Ist Google Analytics GDPR-konform?

Image of Carlo Cilento

Veröffentlicht am 15. Feb. 2023 und bearbeitet am 15. Aug. 2023 von Carlo Cilento

Dieser Artikel wird automatisch übersetzt. Wechsle zur englischen Version, um das Original zu lesen.

Sie haben wahrscheinlich von den rechtlichen Problemen von Google Analytics mit der GDPR gehört. Datenschutzbeauftragte gehen hart mit Google Analytics ins Gericht, Vermarkter in ganz Europa geraten in Panik, und Google sagt allen, dass alles in Ordnung sein wird. Das Internet ist randvoll mit Informationen darüber, wie Sie Ihre Website GDPR-konform machen können. Das kann alles sehr verwirrend sein, deshalb hier ein Überblick über die Vorgänge bei Google Analytics.

  1. Was hat es mit Google Analytics auf sich?
  2. Was genau besagen die Entscheidungen über Google Analytics?
  3. Wie sieht es mit der IP-Anonymisierung aus?
  4. Was ist mit Google Analytics 4?
  5. Was ist mit Google Analytics für Firebase?
  6. Wird Google das Problem lösen?
  7. Was ist mit dem neuen Datentransferabkommen?
  8. Was kann ich tun, um Google Analytics konform zu machen?
  9. Gibt es weitere Datenschutzrisiken im Zusammenhang mit Google Analytics?
  10. Alternativen zu Google Analytics
  11. Entscheiden Sie sich, bei Google Analytics zu bleiben?
  12. Abschließende Überlegungen
Logo of the Government of the United KingdomThe UK Government chose Simple AnalyticsJoin them

Was hat es mit Google Analytics auf sich?

Google Analytics benötigt personenbezogene Daten, um zu funktionieren. Und das geht so: Wenn Sie einem Cookiebanner zustimmen, werden Ihre persönlichen Daten gesammelt und an Google Irland gesendet. Dann sendet Google Irland die Daten zur Verarbeitung an Google in den USA. Schließlich zaubert der Mutterkonzern seine Algorithmen und versorgt die Website mit Erkenntnissen über das Nutzerverhalten.

Es handelt sich also um eine Extra-EU-Datenübermittlung, an der drei Akteure beteiligt sind: die Website, Google Irland und Google.

In der Datenschutz-Grundverordnung wurden strenge Regeln für die Datenübermittlung festgelegt, um sicherzustellen, dass personenbezogene Daten die EU nur sicher verlassen können. Leider ist dies im Fall von Google Analytics nicht möglich. Dies ist unabhängig von Google: Das Unternehmen unterliegt der US-Gesetzgebung, die eine umfassende Überwachung ausländischer Daten, einschließlich der Daten europäischer Nutzer, erlaubt.

biden.png

Die Überwachung steht im Mittelpunkt der rechtlichen Fragen im Zusammenhang mit der Datenübermittlung. Das US-Überwachungsrecht ist der Grund dafür, dass der EU-Gerichtshof in den berühmten Urteilen Schrems I und II zwei Rahmenregelungen für den Datentransfer zwischen der EU und den USA für ungültig erklärt hat. Und vor kurzem hat die Datenschutz-NGO noyb einen Rechtsstreit gegen Google Analytics und Facebook Connect wegen Datenübertragungen begonnen, indem sie 101 identische Beschwerden bei vielen europäischen Behörden einreichte.

Die Strategie hat sich bisher ausgezahlt. Die Behörden haben ihre Reaktion auf europäischer Ebene koordiniert. So haben die Aufsichtsbehörden von Österreich, Frankreich, Italien und Finnland gegen Google Analytics entschieden. Darüber hinaus hat auch die norwegische Behörde in einer vorläufigen Schlussfolgerung die Verwendung von Google Analytics als rechtswidrig eingestuft (das Verfahren ist noch anhängig), und Dänemark hat sich in einer Pressemitteilung dem gleichen Standpunkt angeschlossen. Angesichts der Koordinierung auf europäischer Ebene und der Vorreiterrolle der einflussreichen französischen und italienischen Behörden werden wahrscheinlich weitere Entscheidungen folgen.

Zu guter Letzt wurden die Datenübermittlungen von Facebook ausgesetzt (und auch Meta Irland wurde mit einer Rekordstrafe von 1,2 Milliarden Euro belegt). Dies geschah aus genau denselben rechtlichen Gründen, die auch Google Analytics plagen: die Unmöglichkeit der Einhaltung von Schrems II. Mehr über diese wichtige Entscheidung erfahren Sie in unserem Blog.

US_EU_Cables.png

Was genau besagen die Entscheidungen über Google Analytics?

Auf vielen Websites und in den Medien wird berichtet, dass Google Analytics in bestimmten Ländern verboten oder für illegal erklärt wurde. Stimmt das?

In jeder Entscheidung ordnete eine Behörde an, dass eine bestimmte Website Google Analytics nicht mehr verwenden darf, weil sie feststellte, dass die Datenübertragungen keine ausreichenden Garantien für personenbezogene Daten boten. Theoretisch könnte eine andere Website stärkere Sicherheitsvorkehrungen für personenbezogene Daten treffen und Google Analytics rechtmäßig und sicher verwenden. Aber Theorie ist hier das Schlüsselwort. In der Praxis ist die Umsetzung von Schutzmaßnahmen für viele Dienste schwierig und für Google Analytics unmöglich.

Google Analytics verwendet Cookies, um Nutzer zu verfolgen. Diese Cookies enthalten eindeutige IDs zur Identifizierung jedes Nutzers und gelten als personenbezogene Daten. Die einzige Möglichkeit, Google Analytics GDPR-konform zu nutzen, besteht also darin, diese Daten zu anonymisieren - aber das sind genau die Daten, die Google Analytics am meisten braucht! Sie könnten Google Analytics rechtmäßig verwenden, indem Sie es serverseitig ausführen und alle personenbezogenen Daten anonymisieren, aber das würde die Leistung von Google Analytics beeinträchtigen. Das ist eine teure Lösung, die zu schlechten Ergebnissen führt.

In der Praxis kommen die Entscheidungen gegen Google Analytics also einem landesweiten Verbot gleich. Und wir haben bereits solche Entscheidungen für mehrere Länder, darunter Frankreich und Italien - zwei wichtige nationale Märkte in der EU.

google-lawsuit.png

Wie sieht es mit der IP-Anonymisierung aus?

Universal Analytics enthält eine Option zur Anonymisierung von IP-Adressen, doch ist dies nicht die Standardoption. Google Analytics 4 ist in dieser Hinsicht besser und anonymisiert IP-Adressen automatisch.

Leider macht die IP-Anonymisierungsoption von Google Analytics Google Analytics nicht GDPR-konform. Die europäischen Behörden haben festgestellt, dass die IP-Maskierungstechnik von Google eher schwach ist und nicht den GDPR-Standards für Anonymisierung entspricht. Außerdem sind Google Analytics-Cookies unabhängig von der IP-Anonymisierung immer noch personenbezogene Daten im Sinne der Datenschutz-Grundverordnung. Die Anonymisierung von IP-Adressen löst also nicht das zentrale rechtliche Problem der Übermittlung personenbezogener Daten.

Was ist mit Google Analytics 4?

Ist es datenschutzfreundlicher als Universal Analytics? Ja. Ist es GDPR-konform? Wahrscheinlich nicht. Wir haben noch keine Entscheidungen über Google Analytics 4 getroffen, aber die neue Version löst nicht die entscheidenden rechtlichen Probleme bei der Datenübertragung.

Google Analytics 4 weist im Vergleich zu Universal Analytics einige Verbesserungen auf. Google Analytics 4 setzt auf Erstanbieter-Cookies, die weniger invasiv sind als Drittanbieter-Cookies. Außerdem ist die IP-Anonymisierung immer aktiviert, und die IP-Adresse wird von Google nicht erfasst. Bei näherer Betrachtung leidet Google Analytics 4 jedoch unter denselben Compliance-Problemen, da es nach wie vor auf Cookies angewiesen ist und Cookies personenbezogene Daten sind. Die Änderungen sind zu begrüßen, lösen aber nicht das rechtliche Problem.

Was ist mit Google Analytics für Firebase?

Es ist sicher, dass Firebase unter denselben rechtlichen Problemen leidet wie Google Analytics. Ähnlich wie Google Analytics verwendet Google Analytics für Firebase Cookies mit eindeutigen Identifikatoren, die nach der DSGVO personenbezogene Daten sind. Es werden auch andere personenbezogene Daten verarbeitet, darunter invasive Kennungen für mobile Geräte. All diese Daten werden in der Infrastruktur von Google verarbeitet, da Google Eigentümer von Firebase ist.

Wird Google das Problem lösen?

Das wird es nicht, denn es gibt keine einfache Lösung. Google kann das Problem nicht lösen, indem es seine Verarbeitungsbedingungen ändert. Wenn Geheimdienste die Daten anfordern, muss Google sie gemäß der US-Gesetzgebung herausgeben.

Im Moment besteht die einzige Lösung darin, die Verarbeitung europäischer Daten direkt in die EU zu verlagern, wie es Microsoft mit seinem EU Data Boundary Program vorhat. Natürlich ist dies eine teure Lösung, die eine umfangreiche Infrastruktur in Europa erfordert. Google hat nie ein ähnliches Programm angekündigt und hat wahrscheinlich nicht die Absicht, in die Datenlokalisierung zu investieren.

Was ist mit dem neuen Datentransferabkommen?

Nach langen Verhandlungen einigten sich die USA und die EU auf einen neuen Rahmen für die Datenübermittlung (das Trans Atlantic Data Privacy Framework). Die Europäische Kommission ist dabei, diesen Rahmen durch einen Angemessenheitsbeschluss in EU-Recht umzusetzen. Dabei handelt es sich um einen Rechtsakt, der den Datenschutzrahmen eines anderen Landes prüft und das Land im Wesentlichen als sicheres Ziel für Datenübermittlungen "grünes Licht" gibt.

Der Angemessenheitsbeschluss wird wahrscheinlich die Abstimmung passieren, aber das wird nicht das Ende der Geschichte sein. Die Kommission kann nur dann einen Angemessenheitsbeschluss erlassen, wenn der Datenschutzrahmen eines Landes die Sicherheit der Daten gewährleisten kann. Sie kann keinen Angemessenheitsbeschluss für die USA fassen, nur weil sie sie mögen oder weil Europa ihre Diensteanbieter dringend braucht. Der neue Angemessenheitsbeschluss wird sicherlich vor dem Europäischen Gerichtshof angefochten werden, weil das US-Recht kein ausreichendes Schutzniveau für europäische Daten gewährleistet.

Der Gerichtshof hat bereits zwei Rahmenregelungen für die Datenübermittlung aus diesem Grund für ungültig erklärt und könnte dies in der anstehenden Rechtssache Schrems III erneut tun. Der neue Rahmen ist komplex und es ist schwer zu sagen, wie sich die Dinge entwickeln werden, aber im Moment bleibt die Zukunft der Datenübermittlung ungewiss.

Was kann ich tun, um Google Analytics konform zu machen?

Sie können nicht wirklich etwas tun, um persönliche Daten vor der Überwachung durch die USA zu schützen. Entweder man wechselt zu einem anderen Webanalysetool oder man nimmt ein gewisses Risiko für die Einhaltung der Vorschriften in Kauf.

Gibt es weitere Datenschutzrisiken im Zusammenhang mit Google Analytics?

Mehr als wir zählen können. Google ist eines der am wenigsten datenschutzfreundlichen Unternehmen auf dem Markt. Es verdient ein Vermögen damit, Internetnutzer zu verfolgen, enorme Mengen an persönlichen Daten über sie zu sammeln und Verhaltensprofile für gezielte Werbung zu erstellen.

Google Analytics ist ein wichtiger Teil von Googles Geschäft, aber es ist nicht die einzige Möglichkeit, Daten zu sammeln. Beliebte Dienste wie die Suche, Maps und Youtube liefern Google enorme Datenmengen. Jede über Google Mail gesendete oder empfangene E-Mail wird für die Profilerstellung verarbeitet, und Nutzer, die sich über ihren Browser bei ihrem Google Mail-Konto anmelden, werden auf verschiedenen Websites verfolgt. Selbst Android verfolgt die Nutzer. Diese unvorstellbare Menge an personenbezogenen Daten wird zusammengeführt und für die Profilerstellung und Vorhersage verwendet, um noch mehr personenbezogene Daten abzuleiten, ohne dass diese erhoben werden müssen.

Natürlich schwört Google, dass es Ihre Privatsphäre ernst nimmt, und verspricht, dass es daran arbeitet, Ihnen in Zukunft mehr und mehr Privatsphäre zu bieten. Doch daran wird sich nichts ändern, denn die Verletzung Ihrer Privatsphäre ist kein Nebeneffekt ihres Geschäftsmodells - sie ist ihr Geschäftsmodell.

Alternativen zu Google Analytics

Sie können bei Google Analytics bleiben und hoffen, dass Sie keine Probleme bekommen, oder Sie können zu einer datenschutzfreundlichen, in der EU ansässigen Alternative wie Simple Analytics wechseln (Ja, ich weiß, das sind wir).

Wir sind definitiv nicht die Einzigen in diesem Bereich.Es gibt viele Alternativen zu Google Analytics, z. B. Matomo, Pirsch und Fathom. Sie alle sind datenschutzfreundlicher als Google.

Das Gleiche gilt für uns (Simple Analytics). Wir haben Simple Analytics so konzipiert, dass es alle benötigten Einblicke liefert, ohne persönliche Daten zu sammeln. Damit ist unser Tool zu 100 % konform mit allen Datenschutzbestimmungen, einschließlich der GDPR. Wir haben unseren Sitz in den Niederlanden und übermitteln keine Daten in Länder außerhalb der EU. Außerdem können Sie auch Ihre historischen Daten aus Google Analytics importieren! Wenn das für Sie gut klingt, sollten Sie uns unbedingt ausprobieren!

Entscheiden Sie sich, bei Google Analytics zu bleiben?

Wenn Sie sich entscheiden, bei Google Analytics zu bleiben, sieht es nicht gut aus. Universal Analytics wird bis 2024 auslaufen. Wenn Sie es also noch verwenden, müssen Sie so schnell wie möglich zu Google Analytics 4 wechseln. Sie werden dabei Ihre historischen Universal Analytics-Daten verlieren, da Google Analytics 4 keine Importfunktion für die meisten von Universal Analytics erfassten Daten bietet (Simple Analytics schon).

Um das Risiko zu minimieren, sollte Ihre Website eine klare, umfassende Cookie-Richtlinie enthalten. Das ist leichter gesagt als getan. Eine gute Cookie-Richtlinie muss viele Informationen enthalten und gleichzeitig kurz und lesbar sein. Wir haben einige Vorschläge in unserem Blog, aber natürlich müssen Sie etwas finden, das für Sie geeignet ist und die von Ihnen gesammelten Daten und Ihre Richtlinien berücksichtigt.

Schließlich sollten Sie mit Ihren Cookie-Bannern vorsichtig sein. Es gibt Anzeichen für ein mögliches EU-weites Durchgreifen gegen nicht konforme Cookie-Banner(wir haben darüber in unserem Blog geschrieben). Stellen Sie sicher, dass Ihre Cookie-Banner transparent sind und den Nutzern eine sichtbare und leicht zugängliche Schaltfläche "Alle ablehnen" (oder eine klar formulierte Option in diesem Sinne) bieten. Dies wird wahrscheinlich dazu führen, dass mehr Nutzer Cookies ablehnen und die Leistung von Google Analytics auf Ihrer Website beeinträchtigen. Menschen mögen es nicht, verfolgt zu werden, und sagen oft "nein danke", wenn sie eine transparente Wahlmöglichkeit haben.

Abschließende Überlegungen

Google Analytics ist ein Compliance-Risiko für Ihr Unternehmen (abgesehen von den ethischen Aspekten). Theoretisch ist es immer noch umstritten, ob es in der EU als illegal gilt oder nicht, aber die weitere Verwendung von Google Analytics (sogar GA4) ist ein Risiko. Selbst wenn Sie sich entscheiden, dieses Risiko einzugehen, müssen Sie sicherstellen, dass Ihre Cookie-Banner zu 100 % konform sind. Sie brauchen eine gute Cookie-Richtlinie, was leichter gesagt als getan ist. Darüber hinaus müssen Sie sich mit Google Analytics 4 vertraut machen und so schnell wie möglich darauf umsteigen, da Google Universal Analytics auslaufen lässt.

Sie können sich auch dafür entscheiden, Google Analytics ganz aufzugeben. Es gibt mehrere Tools, die Ihnen den nötigen Einblick in die Leistung Ihrer Website geben, ohne dass Sie ein Risiko für die Einhaltung von Vorschriften eingehen. Die Löschung von Google Analytics ist ebenso einfach wie der Wechsel zu einer datenschutzfreundlichen Lösung. Sie wissen nicht, wo Sie anfangen sollen? Lassen Sie sich von den Mitarbeitern von New Metrics unabhängig beraten oder probieren Sie Simple Analytics aus, um zu sehen, ob es Ihnen gefällt.

Sie haben die Wahl!

GA4 ist komplex. Versuchen Sie Simple Analytics

GA4 ist wie im Cockpit eines Flugzeugs zu sitzen, ohne einen Pilotenschein zu haben

14-Tage-Testversion starten