Next Gen Google Analytics
Willkommen in der neuen Ära von Google (Teil 1 / 2)

“Universal Analytics will be going away“. Diese Schlagzeile hat bereits alle, die im Bereich Analytics, Online-Marketing, Tracking und Co. unterwegs sind, erschüttert. Nicht nur erschüttert, sondern auch zu einer Entscheidung gezwungen. Was passiert nun? Wie tracke und analysiere ich in der Zukunft meine Daten? Mittlerweile steht der Nachfolger in den Startlöchern und ist ready for take off: Google Analytics 4 (GA4). Was es damit auf sich hat, welche Unterschiede es gibt und was es ggf. aus datenschutzrechtlicher Perspektive zu beachten gibt, folgt jetzt. Also bleibt dabei und steigt mit uns ein in Teil 1 der Welt von GA4.
Fakten auf den Tisch
Universal Analytics (UA) läuft also aus. Aber was heißt das konkret?
- Ab 01.07.2023 werden die Universal Analytics Properties keine Daten mehr sammeln.
- Nach dem 01.07.2023 sind die Daten noch für 6 Monate, also bis Ende des Jahres, einsehbar. Dies gilt zumindest für alle kostenlosen, also nicht Analytics 360, Kunden.
Und dann? Laut Google werden die Daten gelöscht. Das bedeutet, dass schnellstmöglich eine Alternative eingebunden werden muss, damit so früh wie möglich Daten gesammelt werden können und somit eine Historie aufgebaut werden kann.
Googles Lösung: GA4. Seit ca. Oktober 2020 gibt es die Möglichkeit, GA4 Properties anzulegen und Daten zu sammeln. Das neue System ist in unseren Augen noch im Beta Mode (Google sieht das bestimmt anders), bietet aber in jedem Fall die Möglichkeit, wertvolle Daten zu sammeln, zu lernen, die neue Oberfläche zu erkunden und und und. Die Empfehlung ist also ganz klar: Paralleles Tracking von UA und GA4, um so schnell wie möglich eine Datenhistorie und Verständnis für unterschiedliche Kennzahlen aufzubauen. Sitzungen sind nicht mehr Sitzungen. Aber dazu später mehr.
Wie reagiert der Analytics Markt?
Die Kernfrage könnte sein, ob Google sich aktuell mit der Umstellung (zumindest in der EU) ein Bein gestellt hat. Kunden bzw. Unternehmen sind dazu gezwungen, sich Gedanken über eine Welt „nach Universal Analytics“ zu machen. Warum dann nicht direkt zu neuen Ufern aufbrechen, einen Anbieterwechsel vornehmen und etwaige Datenschutzbedenken damit direkt aus dem Weg räumen? Konkurrenzanbieter wie Matomo, eTracker und Co. versuchen die Meute in ihren Bann zu ziehen. Fakt bleibt aber weiterhin: Google Analytics ist und bleibt der größte Analytics-Anbieter auf dem Markt. Jetzt fragen wir uns mal alle gemeinsam: Fühlt sich GA4 wirklich wie ein Rückschritt an oder trauern wir einfach nur unserem alt bekannten Universal Analytics hinterher? Der Leitspruch für alle Tracking-Begeisterten wird sein: Raus aus der Analytics Komfortzone!
Deep Dive in die Technik.
Genug darüber philosophiert, was gerade passiert. Lasst uns etwas konkreter werden. Welche Neuheiten und Unterschiede kommen denn auf uns zu? Oder ist vielleicht auch etwas gleich geblieben?
Kurz gesagt, der Spagat zwischen den beiden Trackingsystemen ist so groß, dass wir gar nicht über eine Weiterentwicklung von UA sprechen möchten, sondern GA4 als ganz neues Messinstrument wahrnehmen wollen und müssen. Ein Instrument, welches neu aus dem Boden gestampft wurde und innerhalb kürzester Zeit das vollste Commitment seitens Google genießen durfte. Es hat sich wirklich alles verändert: Angefangen beim zugrunde liegenden Measurement Protocol, über die komplette Analytics-Oberfläche mit ihren Standard Reports, der neuen Kontenstruktur und der Konfigurationsebene, bis hin zu den Möglichkeiten, die Zahlen außerhalb des Systems weiter zu verarbeiten.
Dieser Artikel bietet nicht genug Platz, um auf die Gesamtheit aller Änderungen einzugehen, weshalb wir uns nachfolgend auf die technischen Gegebenheiten fokussieren. Im Mittelpunkt stehen hier die Details rund um Hits und Events inkl. einer datenschutzrechtlichen Einordnung.
Hits und Events
Auf den ersten Blick macht der Sprung vom Wort „Hits“, welches in Universal Analytics Verwendung für das kleinstmögliche Element fand, zum Begriff „Events“ nicht so einen großen Unterschied.


Google scheint das zumindest auch so zu sehen, wenn es um die magische Grenze von 10 Millionen geht, die das Tor zu Analytics360 sind. Anatomisch sieht das jedoch wieder ganz anders aus. Denn die Informationen, die ein Hit in UA beinhalten konnte, waren nur via Benutzerdefinierte Dimensionen oder Messwerte erweiterbar. Ein Event kann nun (fast) gänzlich eigen aufgebaut werden. Das betrifft die Namen der Events selbst genauso wie die dazugehörigen Parameternamen und deren Werte. Auch wenn Analytics hier Standard-Events vordefiniert und gewisse Namen reserviert hat, bleiben der eigenen Phantasie theoretisch nur wenige Grenzen gesetzt.

Mit Blick auf die Weiterentwicklung ist es aber eher ratsam, die Daten ins Korsett des Standards zu drücken, um zum Beispiel später von neuen Standardberichten profitieren zu können. Bis zu 26 Parameter kann die Analytics- Oberfläche verwalten. Wem das nicht reicht, der hat die Möglichkeit, auf BigQuery zurückzugreifen, welches nun auch für kostenlose Konten zur Verfügung steht. Dann sind der Anzahl an Attributen keine Grenzen gesetzt. Zusammengefasst: In GA4 steht uns viel mehr Platz für Informationen zur Verfügung.
Datenschutz und Google Analytics
Einen wichtigen Aspekt haben wir bis jetzt noch nicht ausreichend behandelt. Sprechen wir also über den rosa Elefanten, der im Raum ist und den keiner bemerken will: Es geht natürlich um den Datenschutz. Auch hier hat sich mit GA4 einiges geändert. So werden die Daten z. B. von Europäern nicht mehr wie vorher von Servern in den USA angenommen, sondern von Servern in der EU. IP-Anonymisierung findet nicht mehr erst durch entsprechende Konfiguration statt, sondern wird immer umgesetzt. Diese Infos kann man eher als low hanging fruits bezeichnen.
Um also fundiertes Wissen liefern zu können, das tiefer in die Materie geht, haben wir Rechtsanwalt Dr. Matthias Orthwein befragt und ihm folgende Fragen gestellt, die uns wahrscheinlich alle umtreiben:
Matthias, Ist der Einsatz von Google Analytics DSGVO konform?
Ich glaube, wir müssen die Frage anders stellen. Es gibt ja nicht nur das eine Tool Google Analytics, sondern vielmehr verschiedene Versionen des Tools (die aktuelle Version ist Version 4). In jeder Version bietet Google eine Vielzahl von individuellen Konfigurationen und Einstellungen an. Die Frage muss daher vielmehr lauten: Wie kann ich Google Analytics nutzen, sodass es DSGVO-konform ist?
Wer einfach nur an der veralteten Version 3 festhält oder in der Version 4 unbedacht die von Google zusätzlich zum Standard angebotenen – aber datenschutzrechtlich problematischen – Funktionen wie Signals oder die Data Sharing Option einsetzt, wird sicherlich Probleme bekommen, deren datenschutzrechtliche Zulässigkeit zu verargumentieren. Ich bin andererseits überzeugt, dass die aktuelle Version 4 von Google Analytics mit sorgfältig geplanten Konfigurationen und z. B. in Kombination mit einem guten Consent Banner ohne weiteres bereits die rechtlichen Anforderungen der DSGVO erfüllen kann. Wenn dies dann noch mit einem pseudonymisierenden Zusatzelement wie dem Tag Server ergänzt wird, habe ich nur noch sehr wenig Bedenken, dass der Einsatz des Analysetools als datenschutzrechtswidrig anzusehen ist.
Ist der Einsatz von GA in Österreich verboten?
Im Markt herrscht in der Tat einige Unsicherheit bezüglich des Einsatzes von Google Analytics, da die österreichische Datenschutzaufsicht im Dezember 2021 eine Entscheidung veröffentlicht hat, dass der Einsatz von Google Analytics, im von ihr geprüften Fall, gegen die DSGVO verstößt. Auch die französische Datenschutzaufsicht CNIL hat im Februar 2022 einen ganzen Katalog von aufwändigen technischen Maßnahmen veröffentlicht – mit der Maßgabe, dass nur bei deren Einsatz die Verwendung von Google Analytics DSGVO konform sei. Dem folgten noch ähnliche Entscheidungen der Datenschutzaufsicht in Italien im Juni 2022 und in Dänemark im September 2022. Bevor man nun voreilig falsche Schlüsse über die angebliche Unzulässigkeit von Google Analytics in diesen Ländern zieht, gilt es einiges klarzustellen: Zunächst gilt seit 2018 in allen Mitgliedstaaten der EU die DSGVO unmittelbar und mit identischem Wortlaut. Das bedeutet, wenn der Einsatz von Google Analytics tatsächlich gegen die DSGVO verstoßen würde, wäre dies nicht nur in einem Land, sondern vielmehr in allen Mitgliedstaaten unzulässig.
Dann muss man aber auch genau hinschauen, worüber die genannten Aufsichtsbehörden jeweils eigentlich entschieden haben. Tatsächlich hat nämlich keine der EU Aufsichtsbehörden bisher entschieden, dass jeglicher Einsatz egal in welcher Konfiguration von Google Analytics ohne Ausweg gegen die DSGVO verstoßen würde. Vielmehr hatten alle vier Entscheidungen konkrete Individualfälle zum Gegenstand, die keinesfalls verallgemeinert werden können. Wesentlicher Kritikpunkt der österreichischen Datenschutzaufsichtsbehörden war z. B. dass der Betreiber nur einen veralteten Stand der Standardvertragsklauseln direkt mit Google in den USA abgeschlossen hatte. Beides bietet Google heute gar nicht mehr an. In anderen Fällen haben die Nutzer jeweils freiwillig der Verbindung der Analysedaten mit ihrem ebenfalls freiwillig freigeschalteten User Account bei Google zugestimmt. Diese Kombination der Analyse mit den Daten der Google UserID ist allerdings keinesfalls zwingend (oder üblich). Keine der genannten Entscheidungen hatte hingegen den Einsatz der aktuellen Version 4 von Google Analytics in der hier empfohlenen Konfiguration oder gar unter Zuhilfenahme eines lokal gespeicherten Tag Servers zum Gegenstand. Man kann also gerade nicht sagen, dass dieser Einsatz oder jeglicher Einsatz von Google Analytics von irgendeiner Datenschutzaufsichtsbehörden verboten worden wäre. Wie aus der Presse und dem Markt zu hören ist, mahnen windige Datenschutzinteressengemeinschaften oder deren Anwälte Webseitenbetreiber wegen des Einsatzes von Google Analytics auf Basis einer der genannten Entscheidungen ab. Hier sollten die Betroffenen unbedingt sehr genau prüfen, ob das dort abgemahnte Verhalten überhaupt auf ihrer Website stattfindet.
Wie lässt sich mein Risiko also minimieren?
Zunächst einmal bietet Google bereits heute in der Standardkonfiguration von Google Analytics 4 an, datenschutzrechtlich problematische Optionen – wie die Data Sharing Option oder die Nutzung von Signals bzw. die Verknüpfung mit der UserID des Nutzers – zur Risikominimierung gar nicht erst einzuschalten. Wer dann auch noch einen sorgfältig gestalteten Consent Banner verwendet, eine ausreichende Datenschutzrisikoabschätzung durchführt und schließlich alle Tracking Mechanismen, die Datenschutzrechtsgrundlagen und Verwendungszwecke der Daten in den Datenschutzhinweisen transparent beschreibt, darf bereits davon ausgehen, dass bei ihm die Datenschutzrisiken nicht überwiegend sind. Schaltet man dann noch einen lokal gespeicherten Tag Server als Pseudonymisierungsinstanz zwischen seine Website und Google, kann meiner Ansicht nach von einem lediglich noch minimalen Datenschutzrisiko ausgegangen werden.
Ändert sich die Datenschutz Rechtslage für GA in absehbarer Zeit noch einmal? Lohnt es sich, darauf zu warten?
US-Präsident Biden hat am 7. 10.2022 eine Executive Order erlassen, die darauf abzielt, den Datenschutz in den USA an den Stand der DSGVO in Europa anzugleichen und insbesondere den Rechtsschutz für EU-Bürger in den USA zu verbessern. Die EU-Kommission hat bereits angekündigt, dass sie prüft, die USA auf Basis dieser Präsidenten-Entscheidung als sicheren Drittstaat im Sinne der DSGVO anzuerkennen. Mit dieser Entscheidung der EU-Kommission ist bis Anfang 2023 zu rechnen und sie würde die Rechtslage für alle internationalen Datentransfers mit EU Berührung erheblich vereinfachen. Man kann diese Entscheidung für falsch oder richtig halten; solange sie allerdings nicht durch den Europäischen Gerichtshof aufgehoben wird, stellt sie die geltende Rechtslage dar. Webseitenbetreiber in der EU könnten dann mit erheblich weniger Aufwand und Risiko als oben dargestellt die Dienste von Google Analytics nutzen. Ob es sich lohnt, mit der Tracking-Auswertung seiner Website bis zu diesem noch nicht feststehenden Zeitpunkt abzuwarten, muss jeder Betreiber für sich selbst entscheiden.
Ist der Einsatz eines Tracking Tools das Einzige, was für die Rechtskonformität einer Webseite oder eines Onlineshops wichtig ist?
Leider nein. Der Gesetzgeber und die Gerichte in Deutschland und Europa machen sich viele Gedanken über den Nutzerschutz im E-Commerce, was andererseits für Betreiber von Onlineshops und Webseiten zu entsprechenden zusätzlichen rechtlichen Anforderungen führt. Das bereits erwähnte digitale Hausrecht nach dem TTDSG macht den Einsatz eines „state of the art“ Consent Management Tools notwendig. Eine etwas unvorsichtig formulierte Entscheidung des Landgerichts München über die auf der Website eingebundenen Schriftarten von Google Fonts führt aktuell zu einer unerfreulichen Abmahnwelle in Deutschland, der man allerdings verhältnismäßig einfach durch die lokale Speicherung der eingebundenen Schriften entgehen kann. Schließlich verlangt der Gesetzgeber aus Sorge um den Stand der Cybersicherheit in Deutschland von allen Webseitenbetreibern regelmäßige Updates, der für den Betrieb der Website verwendeten Software. Das alles muss dann noch transparent, korrekt und rechtskonform in den Datenschutzhinweisen und Nutzungsbedingungen abgebildet sein. Für viele Betreiber wird dies ohne professionelle Unterstützung durch entsprechend spezialisierte Agenturen und gegebenenfalls Unterstützung mit rechtlichem Beistand kaum zu leisten sein.
Vielen Dank für das Gespräch, Matthias!
What’s next?
GA4 hat einiges für uns alle auf Lager. Sowohl technisch als auch hinsichtlich DSGVO, starten wir zusammen in eine neue Ära! Wir sind schon gespannt, was die Tracking-Zukunft noch so alles bereithält, wie hinsichtlich USA als Drittland entschieden wird, aber vor allem auf das Ausbrechen aus der Komfortzone Universal Analytics.
Apropos Komfortzone: In Teil 2 der Reihe gehen wir auf die Punkte rund um die neue Oberfläche ein und arbeiten Unterschiede, aber auch Gemeinsamkeiten zwischen den beiden Measurement Tools aus. Also bleibt dabei – wir freuen uns!


Autoren
Oliver Stecher & Anna-Lucia Mahler
Digital Marketing Specialists bei TechDivision
Die beiden Autoren sind Digital Marketing Specialists bei der TechDivision GmbH aus Kolbermoor. Mit dem Fokus auf alles rund um die Themen Tracking und Analytics fühlen sie sich in der Data Analytics Welt mehr als wohl. Schlagwörter wie der Google Tag Manager, Analytics und Reportings oder Excel lassen die Herzen der beiden höher schlagen. Seit über einem Jahr beschäftigen sie sich mit GA4 und haben schon einige Kunden beim Wechsel von UA auf GA4 begleiten dürfen. Und das Schöne ist: Die Reise ist noch nicht zu Ende.
www.techdivision.com
a.mahler(at)techdivision.com
o.stecher(at)techdivision.com

Interviewpartner
Dr. Matthias Orthwein, LL.M. (Boston)
Rechtsanwalt SKW Schwarz
Dr. Orthwein ist Rechtsanwalt und Partner bei SKW Schwarz in München. Er berät in allen Bereichen des IT Rechts, sowie bei Projekten zur digitalen Transformation. Oft geht es um die Entwicklung und Realisierung neuer Digitaler Plattformen und Geschäftsmodelle. Er ist ein erfahrener Experte für nationale und internationale Datenschutzrechtsfragen. Laut Handelsblatt/Best Lawyers, sowie der Wirtschaftswoche ist er einer von „Deutschlands besten Anwälten 2022“ im Bereich IT- und Technologierecht sowie Datenschutz. Dr. Orthwein ist Lehrbeauftragter für IT und Datenschutzrecht der Hochschule Rosenheim.
www.skwschwarz.de
m.orthwein(at)skwschwarz.de
www.twitter.de/m_orthwein