Google scheint das zumindest auch so zu sehen, wenn es um die magische Grenze von 10 Millionen geht, die das Tor zu Analytics360 sind. Anatomisch sieht das jedoch wieder ganz anders aus. Denn die Informationen, die ein Hit in UA beinhalten konnte, waren nur via Benutzerdefinierte Dimensionen oder Messwerte erweiterbar. Ein Event kann nun (fast) gänzlich eigen aufgebaut werden. Das betrifft die Namen der Events selbst genauso wie die dazugehörigen Parameternamen und deren Werte. Auch wenn Analytics hier Standard-Events vordefiniert und gewisse Namen reserviert hat, bleiben der eigenen Phantasie theoretisch nur wenige Grenzen gesetzt.

Datenschutz und Google Analytics

Einen wichtigen Aspekt haben wir bis jetzt noch nicht ausreichend behandelt. Sprechen wir also über den rosa Elefanten, der im Raum ist und den keiner bemerken will: Es geht natürlich um den Datenschutz. Auch hier hat sich mit GA4 einiges geändert. So werden die Daten z. B. von Europäern nicht mehr wie vorher von Servern in den USA angenommen, sondern von Servern in der EU. IP-Anonymisierung findet nicht mehr erst durch entsprechende Konfiguration statt, sondern wird immer umgesetzt. Diese Infos kann man eher als low hanging fruits bezeichnen.

Um also fundiertes Wissen liefern zu können, das tiefer in die Materie geht, haben wir Rechtsanwalt Dr. Matthias Orthwein befragt und ihm folgende Fragen gestellt, die uns wahrscheinlich alle umtreiben:

Matthias, Ist der Einsatz von Google Analytics DSGVO konform?

Ich glaube, wir müssen die Frage anders stellen. Es gibt ja nicht nur das eine Tool Google Analytics, sondern vielmehr verschiedene Versionen des Tools (die aktuelle Version ist Version 4). In jeder Version bietet Google eine Vielzahl von individuellen Konfigurationen und Einstellungen an. Die Frage muss daher vielmehr lauten: Wie kann ich Google Analytics nutzen, sodass es DSGVO-konform ist?

Wer einfach nur an der veralteten Version 3 festhält oder in der Version 4 unbedacht die von Google zusätzlich zum Standard angebotenen – aber datenschutzrechtlich problematischen – Funktionen wie Signals oder die Data Sharing Option einsetzt, wird sicherlich Probleme bekommen, deren datenschutzrechtliche Zulässigkeit zu verargumentieren. Ich bin andererseits überzeugt, dass die aktuelle Version 4 von Google Analytics mit sorgfältig geplanten Konfigurationen und z. B. in Kombination mit einem guten Consent Banner ohne weiteres bereits die rechtlichen Anforderungen der DSGVO erfüllen kann. Wenn dies dann noch mit einem pseudonymisierenden Zusatzelement wie dem Tag Server ergänzt wird, habe ich nur noch sehr wenig Bedenken, dass der Einsatz des Analysetools als datenschutzrechtswidrig anzusehen ist.

Ist der Einsatz von GA in Österreich verboten?

Im Markt herrscht in der Tat einige Unsicherheit bezüglich des Einsatzes von Google Analytics, da die österreichische Datenschutzaufsicht im Dezember 2021 eine Entscheidung veröffentlicht hat, dass der Einsatz von Google Analytics, im von ihr geprüften Fall, gegen die DSGVO verstößt. Auch die französische Datenschutzaufsicht CNIL hat im Februar 2022 einen ganzen Katalog von aufwändigen technischen Maßnahmen veröffentlicht – mit der Maßgabe, dass nur bei deren Einsatz die Verwendung von Google Analytics DSGVO konform sei. Dem folgten noch ähnliche Entscheidungen der Datenschutzaufsicht in Italien im Juni 2022 und in Dänemark im September 2022. Bevor man nun voreilig falsche Schlüsse über die angebliche Unzulässigkeit von Google Analytics in diesen Ländern zieht, gilt es einiges klarzustellen: Zunächst gilt seit 2018 in allen Mitgliedstaaten der EU die DSGVO unmittelbar und mit identischem Wortlaut. Das bedeutet, wenn der Einsatz von Google Analytics tatsächlich gegen die DSGVO verstoßen würde, wäre dies nicht nur in einem Land, sondern vielmehr in allen Mitgliedstaaten unzulässig.

Dann muss man aber auch genau hinschauen, worüber die genannten Aufsichtsbehörden jeweils eigentlich entschieden haben. Tatsächlich hat nämlich keine der EU Aufsichtsbehörden bisher entschieden, dass jeglicher Einsatz egal in welcher Konfiguration von Google Analytics ohne Ausweg gegen die DSGVO verstoßen würde. Vielmehr hatten alle vier Entscheidungen konkrete Individualfälle zum Gegenstand, die keinesfalls verallgemeinert werden können. Wesentlicher Kritikpunkt der österreichischen Datenschutzaufsichtsbehörden war z. B. dass der Betreiber nur einen veralteten Stand der Standardvertragsklauseln direkt mit Google in den USA abgeschlossen hatte. Beides bietet Google heute gar nicht mehr an. In anderen Fällen haben die Nutzer jeweils freiwillig der Verbindung der Analysedaten mit ihrem ebenfalls freiwillig freigeschalteten User Account bei Google zugestimmt. Diese Kombination der Analyse mit den Daten der Google UserID ist allerdings keinesfalls zwingend (oder üblich). Keine der genannten Entscheidungen hatte hingegen den Einsatz der aktuellen Version 4 von Google Analytics in der hier empfohlenen Konfiguration oder gar unter Zuhilfenahme eines lokal gespeicherten Tag Servers zum Gegenstand. Man kann also gerade nicht sagen, dass dieser Einsatz oder jeglicher Einsatz von Google Analytics von irgendeiner Datenschutzaufsichtsbehörden verboten worden wäre. Wie aus der Presse und dem Markt zu hören ist, mahnen windige Datenschutzinteressengemeinschaften oder deren Anwälte Webseitenbetreiber wegen des Einsatzes von Google Analytics auf Basis einer der genannten Entscheidungen ab. Hier sollten die Betroffenen unbedingt sehr genau prüfen, ob das dort abgemahnte Verhalten überhaupt auf ihrer Website stattfindet.

Wie lässt sich mein Risiko also minimieren?

Zunächst einmal bietet Google bereits heute in der Standardkonfiguration von Google Analytics 4 an, datenschutzrechtlich problematische Optionen – wie die Data Sharing Option oder die Nutzung von Signals bzw. die Verknüpfung mit der UserID des Nutzers – zur Risikominimierung gar nicht erst einzuschalten. Wer dann auch noch einen sorgfältig gestalteten Consent Banner verwendet, eine ausreichende Datenschutzrisikoabschätzung durchführt und schließlich alle Tracking Mechanismen, die Datenschutzrechtsgrundlagen und Verwendungszwecke der Daten in den Datenschutzhinweisen transparent beschreibt, darf bereits davon ausgehen, dass bei ihm die Datenschutzrisiken nicht überwiegend sind. Schaltet man dann noch einen lokal gespeicherten Tag Server als Pseudonymisierungsinstanz zwischen seine Website und Google, kann meiner Ansicht nach von einem lediglich noch minimalen Datenschutzrisiko ausgegangen werden.

Ändert sich die Datenschutz Rechtslage für GA in absehbarer Zeit noch einmal? Lohnt es sich, darauf zu warten?

US-Präsident Biden hat am 7. 10.2022 eine Executive Order erlassen, die darauf abzielt, den Datenschutz in den USA an den Stand der DSGVO in Europa anzugleichen und insbesondere den Rechtsschutz für EU-Bürger in den USA zu verbessern. Die EU-Kommission hat bereits angekündigt, dass sie prüft, die USA auf Basis dieser Präsidenten-Entscheidung als sicheren Drittstaat im Sinne der DSGVO anzuerkennen. Mit dieser Entscheidung der EU-Kommission ist bis Anfang 2023 zu rechnen und sie würde die Rechtslage für alle internationalen Datentransfers mit EU Berührung erheblich vereinfachen. Man kann diese Entscheidung für falsch oder richtig halten; solange sie allerdings nicht durch den Europäischen Gerichtshof aufgehoben wird, stellt sie die geltende Rechtslage dar. Webseitenbetreiber in der EU könnten dann mit erheblich weniger Aufwand und Risiko als oben dargestellt die Dienste von Google Analytics nutzen. Ob es sich lohnt, mit der Tracking-Auswertung seiner Website bis zu diesem noch nicht feststehenden Zeitpunkt abzuwarten, muss jeder Betreiber für sich selbst entscheiden.

Ist der Einsatz eines Tracking Tools das Einzige, was für die Rechtskonformität einer Webseite oder eines Onlineshops wichtig ist?

Leider nein. Der Gesetzgeber und die Gerichte in Deutschland und Europa machen sich viele Gedanken über den Nutzerschutz im E-Commerce, was andererseits für Betreiber von Onlineshops und Webseiten zu entsprechenden zusätzlichen rechtlichen Anforderungen führt. Das bereits erwähnte digitale Hausrecht nach dem TTDSG macht den Einsatz eines „state of the art“ Consent Management Tools notwendig. Eine etwas unvorsichtig formulierte Entscheidung des Landgerichts München über die auf der Website eingebundenen Schriftarten von Google Fonts führt aktuell zu einer unerfreulichen Abmahnwelle in Deutschland, der man allerdings verhältnismäßig einfach durch die lokale Speicherung der eingebundenen Schriften entgehen kann. Schließlich verlangt der Gesetzgeber aus Sorge um den Stand der Cybersicherheit in Deutschland von allen Webseitenbetreibern regelmäßige Updates, der für den Betrieb der Website verwendeten Software. Das alles muss dann noch transparent, korrekt und rechtskonform in den Datenschutzhinweisen und Nutzungsbedingungen abgebildet sein. Für viele Betreiber wird dies ohne professionelle Unterstützung durch entsprechend spezialisierte Agenturen und gegebenenfalls Unterstützung mit rechtlichem Beistand kaum zu leisten sein.

Vielen Dank für das Gespräch, Matthias!

What’s next?

GA4 hat einiges für uns alle auf Lager. Sowohl technisch als auch hinsichtlich DSGVO, starten wir zusammen in eine neue Ära! Wir sind schon gespannt, was die Tracking-Zukunft noch so alles bereithält, wie hinsichtlich USA als Drittland entschieden wird, aber vor allem auf das Ausbrechen aus der Komfortzone Universal Analytics.

Apropos Komfortzone: In Teil 2 der Reihe gehen wir auf die Punkte rund um die neue Oberfläche ein und arbeiten Unterschiede, aber auch Gemeinsamkeiten zwischen den beiden Measurement Tools aus. Also bleibt dabei – wir freuen uns!