Google Analytics und Datenschutz – Was müssen Unternehmen beachten und welche Alternativen gibt es?

Das Wichtigste in Kürze

  • Google Analytics ist ein Tool zur Webanalyse von Seitenaufrufen, Nutzerverhalten und demografischen Merkmalen.
  • Aus Datenschutzsicht ist der Einsatz von Google Analytics bedenklich.
  • Meist erfasst Google Analytics mehr Daten, als rechtlich vertretbar ist.
  • Bei falscher Handhabung drohen empfindliche Strafen.
  • Es gibt datenschutzkonforme Alternativen, die zudem technologisch zukunftsfähig sind.
  • Lokale Lösungen statt in die Cloud: Dieser Grundsatz hilft Unternehmen bei der Wahl eines datenschutzfreundlichen Webanalyse-Tools.

In diesem Beitrag

  1. Wie funktioniert Google Analytics und welche Daten werden erhoben?
  2. Wieso nutzen Unternehmen Google Analytics?
  3. Google Analytics: Hohe Hürden beim Datenschutz
  4. Wie können Unternehmen Google Analytics datenschutzkonform nutzen?
  5. Grauzone Datenschutz: Weitere Maßnahmen für die Unternehmenswebsite
  6. Tipps für den datenschutzkonformen Cookie-Einsatz bei der Webanalyse
  7. Konsequenzen bei Verstößen gegen das Datenschutzrecht
  8. Welche Alternativen zu Google Analytics gibt es?
  9. Worauf ist bei der Suche nach Alternativen zu achten?
  10. Fazit und Ausblick in die Zukunft der Webanalyse

Google Analytics ist der Platzhirsch unter den Webanalyse-Tools. Es liefert Seitenbetreibern Informationen zu Nutzerverhalten, demographischen Merkmalen und zur Website-Performance. Über die datenschutzrechtlichen Konsequenzen machen sich die meisten Unternehmen wenig Gedanken. Dabei kann eine nicht konforme Nutzung von Google Analytics empfindliche Strafen zur Folge haben. Wir zeigen, worauf Unternehmen achten müssen und welche Vorteile alternative Tools bieten.

Wie funktioniert Google Analytics und welche Daten werden erhoben?

Google Analytics ist ein Webanalyse-Tool, das Unternehmen leicht auf der eigenen Website einbinden können. Mithilfe von Cookies und dem Auslesen von Browserinformationen erfasst es Nutzerdaten wie z. B. zur Anzahl, zum Verhalten und zu den Interessen der Besucher einer Website.

Außerdem lassen sich mit Google Analytics demographische Nutzerdaten erkennen und mögliche Optimierungen im Conversion-Funnel analysieren, also dem Weg zu einer gewünschten Aktion auf der Website. Darüber hinaus erhebt Google Analytics personenbezogene Daten wie Alter, Geschlecht und Standort. Für Unternehmen können das wertvolle Informationen sein, anhand derer sie ihre Website optimieren oder Marketing-Kampagnen gestalten können.

Wieso nutzen Unternehmen Google Analytics?

Die Einsatzmöglichkeiten von Google Analytics sind vielseitig. So können Unternehmen durch die Analyse von Zielgruppen die Anzahl der neu gewonnenen Nutzer ermitteln. Daten zur Verweildauer und Absprungrate auf einzelnen Websites hingegen helfen, diese nutzerfreundlicher zu gestalten, um in Suchmaschinen höher gerankt zu werden.

Ein weiterer Nutzen ist das Nachvollziehen des Weges, über den Besucher auf die eigene Website gelangt sind. Google Analytics unterscheidet zwischen organischen Zugriffen über Suchmaschinen und solchen, die über Soziale Medien, Display-Kampagnen oder Werbeanzeigen wie Google Ads auf die Website kommen. So lässt sich die Effizienz von Werbekampagnen oder von Posts in Sozialen Medien messen.

Außerdem bietet Google Analytics ein ausgefeiltes Conversion-Tracking zum Messen einzelner Aktionen der Nutzer auf der Website. Dazu zählen die Anmeldung zum Newsletter oder das Ablegen eines Artikels in den Warenkorb.

Google Analytics: Hohe Hürden beim Datenschutz

Die Erhebung personenbezogener Daten durch Google Analytics führt unweigerlich zu datenschutzrechtlichen Fragen. Dabei ist das Webanalyse-Tool in mehrfacher Hinsicht problematisch. Nicht nur die Erhebung selbst, sondern auch das „Wo“ und „Wie“ der Speicherung müssen Unternehmen hinterfragen.

a) Unverhältnismäßige Datenerhebung

Durch die Webanalyse mit Google Analytics erhalten Seitenbetreiber ein umfassendes Profil der Menschen, die ihre Seiten besuchen. Sie erfahren neben Alter, Geschlecht und Herkunft auch die Sprache der Benutzer. Es ist davon auszugehen, dass in den meisten Fällen weitaus mehr Daten gesammelt werden, als rechtlich vertretbar ist. Das widerspricht dem Prinzip der Datenminimierung aus Art. 5 DSGVO.

Ebenso problematisch ist, dass Nutzer von Google eindeutig identifiziert werden können, wenn sie beim Besuch der Website in ihrem Google-Konto angemeldet sind.

Google Analytics erhebt umfassende Daten zu Nutzern und ihrem Verhalten. Meist mehr, als rechtlich vertretbar ist.

b) Google Analytics und die Datenübermittlung in die USA

Bei Google Analytics kommt hinzu, dass der Dienst zwar in Europa von Google Ireland Limited angeboten wird, dieses Unternehmen aber eine Tochter der US-amerikanischen Google LLC ist. Im Sinne des Datenschutzrechts gelten die USA als „unsicheres Drittland“.

Bisher galt für Daten, die von Unternehmen mit Hauptsitz in den USA erfasst und verarbeitet werden, das EU-US Privacy Shield. In dieser informellen Absprache sicherte die US-Regierung zu, dass in die USA übertragene Daten auf einem angemessenen Sicherheitsniveau geschützt werden. Nun wurde diese Vereinbarung durch das am 16. Juli 2020 erlassene „Schrems II“-Urteil des EuGHs gekippt. In Zukunft dürfte das Urteil beachtliche Auswirkungen auf den internationalen Datenverkehr haben.

Bezogen auf Google Analytics beginnen die Schwierigkeiten aber nicht erst beim Übertragen von Daten in die USA. Durch den Cloud-Act („Clarifying Lawful Overseas Use of Data Act“) haben US-Behörden die Möglichkeit, auf Daten von US-amerikanischen Firmen zuzugreifen, auch wenn die Speicherung nicht in den USA erfolgt. Das FBI z.B. darf also auf Daten von Google in Europa zugreifen.

Wie können Unternehmen Google Analytics datenschutzkonform nutzen?

Die Grundlage für jede Nutzung von Google Analytics sollte der von Google angebotene Auftragsverarbeitungsvertrag (AVV) sein. Nach Auffassung der Datenschutzaufsichtsbehörden in Deutschland reicht dieser aber nicht aus, um Unternehmen die datenschutzkonforme Nutzung von Google Analytics zu gewährleisten.

Laut der neuesten Veröffentlichung der Datenschutzkonferenz über die Nutzung von Google Analytics im nicht-öffentlichen Bereich stellt die Verarbeitung durch Google keine Auftragsverarbeitung dar. Vielmehr sind Google und die Anwender von Google Analytics gemeinsam für die Datenverarbeitung verantwortlich, wodurch eine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO gegeben ist.

Grauzone Datenschutz: Weitere Maßnahmen für die Unternehmenswebsite

Solange Google keine bessere Alternative zum AVV anbietet, sollten Unternehmen darin immer den Datenschutzbeauftragten nennen. Über einen Link zur Verwaltung der Zusätze zur Datenverarbeitung können dessen Kontaktdaten angelegt werden.

Weitere konkrete Maßnahmen umfassen Folgendes:

  • Die Festlegung der Aufbewahrungsdauer der Daten: Hier bietet Google nur wenig Auswahlmöglichkeiten. Allgemein ist es sinnvoll, die Speicherdauer zu minimieren, damit den Grundsätzen von Datenminimierung und -speicherung (Art. 5 Abs. 1 lit. c und e DSGVO) entsprochen wird.
  • Die Anonymisierung der IP-Adressen der Nutzer: Dies wird nicht nur vom Datenschutz, sondern auch im Sinne des Gesetzes gegen den unlauteren Wettbewerb (UWG) gefordert.
  • Transparenz in der Datenschutzerklärung: Besucher der Website sollten jederzeit einsehen können, welche Verarbeitungsprozesse stattfinden und wer die Empfänger von Daten sind. Es empfiehlt sich daher, die Datenschutzerklärung der Webseite um eine Passage zu Google Analytics zu erweitern. Ein Hinweis auf die gemeinsame Verantwortlichkeit und die Lebensdauer der Cookies ist hier sinnvoll.

Tipps für den datenschutzkonformen Cookie-Einsatz bei der Webanalyse

Wie alle Cookies setzen auch die von Google Analytics ein Opt-In voraus, eine aktive und informierte Einwilligung des Nutzers. Alte und nicht mehr konforme Cookie-Banner sollten entsprechend entfernt und durch sogenannte Consent-Management-Plattformen ersetzt werden. Diese Tools sind auch deshalb wichtig, weil sie die Einwilligung der Nutzer speichern und Unternehmen so der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO nachkommen.

Consent-Management-Plattformen helfen Unternehmen auch dabei, den Besuchern die Einwilligung in verschiedene Arten von Cookies anzubieten. Beim Besuch von Websites über PCs oder Mobilgeräte wird z. B. zwischen technisch notwendigen und Marketingcookies unterschieden, von denen standardmäßig nur die technisch notwendigen Cookiesausgewählt sein sollten. Die Entscheidung, welche weiteren Cookies sie zulassen möchten, bleibt den Nutzern selbst überlassen.

Zudem müssen Unternehmen prüfen, ob sie Altdaten gespeichert haben, für die keine Einwilligung eingeholt wurde. Frühere Argumentationen, denen zufolge Unternehmen ein berechtigtes Interesse am Erheben der Nutzerdaten haben, werden heute nicht mehr akzeptiert. Daher müssen die gesammelten Altdaten gelöscht werden.

Konsequenzen bei Verstößen gegen das Datenschutzrecht

Urteile wie diejenigen gegen 1&1 oder Deutsche Wohnen zeigen, dass die Datenschutzeinhaltung in Bezug auf Google Analytics keinen Aufschub duldet. Aufgrund der Aktualität des Themas und der öffentlichen Aufmerksamkeit drohen Unternehmen bei Nichtbefolgung empfindliche Strafen.

Sie sollten sich daher dringend an die Datenschutzvorgaben halten. Die Bandbreite möglicher Sanktionen ist groß und reicht von einer Beanstandung durch die Aufsichtsbehörden, also der Aufforderung zur Behebung der Mängel, bis hin zu empfindlichen Bußgeldern.

Alternativen zu Google Analytics legen Wert auf Datenschutz und belassen Daten beim Seitenbetreiber.

Welche Alternative gibt es zu Google Analytics?

WP Statistics oder Matomo sind gute Optionen für Unternehmen, die sich nach Alternativen zu Google Analytics umsehen. Besonders interessant aus Sicht des Datenschutzes ist Matomo, denn es kann On-Premises, also lokal und auf eigenen Servern, betrieben werden. Dadurch hat nur der Seitenbetreiber selbst Zugriff auf die Daten.

Dafür gilt es bei Matomo leichte Abstriche beim Funktionsumfang im Vergleich zu Google Analytics hinzunehmen, die aber für die meisten Unternehmen nicht ins Gewicht fallen. Für sie dürfte die Reichweitenmessung und das Kampagnentracking kombiniert mit den Vorteilen beim Datenschutz mehr als ausreichen.


Darüber hinaus bietet Matomo sehr gute Einstellungsmöglichkeiten für ein datenschutzkonformes Tracking. Wird Matomo auf eigenen Servern und ohne Kampagnentracking genutzt, kann das Tool unter Umständen sogar ohne Einwilligung der Nutzer verwendet werden. Entsprechende Vorlagen zu Ansichten, dass es sich z.B.: in diesem Fall um reine Reichweitenmessung handelt, gibt es bei einigen Aufsichtsbehörden.

Ein weiterer Vorteil ist die Lösung zur Reichweitenmessung anhand von pseudonymisierten Server-Logfiles. Diese ist in der technischen Umsetzung zwar etwas aufwändiger, dafür kommen keine Cookies zum Einsatz und von den Nutzern muss keine Einwilligung eingeholt werden. Verglichen mit dem Graubereich Datenschutz bei Google Analytics ist das ein starkes Argument.

Lokale Lösungen statt in die Cloud. Mit dieser Faustregel umgehen Unternehmen einige datenschutzrechtliche Fallstricke.

Worauf ist bei der Suche nach Alternativen zu achten?

Die erste Frage bei der Suche nach passenden Webanalyse-Tools ist, ob diese überhaupt notwendig sind. Benötigt das Unternehmen Webanalyse und Reichweitenmessung und werden die erhobenen Daten dann auch wirklich verwendet?

In der Praxis kommt es häufig vor, dass Unternehmen zum Erstellen einer Website auf die Dienste eines Anbieters zurückgreifen. In deren Baukästen ist Google Analytics meist standardmäßig integriert. Oft läuft die Webanalyse dann im Hintergrund, ohne dass die erhobenen Daten genutzt werden. Gerade im Hinblick auf den Grundsatz der Datenminimierung ist das sinnlos und vermeidbar.

Reichen Unternehmen die Daten zur Anzahl und zur geographischen Region der Nutzer, bietet sich das oben erwähnte Matomo an. Die Analyse sollte dann auf einem eigenen Rechner in der EU oder noch besser in Deutschland durchgeführt werden. Auch beim Rückgriff auf Server von Drittanbietern ist darauf zu achten, dass diese in Deutschland oder der EU stehen. Als Faustregel gilt: Lokale Lösungen gegenüber cloudbasierten Lösungen vorziehen.

Gate-Keeping in Browsern läutet das Ende der Ära der Cookies ein. Unternehmen sollten sich daher überlegen, wie sie Nutzerinformationen datenschutzkonform erheben können.

Fazit und Ausblick in die Zukunft der Webanalyse

Die datenschutzkonforme Nutzung von Google Analytics ist ein komplexes und längst nicht abgeschlossenes Thema. Unternehmen, die auf der sicheren Seite sein möchten, sollten hinterfragen, inwieweit sie überhaupt ein Webanalyse-Tool für ihre Zwecke benötigen. Wenn die Webanalyse für sie sinnvoll ist, sollten sie sich unbedingt an die Datenschutzvorgaben halten und auch datenschutzfreundlichere Alternativen zu Google Analytics in Erwägung ziehen.  

Abschließend ist es zu erwähnen, dass die Browserwelt sich im Umbruch befindet und es zeichnet sich ab, dass die Ära der Cookies dem Ende entgegengeht. Große Browser wie Safari, Chrome oder Firefox achten immer stärker auf das sogenannte Gate-Keeping, also das Blockieren oder die Löschung von Cookies nach kurzer Zeit.

Das klassische Cookie-Tracking wie mit Google Analytics scheint also ein Auslaufmodell zu sein, auch wenn es aktuell noch sehr verbreitet ist. Ein gutes Argument dafür, schon jetzt Ansätze wie die Reichweitenmessung durch Server-Logfiles wie bei Matomo kennenzulernen. Unternehmen integrieren damit Webanalyse und Datenschutz und sind zudem zukunftssicher aufgestellt.

Über den Autor

Janis Junker

Seine Berufung zum Datenschützer entdeckte Janis Junker, heute Principal IT-Consultant bei DataGuard, bei der Mitgründung eines Start-ups im Bereich M-Commerce und Digitalisierung. Hier konnte er praktische Erfahrungen mit datenschutzrechtlichen Themen sammeln: Neben dem Schutz von Mitarbeiterdaten gab es auch bei der Projektentwicklung einiges zu klären, z. B. in puncto Datenschutzerklärungen, Datenvermeidung und -sparsamkeit. Sein Interesse für das Thema war entfacht. Spannend dabei findet er insbesondere die tiefe Verknüpfung von Recht mit IT und Informationssicherheit. „Der Datenschutz ist das lebendigste aller rechtlichen Gebiete. Als Datenschützer muss man mit der immensen Geschwindigkeit der technologischen und gesellschaftlichen Entwicklungen mithalten, um nicht abgehängt zu werden.“ In seiner Freizeit ist Janis vielseitig aktiv: Ob Lesen, Kochen, Games, Wandern oder Skifahren – Hauptsache Abwechslung.

Weitere Beiträge von Janis Junker

Keine Beiträge mehr verpassen!

Möchten Sie zu Datenschutz und Datensicherheit auf dem Laufenden bleiben? Praktische Tipps und Einladungen zu Webinaren und Online-Fragestunden erhalten Sie über unser monatliches E-Mailing.

Weitere Informationen finden Sie in unserer Datenschutzerklärung.

close

Vielen Dank

für Ihre Anfrage.

Wir setzen uns zeitnah mit Ihnen in Verbindung, um Ihr persönliches Erstgespräch zu terminieren.

01

Sie erhalten innerhalb weniger Minuten eine Bestätigungs-E-Mail mit allen wichtigen Informationen. Sie sind nur noch einen Klick von Ihrem Erstgespräch entfernt.

02

Wir rufen Sie zu der vereinbarten Zeit unter der angegebenen Telefonnummer an. Alle Fragen die Sie haben sollten, beantworten wir dann gerne. Wir freuen uns auf das Gespräch mit Ihnen!

Wir machen Ihnen umgehend ein passendes Angebot. Gerne können Sie uns auch einfach anrufen:
089 442 550 - 62649 (wir arbeiten bundesweit)

Buchen sie hier direkt einen Termin mit einem unserer Experten.

Jetzt direkt Termin buchen

Oder senden Sie dieses Formular ab und erhalten erste Informationen. Einer unserer Experten wird Sie daraufhin kontaktieren.

Buchen sie hier direkt einen Termin mit einem unserer Experten.

Jetzt direkt Termin buchen

Oder senden Sie dieses Formular ab und erhalten erste Informationen. Einer unserer Experten wird Sie daraufhin kontaktieren.






Sie können der Verwendung Ihrer E-Mail-Adresse jederzeit widersprechen. Weitere Informationen finden Sie in unserer Datenschutzerklärung.

[honeypot fc_website_h]


































Angebot erhalten
49 (89) 442 55062 - 000 bundesweiter Service