Neues Menü in etracker analytics: benutzerfreundlicher & effizienter
Wie datenschutz-freundlich ist Google Analytics 4 (GA4) wirklich?
von Olaf Brandt
Google Analytics ist de facto seit Dezember 2021 in der EU von den Aufsichtsbehörden verboten worden. Als Reaktion darauf hat Google für das neue Google Analytics 4 mehrere Datenschutz-Verbesserungen verkündet, die bis Ende Mai 2022 umgesetzt werden sollen. Die Anpassungen werden von Google unter dem Punkt „EU-focused data and privacy“ erläutert. Zusammengefasst ergeben sich folgende Datenschutz-relevanten Änderungen:
- GA4 verarbeitet alle Daten von Endgeräten innerhalb der EU auf Servern in der EU.
- GA4 verarbeitet IP-Adressen für die Geo-Lokalisierung, speichert aber IP-Adressen nicht mehr.
- GA4 ermöglicht die Deaktivierung von Google Signals, um die Verknüpfung mit den Google-Konten zu unterbinden.
- GA4 ermöglicht die Konfiguration der Granularität von erfassten Geo- und Gerätedaten (z.B. die einwilligungspflichtige Bildschirm-Auflösung).
Diese Maßnahmen sind zwar ein Schritt in die richtige Richtung, jedoch völlig nutzlos, um das EU-Verbot und die generelle Einwilligungspflicht aufzuheben. Dies ist bei näherer Betrachtung aus unterschiedlichen Gründen klar und unmissverständlich:
1. Verbot EU-US Datentransfer
Laut Patriot Act, Foreign Intelligence Surveillance Act (FISA) und Clarifying Lawful Overseas Use of Data Act (Cloud Act) haben US-Behörden Zugang zu absolut allen Daten von US-Unternehmen. Und das auch, wenn diese in der EU aufbewahrt werden. Daher löst der Speicherort in der EU nicht das eigentliche Problem, dass die nach EU-DSGVO verlangte Einhaltung von Grundrechten für EU-Bürger gewährleistet wird.
2. Einwilligungspflicht nach TTDSG: Cookies & Co.
GA4 setzt standardmäßig nach wie vor Cookies ein und liest aktiv Daten aus den Endgeräten aus.
Über den Consent-Modus „analytics_storage” mit dem Wert „denied“ lässt sich zwar das Setzen von Cookies verhindern, allerdings findet dann auch kein Conversion-Tracking statt. Außerdem muss die Auswertung der Bildschirm-Auflösung deaktiviert werden, die ja ebenfalls als einwilligungspflichtiger Zugriff auf das Endgerät bewertet wird. Ob dies allerdings bereits die Erfassung verhindert, ist ungewiss. Daher kann auch mit dem entsprechenden Consent-Modus der einwilligungspflichtige Zugriff auf die Endgeräte der Nutzer nicht ausgeschlossen werden.
Eine einfache Nutzung von GA4 ganz ohne Cookies und damit eine Einwilligungsfreiheit ist noch Zukunftsmusik.
3. Einwilligungspflicht nach EU-DSGVO
Um im Rahmen einer Interessenabwägung, den einwilligungsfreien Einsatz von Web-Analyse auf das überwiegende berechtigte Interesse (EU-DSGVO Art. 6 Abs.1 lit..f) rechtfertigen zu können, müssen mindestens die folgenden Bedingungen, erfüllt sein:
- Abschluss eines AV-Vertrags mit vollen Weisungs- und Kontrollrechten des Auftraggebers
- Kürzung bzw. Anonymisierung der IP-Adresse vor der eigentlichen Verarbeitung
- Ausschluss der Identifikationsmöglichkeit von Nutzern
- Begrenzung der Wiedererkennung auf maximal 24 Stunden
- Keine Nutzung der Daten zu eigenen Zwecken seitens des Verarbeiters
- Keine Verknüpfung mit Daten anderer Kunden
- Keine Weitergabe der Daten an Dritte
Die Aufsichtsbehörden beziehen in ihren Hinweisen zum Einsatz von Google Analytics u.a. klar Position in Hinblick auf die Auftragsverarbeitung. Hier heißt es.:
“Nach Auffassung der Datenschutzaufsichtsbehörden ist die Verarbeitung im Zusammenhang mit Google Analytics keine Auftragsverarbeitung gemäß Art. 28 DS-GVO.“
Schon allein deshalb muss die Interessenabwägung bei Einsatz von GA4 immer zugunsten der Betroffenen ausfallen und bedingt somit eine Einwilligung.
4. Google Signals
Die automatische Anonymisierung der IP-Adresse – leider erst nach der Geo-Lokalisierung – sollte nicht darüber hinwegtäuschen, dass GA4 immer erst nach Einwilligung Daten erfassen darf. Denn Online-Kennungen und Gerätedaten werden weiterhin unverschlüsselt übertragen. Es ist völlig unklar, auf welcher Ebene die Deaktivierung der Google Signals greift und ob damit tatsächlich die Verknüpfung mit den Google-Konten sowie die Website-übergreifende Profilbildung unterbunden wird.
Neben den datenschutzrechtlichen Punkten darf auch nicht die erhebliche Beeinträchtigung der Funktionalität von GA4 durch die Deaktivierung von Google Signals außer Acht gelassen werden.
Die Deaktivierung von Google Signals bedeutet:
- Keine Remarketing-Listen auf der Grundlage von Analytics-Daten
- Keine Werbeberichtsfunktionen
- Keine Daten zu Demografie und Interessen
- Nur eingeschränkte Conversion-Modellierung und -Berichterstellung in Google Ads
Fazit
Letztendlich stellen die neuen Maßnahmen einen Schritt in die richtige Richtung aus Sicht des Datenschutzes dar. Es ist jedoch mehr als fraglich, ob die Neuerungen ausreichen, um das Verbot des Einsatzes in der EU aufheben zu lassen. Nach Experten-Ansicht könnte dies erst frühestens Ende dieses Jahres erfolgen, falls die EU und die USA bis dahin die neue Vereinbarung über Datentransfers verabschiedet haben. Und bislang ist noch kein finaler Entwurf ausgearbeitet.
Außerdem gilt, selbst wenn alle oben genannten Funktionen aktiviert sind, wird immer noch eine Einwilligung benötigt, um Daten mit GA4 verarbeiten zu dürfen. Die Deaktivierung von Google Signals bedeutet nicht nur Verlust von Daten, sondern beweirkt auch einen Wertverlust der verbliebenen Daten, da viele Berichtsfunktionen wegfallen. Gleichzeitig bleibt ein erhebliches rechtliches Risiko, da es unklar ist, auf welcher Ebene die Deaktivierungen wirken. Im Sinne der EU-DSGVO ist jedwede Verarbeitung entscheidend und nicht erst die Berichterstellung.
Daher sollten Unternehmen sehr wohl abwägen, ob sich ein Umstieg von Universal Analytics zu GA4 lohnt und ob nicht lieber auf eine EU-Lösung gewechselt werden sollte, die weder von EU-US-Abkommen noch von Einwilligungen der Nutzer abhängig ist.
Das ganze Paper könnt ihr hier herunterladen.
Dieses Dokument stellt keine Rechtsberatung dar und kann keine individuelle Rechtsberatung ersetzen. Wir arbeiten eng mit auf Datenschutz spezialisierten Fachanwälten zusammen und stellen gerne den direkten Kontakt für individuelle Beratungen her.