Google Analytics datenschutzkonform nutzen – wie kann das gelingen?

Viele europäische Datenschutzbehörden (darunter die von Österreich, Frankreich, Norwegen, Dänemark und Deutschland) haben Google Analytics offiziell als nicht datenschutzkonform eingestuft. Das wirft für Unternehmen viele Fragen auf, galt das Tool doch lange als Standardausrüstung für Marketingteams… und zwar aus gutem Grund.  Wir erklären, worin die Probleme mit Google Analytics – insbesondere dem Google Tag Manager – bestehen und was Sie tun können, um Konflikten mit Betroffenen und Datenschutzbehörden vorzubeugen.

Warum ist Google Analytics nicht datenschutzkonform?  

Die kurze Antwort: Weil Google – u. a. über seinen Dienst Google Analytics – personenbezogene Daten zu Website-Besuchern erfasst und an Server in den USA übermittelt, wo US-Behörden Zugriff auf diese haben.

Google gilt nach US-Recht als Anbieter elektronischer Kommunikationsdienste im Sinne von 50 U.S. Code § 1881(b)(4) und unterliegt als solcher der Überwachung durch US-Geheimdienste (z. B. gemäß 50 U.S. Code § 1881a [„FISA 702”]). Google stellt hiernach der US-Regierung aktiv personenbezogene Daten zur Verfügung. 

Als einer von zwei zentralen Kritikpunkten hat diese Überwachungsmöglichkeit im Schrems II-Urteil des EuGH dazu geführt, dass das EU-US-Privacy Shield als Sicherheitsgarantie gekippt wurde. Dies führt zu dem Ergebnis, dass der Einsatz von Google Analytics auf Websites von Unternehmen in der EU nach Ansicht der Datenschutzbehörden mit der DSGVO nicht vereinbar ist und daher gegen diese verstößt.

Ist Google Analytics in Kombination mit Standardvertragsklauseln doch wieder datenschutzkonform?  

Als Reaktion auf das Schrems II-Urteil verabschiedete EU-Kommission 2021 sogenannte Standardvertragsklauseln (SCCs), die eine Datenübermittlung in Drittländer wie die USA vereinfachen sollten. Laut EuGH ist die Übermittlung rechtmäßig, sofern das Drittland, in das die Daten übermittelt werden, ein ebenso hohes Datenschutzniveau garantieren kann.  

Faktisch ist das in den USA nicht der Fall, weil auch die SCCs keinen Zugriff durch US-Geheimdienste ausschließen können.

In Konsequenz bieten die vertraglichen Rahmenbedingungen von Google, genauer gesagt die „Auftragsverarbeitungsbedingungen für Google Werbeprodukte” und die „Google Ads Data Processing Terms: Model Contract Clauses, Standard Contractual Clauses for Processors” keine geeigneten Sicherheitsmaßnahmen im Sinne der DSGVO. 

Lesen Sie hier unseren aktuellen Artikeln mit 10 Schritten zu internationalen Datentransfers im Einklang mit EU-Gesetzen

Warum sprechen gerade alle über Google Analytics und nicht alle anderen Anbieter, die personenbezogene Daten genauso in die USA übermitteln? 

Google Analytics ist so weit verbreitet, dass es zusammen mit anderen Tech-Giganten in den Fokus von Datenschützern geraten ist. Max Schrems und seine NGO noyb wollen den Druck erhöhen, damit das gekippte Privacy Shield auch wirklich Konsequenzen hat und Unternehmen aufhören, personenbezogene Daten in die USA zu übermitteln.  

Daher reichte noyb im August 2022 Beschwerde gegen 101 europäische Unternehmen ein, die weiterhin auf Google Analytics und Facebook Connect setzen.  

Zu diesen 101 Unternehmen gehören „unter anderen Airbnb Irland, die Universität Luxemburg, der TV Spielfilm Verlag, Chefkoch und Lieferando. Ausgewählt haben die Datenschutzaktivist:innen die Unternehmen anhand europäischer Top-Level-Domains (wie „.de“ für Deutschland), zwei spezifischen Tracking-Codes und den groben Besucher:innenzahlen der Seiten.“ 

Sowohl die Tools von Google und Meta als auch die 101 Unternehmen sind bei der Aktion exemplarisch zu verstehen. Die Beschwerden durch noyb sorgen trotzdem dafür, dass gerade alle von Google Analytics reden.  

Ein weiterer Grund ist auch, dass Google Analytics, im Vergleich zu anderen Tools, in der Lage ist, Profile zu erstellen und diese mit bereits vorhandenen Daten zu verknüpfen. 

 

Welche personenbezogenen Daten verarbeitet Google Analytics?  

Wenn Besucher eine Website besuchen, auf der Google Analytics verwendet wird, werden dabei folgende personenbezogene Daten verarbeitet: 

  • die HTTP-Anfrage des Benutzers 
  • Browser/Systeminformationen, dazu gehören… 
  • Art des Endgeräts (Smartphone oder Rechner) 
  •  IP-Adresse, die unter Umständen anonymisiert wir, wenn entsprechende Einstellungen vorgenommen wurden.  
  • Sprache 
  • Browser und Add-ons 
  • Auflösung des Endgeräts 
  • Nutzerverhalten, dazu gehören…  
  • Klicks 
  • Verweildauer auf Seiten  
  • (First-Party) Cookies, sofern der Benutzer dem Cookie-Tracking zustimmt. Mit diesen Cookies kann Google Analytics nachvollziehen, …  
  • Ob ein Besucher vorher schon einmal auf der Website war (also ob es sich um einen neuen oder wiederkehrenden Nutzer handelt) 
  • Von welchen Besucherquellen ein Besucher auf Ihre Seite gekommen ist (Google-Suchanfrage (und ggf. über welches Keyword), Facebook-Link, etc.)  

Technisch funktioniert das folgendermaßen:  

Der im Quelltext der Website eingefügte JavaScript-Code verweist auf eine zuvor auf das Gerät des Websitebesuchers heruntergeladene JavaScript-Datei, welche die Verarbeitungstätigkeiten (= z. B. Tracking) für Google Analytics durchführt.   

Die Tracking-Operation ruft Daten über die Seitenanfrage ab und sendet diese Informationen über eine Liste von Parametern an Google-Server, welche an eine einzelne Pixel-GIF-Bildanfrage angeschlossen sind.  

Eine HTTP-Anfrage für jede Website enthält Details (z. B. Hostname, verwendeter Browsertyp, Referrer-URL und Spracheinstellungen) über den verwendeten Browser und den Computer, welcher die Anfrage stellt. Darüber hinaus bietet die DOM-Schnittstelle der Browser (= Schnittstelle zwischen HTML und dynamischem JavaScript) Zugriff auf detailliertere Browser- und Systeminformationen, wie Java- und Flash-Unterstützung und Bildschirmauflösung. 

Darüber hinaus nutzt Google Analytics diese Informationen zu eigenen Zwecken, was ein weiteres datenschutzrechtliches Problem auslöst. Google soll als Auftragsverarbeiter für die Websitebetreiber tätig werden. Die Auftragsverarbeitung ist jedoch von dem Merkmal der Weisungsgebundenheit gekennzeichnet, was eine Verarbeitung zu eigenen Zwecken regelmäßig ausschließt.   

Welche Implikationen es für Unternehmen, dass Google Analytics nicht als datenschutzkonform gilt?  

Google Analytics ist nicht einfach nur ein kostenloses Tool zur Analyse der Website-Performance. Es ist das Tool. Zwar gibt es Alternativen, die in der EU gehostet werden können, jedoch sind diese oft nicht kostenfrei und sind anders aufgebaut, erfordern also ein Umdenken im Marketing-Team.  

Um zu evaluieren, ob für Ihr Unternehmen ein Wechsel weg von Google Analytics in Frage kommt, sollten Sie folgende Fragen für sich beantworten:  

  1. Wird Google Analytics wirklich benötigt und ausgewertet? Wenn ohnehin niemand in den Account schaut oder die Daten nicht als Entscheidungsgrundlage herangezogen werden, ist das Tool samt Auswertungsdaten vermutlich entbehrlich.   
  2. Welche Google Analytics Daten sind für Sie relevant und gibt es europäische oder On-Premise-Anbieter, die diese Insights liefern können? Eine Liste mit Alternativen finden Sie zum Beispiel auf der Website von Ionos.

Was können Sie tun, um Google Analytics trotzdem weiter nutzen zu können? 

Im Idealfall weichen Sie auf Alternativen aus. Falls jedoch die Business-Entscheidung getroffen wird, dass Sie am Einsatz von Google Analytics festhalten möchten und die hiermit einhergehenden datenschutzrechtlichen Risiken in Kauf nehmen, sollten Sie den Datenschutz im Rahmen des Möglichen, größtmögliche Beachtung zu schenken. Dazu empfehlen wir folgendes Vorgehen:    

  • Websitebesucher sind transparent über den Einsatz von Google Analytics zu informieren.   
  • Google Analytics darf erst mit ausdrücklicher Einwilligung der Websitebesucher genutzt werden.   
  • Im Zuge der Verwendung des Tools Google Analytics wird die Möglichkeit angeboten, eine „IP-Anonymisierungsfunktion“ zu verwenden. Dies sollte aktiviert werden.    

Google Analytics datenschutzkonform einbinden dank Data Capture Platforms 

Eine weitere Option, Google Analytics datenschutzkonform zu verwenden, ist die Implementierung einer Proxy-Lösung bzw. einer Data Capture Platform (DCP). DCPs ermöglichen das Tracken von Web-Usern mittels Server-Side-Tracking.

Server-Side-Tracking bedeutet, dass nicht mehr unzählige Drittanbieter-Cookies und Tracking-Code in den Browsern der User ausgeführt werden, sondern nur noch das Cookie und der Code des Webseiteneigentümers. Die daraus generierten Daten sind somit First-Party-Daten.  

Mittels einer Data Capture Platform kann der Webseiteneigentümer diese Daten in der Folge an seine bestehenden Tools, wie etwa Google Analytics, weiterleiten und sie somit wie gewohnt nutzen. Denn zur Grundfunktionalität einer DCP gehört auch die Möglichkeit, die Daten vor der Weiterleitung an die Tools zu pseudonymisieren.

Diese Methode erlaubt die datenschutzkonforme Verwendung von Drittanbieter-Tools, auch nach den strengen Kriterien der DSGVO und Schrems II. Dadurch kann der oft aufwendige Umstieg auf weniger ausgereifte Tools vermieden werden. 

Die Verwendung einer Data Capture Platform birgt weitere Vorteile: 

  • Der Webseiteneigentümer erhält die volle Kontrolle über die erfassten Daten 

  • Die Qualität der erfassten Daten erhöht sich, denn Adblocker und Tracking-Preventions blocken in der Regel keine First-Party-Cookies und -Code 

Auf Änderungen der gesetzlichen Rahmenbedingungen beim Datenschutz kann einfach und schnell reagiert werden, ohne den Tech-Stack ändern zu müssen.
 
Doch es gibt auch Nachteile dieser Lösung: 

  • Die Entwicklung einer Data Capture Platform ist sehr aufwendig, da neben Tracking- und Datenschutz-Features auch zahlreiche Integrationen für bestehende Tools entwickelt und gewartet werden müssen. 

Da Server-Side-Tracking auf Servern stattfindet, muss geeignete, datenschutzkonforme Serverinfrastruktur aufgesetzt und gewartet werden. Dadurch entstehen laufende Kosten.
 
Alternativ zur Eigenentwicklung besteht die Option einer SaaS-Lösung, wie etwa die JENTIS Data Capture Platform. JENTIS DCP ist einfach zu bedienen und bietet umfassende Datenschutz-Features und Integrationen. Als Managed Service muss sich der Webseiteneigentümer zudem um die Server, technische Infrastruktur und die Wartung von Integrationen keine Gedanken machen. 

Wie Ihnen DataGuard helfen kann

Veronikas-Test-Module-ImageBei DataGuard sind wir uns den Anforderungen des Datenschutzes an das Marketing mehr als bewusst. Durch die Betreuung von mehr als 3.000 Kunden kennen unsere Experten die Herausforderungen mit Google Analytics und anderen Web Analytic-Tools daher genau und können Ihnen daher individuelle Handlungsempfehlungen zur datenschutzkonformeren Nutzung geben. Außerdem ist die Datenschutz-Plattform von DataGuard ist ein hilfreiches Werkzeug, um die Datenschutzanforderungen im Marketing und den Umgang mit Webanalyse-Tools wie Google Analytics zu verwalten. Es ermöglicht eine einfache und effektive Überwachung und Verwaltung von Einwilligungen, Verarbeitungen und Dokumentationspflichten. Sprechen Sie uns gerne an und vereinbaren eine kostenlose Erstberatung.

 
What to Expect in 2023 Trends and Predictions for Privacy What to Expect in 2023 Trends and Predictions for Privacy

Machen Sie Datenschutz zum Erfolgsfaktor

Stauben Sie in diesem Sonderbericht praktische Tipps für internationale Datentransfers ab. So wird Datenschutz zum Erfolgsfaktor.

Jetzt kostenlos herunterladen

Über den Autor

DataGuard Datenschutz-Experten DataGuard Datenschutz-Experten
DataGuard Datenschutz-Experten

Tauchen Sie ein in die Welt der Datensicherheit und DSGVO – mit Tipps und Meinungen unserer zertifizierten Datenschutzbeauftragten in Deutschland, UK und Österreich. Unsere Experten kommen aus den unterschiedlichsten Bereichen wie Wirtschaft, Recht, Technik oder Marketing und teilen mit Ihnen die neuesten Nachrichten sowie Lösungen zu aktuellen Herausforderungen, Urteilen und Rechtsentscheidungen. Ihr Ziel? Ihnen das Wissen und die Werkzeuge an die Hand zu geben, damit Sie die richtigen Entscheidungen treffen, Ihr Unternehmen absichern, Vertrauen aufbauen und Ihren Umsatz steigern können – in Einklang mit geltenden Datenschutzgesetzen. Diese Qualifizierungen unserer Datenschutzberater stehen für Qualität und Vertrauen: Zertifizierter Datenschutzbeauftragter (TÜV), Certified Information Privacy Professional/Europe (IAPP), Certified Information Privacy Manager (IAPP) Information Security, Certified Information Privacy Technologist (IAPP), Certified Practitioner in Data Protection (BCS), Fellow of Information Privacy (IAPP), Certified EU General Data Protection Regulation Practitioner (IBITGQ), Data Protection Officer & Europrivacy Auditor, Practitionier Certificate in Data Protection, PC.dp. (GDPR)

Mehr Artikel ansehen

Sprechen Sie unser Sales-Team an

Erfahren Sie, wie DataGuard Ihnen helfen kann.

Finden Sie heraus, wie unsere Datenschutz-, Informationssicherheits- und Compliance-Lösung Vertrauen stärkt, Risiken minimiert und Umsatz steigert.

  • bis heute 100% Erfolgsquote bei ISO 27001 Audits
  • 40% Reduzierung bei Gesamtbetriebskosten (TCO)
  • Eine skalierbare und einfach zu verstehende Web-Plattform
  • Praktisch umsetzbare Handlungsempfehlungen unserer Experten

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile im Überblick

  • Benennung eines externen Datenschutzbeauftragten
  • Audit Ihrer Datenverarbeitungsvorgänge
  • Unterstützung rund um AV-Verträge, VVT, TOM, Schulung, u.v.m.
  • Personalisierte Betreuung durch Ihren Ansprechpartner 
  • Skalierbar für KMU und Konzerne
  • 100+ Experten aus den Bereichen Recht, Wirtschaft & IT

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Vereinfachung Ihrer Compliance-Prozesse

Ihre Vorteile im Überblick

  • Kontinuierliche Unterstützung auf Ihrem Weg zur Zertifizierung nach ISO 27001 und TISAX®️, sowie NIS2 Compliance
  • Profitieren Sie von persönlicher Beratung
  • Bauen Sie ein strukturiertes ISMS mit unserer InfoSec-Plattform auf
  • Automatische Erstellung verpflichtender Dokumente
Certified-Icon

100% Erfolgsquote unserer Kunden bei Audits nach ISO 27001

TISAX® ist eine eingetragene Marke der ENX Association. DataGuard steht in keiner geschäftlichen Verbindung zu ENX. Wir bieten lediglich Beratung und Unterstützung zur Vorbereitung auf das Assessment nach TISAX® an. Die ENX Association übernimmt keine Verantwortung für die auf der DataGuard-Website dargestellten Inhalte.

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Proaktive statt reaktive Unterstützung
  • Erstellung der wichtigsten Dokumente und Richtlinien
  • Umfassendes Compliance-Management
  • Mitarbeiterschulungen
  • Digitales Compliance-Management-System
  • Beratung durch erfahrene Branchenexperten

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Einhalten der EU-Whistleblower-Richtlinie
  • Digitales Whistleblowing-System
  • Einfache und schnelle Implementierung
  • Zentrale Datenquelle
  • Sicher und gesetzeskonform
  • Klares und transparentes Reporting

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Jetzt Termin vereinbaren