Neu ab 01.06.2023: Analytics 4 – ist das jetzt DSGVO konform?

29. November 2023
von Rechtsanwalt Dr. Ronald Kandelhard
Kommentare 1

von Dr. Ronald Kandelhard, Rechtsanwalt, Fachanwalt für Handels- und Gesellschaftsrecht

Update 6.9.2023: Neue Infos zur Technik von Analytics 4 und die neuesten Entwicklungen zum Datenexport in die USA eingefügt. 

1. Was ist Google Analytics 4?

Analytics 4 ist der Nachfolger von Universal Analytics 3. Es ist ein Analysetool, das künstliche Intelligenz und maschinelles Lernen verwendet. Ab dem 1.6.2023 ist Dein Universal Anlaytics 3 Account auf Analytics 4 umgestellt worden, nur für wenige Nutzer erfolgt dies erst zum 1.10.2023.  

2. Aber wie funktioniert GA4 überhaupt?

Auch GA4 ist auf einen Input an Daten angewiesen, denn es analysiert das Nutzerverhalten. Dafür müssen die Daten einem Benutzer, bzw. einer IP-Adresse zugeordnet werden. Bei Universal Analytics wurde diese Zuordnung dadurch erreicht, dass Cookies auf dem System des Nutzers gespeichert, bzw. abgerufen wurden.  

GA4 dagegen arbeitet mit Ereignissen und nicht mehr sitzungsbasiert. Google wertet im Sinne eines sog. Browser-Fingerprinting vor allem Daten aus, die in Deinem Browser gespeichert sind, wie etwa Versionsnummer, Bildschirm oder Landes-Einstellungen und einiges mehr. Weiter hat Google Algorithmen entwickelt, die aus Nutzungsdaten wie Pageviews, Scrolls bis zum Seitenende, Klicks auf externe Links, Website-Suchen, das Ansehen eines eingebetteten YouTube-Videos oder Downloads – kurz aus Deinem Online Verhalten – eine Prognose über das künftige Nutzerverhalten erstellen können. Und damit nicht genug: Das ist sogar geräteübergreifend möglich, weil die Algorithmen den Nutzer allein anhand seiner Geräte-Einstellungen und seines spezifischen Verhaltens wieder erkennen. 

Jedoch ist Googles Weg in das cookielose Tracking erst allenfalls zwar begonnen, die neuesten Infos zum Google Plan für zukünftiges Tracking ohne Cookies findest Du hier

3. Ist Analytics 4 also ohne Einwilligung im Cookie Banner zulässig?

Das ist doch super, sagst Du als geübter Analytics Nutzer. Dann kann ich den Nutzer mit Analytics 4 sogar ohne Cookies wieder erkennen und brauche keine Cookie Banner mehr?! Du ahnst es schon, erst mal absolut richtiger Gedanke von Dir, aber ganz so einfach ist es leider nicht. 

a) Ist Analytics 4 nach der Cookie-Richtlinie ohne Einwilligung zulässig?

Nach der e-privacy-Richtlinie, der zugehörigen Rechtsprechung sowie dem neu eingeführten § 25 I TTDSG, ist die Speicherung von oder der Zugriff auf Informationen, die im Endgerät des Users gespeichert sind, von einer Einwilligung des Users abhängig. Mit besagten Informationen meint das Gesetz aber nicht nur Cookies. Auch bei dem sog. Browser-Fingerprinting, bei dem die Einstellungen auf dem Gerät des Nutzers ausgelesen werden, wird auf „Informationen, die im Endgerät der Users gespeichert sind“ zugegriffen. Also ist bereits nach der e-privacy Richtlinie der EU bzw. § 25 Abs 1 TTDSG eine Einwilligung des Nutzers erforderlich – mithin auch der (ungeliebte) Cookie-Banner. 

b) Ist Analytics 4 technisch überhaupt ohne Cookies möglich?

Tatsächlich ist die Nutzung von Analytics 4 ohne Cookies ohnehin praktisch noch kaum möglich.  Zwar kannst Du die Cookies ausschalten, doch ist der Trackingerfolg in Analytics 4 dann eher gering. Nutzt Du Analytics 4 ohne Cookies? Wie hast Du Dein Analytics eingestellt? Schreibe uns gern in den Kommentaren, damit wir gemeinsam best practices entwickeln können.

Grundsätzlich ist es Dir möglich, Analytics 4 so einzustellen, dass keine Cookies gesetzt werden. Dann braucht Google aber eine andere Möglichkeit, die Daten des Nutzers zuzuordnen. Hier kannst Du versuchen, die Daten von Analytics 4 nicht direkt an Google zu übermitteln, sondern über einen eigenen Zwischenserver zu schleusen. Auf diesem Server, der Dir gehört, kannst Du die Google Daten verändern, z.B. die IP-Adresse des Nutzers durch eine selbst erstellte Identifikation, z.B. eine Nummer, zu ersetzen. Anschließend kannst Du Google erst die so weiter anonymisierten Daten zur Verfügung zu stellen und dadurch ohne Cookies zu tracken. Ganz einfach ist diese Lösung jedoch technisch nicht umzusetzen, für größere Shops kann dies jedoch auf jeden Fall ein Versuch sein, auch ohne Einwilligung des Nutzers zu tracken. Einen möglichen technischen Weg findest Du hier.

Wenn Du das versuchst, ist neben technischer Analyse auch eine juristische Begleitung notwendig. Insbesondere bei den EU-Datenschutzbehörden gibt es hier sehr strenge Auffassungen zu den technischen Vorkehrungen, die dabei erforderlich sind. 

b) Ist GA4 nach der DSGVO zulässig?

Daher kommt es darauf an, ob das Tracking durch GA4 auch nach der DSGVO ohne Einwilligung rechtmäßig ist. Das ginge, wenn Deine Interessen als Verwender von Tracking-Software die Interessen des Nutzers an dem Schutz seiner Daten überwiegen würden. Lass uns mal gucken, wie das ausgeht (nein, nicht rein subjektiv, sondern wie ein Gericht mutmaßlich diese Abwägung vornehmen würde).  

Erst mal die gute Nachricht. Natürlich hast Du als Online-Unternehmer ein legitimes wirtschaftliches Interesse daran, Deine Nutzer die bestmöglichen Inhalte anzubieten. Auf der anderen Seite ist das Tracking durch Analytics 4 sogar noch umfassender als vorher bei Universal Analytics mit seinen Cookies. Die vollständige Analyse des Nutzungsverhaltens macht letztlich jeden Nutzer gläsern und erlaubt, ihn überall auszuspähen. Es ist schwer vorstellbar, dass da nicht der Datenschutz überwiegt.  

Ergebnis: Damit musst Du auch für die Nutzung von Google Analytics 4 einen Cookie Banner verwenden und darfst es erst einsetzen, wenn der Nutzer – in Kenntnis des Trackings – seine Einwilligung erteilt hat.  

4. Wie muss das Opt In aussehen?

Wenn Du ein Opt In für Google Analytics 4 gestalten möchtest bzw. musst, musst Du beachten, dass sich die Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO auf den Zweck der Datenverarbeitung beziehen muss. Art. 4 Nr. 11 DSGVO vertieft das, danach muss sich die Einwilligung „auf den bestimmten Fall“ beziehen und hat „in informierter Weise“ zu erfolgen. Damit bist Du in der Pflicht, musst das Opt In möglichst transparent für den Nutzer zu gestalten. Du musst den Nutzer bei dem Opt In darüber aufklären, dass und wie GA4 die Nutzerdaten auswertet.  

Was das aber genau bedeutet, ist gerichtlich noch nicht geklärt. Auch wir können hierüber derzeit nur Vermutungen anstellen. Beinhaltet die Cookie-Einwilligung, etwa in einem Cookie Banner, auch die Einwilligung in ein Tracking durch künstliche Intelligenz? Wenn nein, könntest Du die meisten Cookie Banner nicht mehr verwenden. Dann müsstest Du noch eine weitere Einwilligung einholen oder in dem Cookie Banner ganz deutlich machen, dass auch KI verwendet wird.  

Daher ist es nicht überraschend, dass es bereits eine strenge Auffassung unter Datenschützern gibt, wonach eine wirksame Einwilligung zu Analytics nicht möglich ist. Zu komplex seien die Umstände, unter denen Google Analytics 4 einsetzt. Noch ist aber nicht gesichert, dass sich diese Auffassung durch setzt. 

Mit einer gewissen Rechtsunsicherheit kannst Du also versuchen, die Einwilligung in die Nutzung von Google Analytics 4 mit einem Cookie Banner einzuholen.  Wie Du Deinen Cookie Banner dabei gestalten musst, findest Du hier

5. Darf ich mit Analytics 4 die Daten in die USA exportieren?

Grundsätzlich hat Google mit Analytics 4 einige datenschutz-freundlichere Einstellungen eingeführt. Aufgezählt findest Du sie bei Google hier. Dazu gehört auch, dass die IP Adresse standardmäßig (aber erst nach einer Geo-Lokalisierung) anonymisiert und auf europäischen Servern gehostet wird. Ein Datenzugriff aus den USA, insbesondere durch US-Geheimdienste ist damit aber nicht ausgeschlossen, so dass für Analytics 4 auch die sonstigen Voraussetzungen erfüllt sein müssen, um einen Datenexport in die USA zu rechtfertigen. 

Achtung, wichtige Handlungspflicht:

Dafür allein reichen die Standardvertragsklauseln zwar nicht aus, dennoch solltest Du in den Einstellungen bei Google die Datenverarbeitungsbedingungen von Google akzeptieren. Damit schließt Du einen Auftragsverarbeitungsvertrag und die Standardvertragsklauseln mit Google ab und hast wenigstens insoweit die formalen Anforderungen erfüllt.  

Wie Dir wahrscheinlich bereits bekannt ist, gibt es inzwischen ein neues Abkommen zwischen der EU und den USA zum sicheren Daten-Export in die USA. Dazu liegt jetzt auch der Angemessenheitsbeschluss der Europäischen Union vor, so dass Daten grundsätzlich derzeit formal recht sicher in die USA übertragen werden können. Die neuesten Informationen dazu findest Du hier. Voraussetzung ist aber insbesondere, dass das empfangene US Unternehmen nach dem neuen Data Privacy Framework zertifiziert ist. Dies ist für Google der Fall, nachsuchen kannst du das hier

6. Ist Analytics 4 DSGVO konform?

Es ist daher insgesamt zweifelhaft, ob Analytics 4 DSGVO konform verwendet werden kann. Praktisch in jedem Fall musst Du dafür von jedem Nutzer vor Beginn der Datenverarbeitung eine Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO einholen.  

Deine Chancen, dass die Nutzung von Analytics nicht beanstandet werden, kannst Du aber durch verschiedene Einstellungen mehr oder minder deutlich verbessern: 

7. Checkliste: DSGVO freundliche Einstellung von Analytics 4

– soweit es Dir möglich ist, nutze – wie oben angesprochen – Analytics 4 ohne Cookies oder auch mit einem eigenen Server zur weiteren Anonymisierung der Daten der Nutzer 

– deaktiviere die standortbezogenen Dienste – damit werden weniger Daten erhoben

– reduziere die maximale Speicherdauer so weit als möglich, ggf. sogar auf die Minimaldauer von 2 Monaten, damit werden Daten früher gelöscht 

– akzeptiere die Datenschutzbedingungen von Google 

– nutze aktuelle Texte für Dein Analytics 4 in Deiner Datenschutzerklärung (immer aktuell bist Du mit unserem Komplett-Schutz).

8. Empfehlung 

Insgesamt ist ein wirklich rechtlich zulässiger Einsatz von Analytics 4 schwer zu erreichen. Insbesondere kleinere und mittlere Unternehmen stoßen hier auf einige Hürden. Soweit möglich prüfe und nutze zulässige Alternativen. Grade Google steht mit Analytics auch immer wieder im Brennpunkt der Aufmerksamkeit von Datenschützern, Abmahnern und Behörden. Als Online Unternehmer weiß ich aber, dass ein gut funktionierendes tracking häufig einen entscheidenden Einfluss auf die Performance hat. Welche Risiken Du dafür in Kauf nimmst, musst Du für Dich selbst beantworten. 

9. Wie binde ich Google Analytics 4 ein?

Klicke in Deinem Google Konto in der Kontoübersicht rechts oben auf „Verwaltung“ und dann links auf „Neues Konto“. Hier kannst Du eine Website erfassen und den gewünschten Funktionsumfang wählen. Anschließend klicke auf „Tracking-ID“ abrufen.  

Mehr über die DSGVO erfährst du hier.

 

Rechtsanwalt Dr. Ronald Kandelhard

Dr. Ronald Kandelhard, Rechtsanwalt und Mediator, Fachanwalt für Handels- und Gesellschaftsrecht. Ronald war lange Zeit an der Universität, in der Rechtsberatung von Staaten und als Rechtsanwalt tätig. Jetzt entwickelt er mit seinem Startup Paragraf7 automatisierte Lösungen für rechtliche Probleme von Unternehmen.

How useful was this post?

Click on a star to rate it!

Average rating 5 / 5. Vote count: 1

No votes so far! Be the first to rate this post.

As you found this post useful...

Follow us on social media!

We are sorry that this post was not useful for you!

Let us improve this post!

Tell us how we can improve this post?

1 Kommentare

  1. Pingback: GA4 - Das sollte man wissen - Teil 1 | Oplayo Digitale Markterschließer

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert