Sie den Code für Ihre Website
- Optional: Löschen Sie anschließend Ihr Google Analytics-Konto. Sie können dies über den Kontoabschnitt Ihres Kontos tun.
Bitte beachten Sie: Sie sollten eine Kopie Ihrer Daten speichern, bevor Sie sie löschen, da Simple Analytics und einige andere Webanalysetools es Ihnen ermöglichen, historische Daten aus Google Analytics zu importieren.
Abschließende Überlegungen
Wie bereits erwähnt, gibt es noch keine Rechtsprechung zu den Datenübertragungen von GA4. Wir bei Simple Analytics haben keine Kristallkugel, aber auf der Grundlage der bestehenden Rechtsprechung und der eigenen Dokumentation von Google haben wir gute Gründe zu glauben, dass die Verwendung von Google Analytics 4 nicht GDPR-konform ist.
Google Analytics 4 ist nicht nur nicht gesetzeskonform, sondern wir glauben auch, dass es ein sehr in die Privatsphäre eingreifendes Analysemodell ist, das Websites dazu ermutigt, ihre Nutzer zu verfolgen.
Wir von Simple Analytics sind der Meinung, dass Sie keine Website-Besucher verfolgen oder persönliche Daten sammeln müssen. Wir bieten Ihnen die Einblicke, die Sie brauchen, ohne in die Privatsphäre Ihrer Besucher einzudringen und sind zu 100% GDPR-konform.
Wir glauben an die Schaffung eines unabhängigen und besucherfreundlichen Internets. Wenn Sie sich davon angesprochen fühlen, können Sie uns gerne ausprobieren.
#1 Empfehlungen 01/2020 zu Maßnahmen, die die Übermittlungsinstrumente ergänzen, um die Einhaltung des EU-Schutzniveaus für personenbezogene Daten zu gewährleisten, Abs. 94. [^2]: EDPB-Stellungnahme 5/2019 zum Zusammenspiel zwischen der Datenschutzrichtlinie für elektronische Kommunikation und der Datenschutz-Grundverordnung, insbesondere in Bezug auf die Zuständigkeit, Aufgaben und Befugnisse der Datenschutzbehörden, Abs. 29. [^3]: Erwägungsgrund 26 GDPR, [^4]: Die Verwendung personenbezogener Daten (PII) als eindeutige ID verstößt gegen die Nutzungsbedingungen von GA. Der Begriff der personenbezogenen Daten im Sinne der DSGVO ist jedoch weiter gefasst als der der PII im Sinne von Google. Dies wird von Google selbst hervorgehoben [^5]: Art. 13(1) GDPR. Wenn eine Einwilligung eingeholt wird, wird die Anforderung, dass die Einwilligung in Kenntnis der Sachlage und spezifisch gemäß Art. 4(11) verstößt ebenfalls gegen [^6]: Art. 7(4) GDPR verbietet die gebündelte Einwilligung nicht gänzlich, beschreibt sie aber als problematisch.