Im Dezember 2021 ging ein Raunen durch die Datenschutzwelt in Deutschland: Google Analytics, DAS Website Analysetool, wurde von den Aufsichtsbehörden faktisch verboten. Da sich auf dieses Tool jedoch unzählige Marketing- und Werbestrategien stützen, kämpfen vor allem große Publisher gegen dieses Verbot an. Aber auch Google reagierte und veröffentlichte eine vermeintlich datenschutzfreundlichere Variante von Google Website Analytics: Google Analytics 4 (GA4), das in der Beta-Phase noch den Namen „Web & App“ trug. Das neue Google Analytics soll ein großer Schritt in Richtung Datenschutz und DSGVO sein – doch was hat sich beim neuen Analysetool GA4 und Datenschutz wirklich getan?
Website Analytics mit Google Analytics 4: Wirklich besser?
Seit Anfang Juli 2023 ist die Google Analytics Version Universal Analytics-Properties (UA) nicht mehr verfügbar. Der Zugriff auf alte Properties wird ab Ende 2023 verwehrt. Damit geht auch der Zugriff auf historische Daten verloren. Nur bei der Bezahlversion Analytics 360 wurde die Zeitspanne für den Wechsel um drei Monate verlängert. Ende der Datenerhebung ist der 30.10.2023.
Als Alternative, die auch wesentlich datenschutzfreundlicher sei und sich an den Vorgaben der DSGVO orientiere, steht nun GA4 zur Verfügung. Dabei handelt es sich jedoch nicht um eine Nachfolgeversion von UA, sondern um eine komplett neu entwickelte Software, die sogar mit künstlicher Intelligenz arbeitet. Was vor allem die Datenschutzwelt interessiert: Wie ist es um den Datenschutz bei Google Analytics 4 bestellt? Kann die Software endlich bedenkenlos eingesetzt werden und trägt dem Datenschutz in vielen Unternehmen Rechnung?
Tools datenschutzkonform einsetzen
Tools sind für Unternehmen unverzichtbar. Dennoch muss darauf geachtet werden, dass diese Tools auch datenschutzkonform sind. Wir haben uns darauf spezialisiert, Unternehmen bezüglich der Einbindung und Nutzung von Tools zu beraten.
Google Analytics 4 – was kann man von der neuen Google Analytics Version erwarten?
Unter dem Punkt „EU-focused data and privacy“ erklärt Google, welche neuen datenschutzfreundlichen Optionen GA4 bietet. Dazu gehört zum Beispiel, dass erhobene IP-Adressen nur noch für die Geo-Lokalisierung genutzt und dann anonymisiert werden sollen. Zudem erfolgt die Speicherung und Verarbeitung aller Daten von Endgeräten der EU nun auf innereuropäischen Servern.
Darüber hinaus arbeitet das neue Google Analytics mit Künstlicher Intelligenz (KI). Mittels maschinellen Lernens werten Algorithmen automatisch das Nutzungsverhalten von Website-Besucher:innen aus, zum Beispiel mittels Ereignisdaten. Diese sogenannten Events, wie sie in GA4 genannt werden, lösen die sitzungsbasierten Daten (Hits) von UA ab.
Durch den KI-Einsatz kann nutzertypisches Verhalten geräteübergreifend erkannt und zusammengeführt werden: Dafür reicht der KI bereits beispielsweise das Scroll-Verhalten, die Page Views oder das Verhalten auf einer Website selbst (Klick auf Links, Downloads etc.), um Nutzer auch auf anderen Geräten wiedererkennen zu können.
Diese KI kann darüber hinaus auch auswerten, wie Website User mit Marketingkampagnen interagieren – ebenfalls geräteübergreifend. Wird etwa auf dem Smartphone eine Werbung ausgespielt und auf dem Laptop der beworbene Gegenstand gekauft, so kann dies von GA4 erkannt werden (Modelling von Conversions). Auch das künftige Verhalten von Zielgruppen oder Prognosen zu Einzelnutzern soll die neue GA4-KI vorhersagen können.
Wie ändert sich der Datenschutz bei Google Analytics 4
Datenschutzrechtlich betrachtet ist Google Analytics 4 ein Schritt in die richtige Richtung, doch leider ein viel zu kleiner. Zwar bessert Google mit der neuen Software beim Datenschutz definitiv nach, doch bleiben einige gravierende Mängel bestehen, die vor allem Unternehmen ernst nehmen sollten:
- US-Behörden haben Zugang zu allen Daten von US-Unternehmen, das regelt u.a. der Patriot Act. Dies betrifft auch Daten amerikanischer Unternehmen, die auf europäischen Servern liegen. Die Verlagerung des Datenspeicherorts von GA4 in die EU bedeutet also nicht, dass die Daten europäischer User, die mittels GA4 erhoben wurden, durch den Zugriff amerikanischer Behörden sicher sind.
- Trotz der von Google ausgerufenen Post-Cookie-Ära stützt GA4 sich weiterhin auf die Verwendung von Cookies und braucht nach wie vor die ausdrückliche Zustimmung der Website-Besucher. Wird die Zustimmung nicht gegeben, wertet GA4 dennoch Daten wie die Bildschirmauflösung des Endgeräts aus. Die Auswertung der Bildschirm-Auflösung muss ebenfalls deaktiviert werden.
- Die IP-Adressen der User werden zwar automatisch anonymisiert, jedoch erst nachdem die Geo-Lokalisierung stattgefunden hat.
- Da Google bei GA4 auf KI setzt, ist es für Unternehmen schwierig, ihre Websitebesucher:innen transparent über den Umgang mit ihren Daten zu informieren und eine wirksame Einwilligung in die Datenverarbeitung einzuholen.
- In der Vergangenheit sind erste Aufsichtsbehörden kritisch gegen Google Analytics vorgegangen, so etwa die französische Aufsichtsbehörde CNIL. Diese stellte fest, dass die getroffenen Maßnahmen von Google weiterhin nicht ausreichen, um bei der Datenübermittlung in die USA ein Datenschutzniveau zu erreichen, das dem der Europäischen Union im Wesentlichen gleichwertig war. Zwar wird sich dieser Kritikpunkt aufgrund des zuletzt von der EU-Kommission getroffenen Angemessenheitsbeschlusses zum EU-US Data Privacy Framework künftig ändern. Da Datentransfers in Drittstaaten allerdings nicht der einzige Kritikpunkt von Datenschützern an Google Analytics sind, sollte der Umgang der Aufsichtsbehörden mit dem Thema auch bei Google Analytics 4 im Auge behalten werden.
Die wichtigsten Datenschutzeinstellungen in GA4
Sie möchten nicht auf Google Analytics verzichten? Unsere Checkliste zeigt Ihnen, wie Sie wichtige Datenschutzeinstellungen in Google Analytics 4 vornehmen, um das Tool risikominimiert weiter zu nutzen.
Website Analytics: Diese Alternativen gibt es zu Google Analytics
Wenn Sie im Unternehmen Google Analytics, die Nachfolgesoftware oder ganz allgemein alternative Tracking Tools einsetzen, sollten Sie sicherstellen, dies so datenschutzkonform wie möglich eingebunden werden. Wir haben bereits auf datenschutzfreundliche Alternativen zu Google Analytics verwiesen. Außerdem gibt es folgende Alternativen:
- Clicky: Das Tool ist nicht nur in der Basisversion kostenlos, sondern bietet auch zahlreiche Möglichkeiten, unterschiedlichste Datenschutzeinstellungen vorzunehmen. Das Tool ist laut eigener Beschreibung DSGVO-konform und präsentiert sich optisch übersichtlich und nutzerfreundlich.
- Mapp Intelligence: Was früher Webtrekk war, heißt nun Mapp Intelligence. Dieses Analysetool legt seinen Fokus auf wichtige Kundendaten wie Interaktionen, getätigte Käufe oder Sessions. Vor allem das Cross-Device-Verhalten sowie das eingesetzte Machine Learning für vorausschauende Nutzeranalysen sind einen Blick wert. Denn, und das wird vertraglich zugesichert: Die Kontrolle über die erhobenen Daten liegt beim Websitebetreiber und das Tool selbst trackt keine personenbezogenen Daten.
- IO Technologies: Ein starkes Analyse-Tool vor allem für Medien-Seiten stellt IO Technologies dar. Bekannte Messkriterien wie Traffic-Quellen, die Recirculation-Rate, die Seiten-Lesbarkeit sowie die Verweildauer auf einer Seite können mittels dieses Tools erfasst und ausgewertet werden.
Wollen oder können Sie hingegen in Ihrem Unternehmen nicht auf Google Analytics 4 verzichten, so lohnt es sich, die Datenschutz-Einstellungen des Tools mithilfe unserer GA4-Checkliste kritisch zu prüfen. Egal, für welche Variante Sie sich entscheiden: Wenden Sie sich an Ihren Datenschutzbeauftragten, damit Sie nicht das Nachsehen haben, wenn die Behörden gegen den Einsatz dieses noch immer marktführenden Tools vorgehen sollten.
