Google Analytics möglichst DSGVO-konform verwenden – oder Alternativen nutzen

Warum lohnt sich der Blick auf Google-Analytics-Alternativen?

Wenn es darum geht, Websitenutzern ein besseres Erlebnis beim Surfen und personalisierte Inhalte zu bieten, führt für viele Marketingteams kein Weg an Google Analytics vorbei. Unternehmen können damit unterschiedliche KPIs auf ihrer Website messen.

Welche Daten sammelt Google Analytics?

Das Tracking-Tool von Google sammelt Hunderte Merkmale, sogenannte Metrics und Dimensions, unter anderem:

• Zahl der Seitenaufrufe

• Anzahl der Nutzer

• Statistiken zur Sitzung wie Verweildauer

• Aktionen wie Käufe  

• grobe Standortbestimmung

• Informationen über Browser und Geräte

Dafür erfasst das Tool personenbezogene Daten der Websitebesucher, zu denen auch die IP-Adresse und weitere pseudonyme Wiedererkennungsmerkmale gehören. Wann immer solche Daten gesammelt und verarbeitet werden, greifen im Europäischen Wirtschaftsraum (EWR) die Vorschriften der Datenschutzgrundverordnung (DSGVO). In Deutschland und anderen Mitgliedsstaaten sind außerdem lokale gesetzliche Sonderregelungen zum Einsatz von Cookies und ähnlichen Technologien zu beachten. Hierzulande gilt zum Beispiel § 25 Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG).  

DSGVO & Google Analytics: Eine bewegte Geschichte

Der Datenhunger des Tracking-Tools sorgte in der Vergangenheit immer wieder für Frust bei Datenschützern. Im Dezember 2021 wurde Google Analytics von den Aufsichtsbehörden schließlich faktisch verboten. Google reagierte und veröffentlichte Google Analytics 4 (GA4) – eine vermeintlich datenschutzfreundlichere Variante von Google Analytics.  

Zu den Änderungen gehört zum Beispiel, dass erhobene IP-Adressen gekürzt werden. Kürzer ist auch die Aufbewahrungsfrist von Daten, die statt 26 nur noch 14 Monate beträgt. Zudem erfolgen die Speicherung und Verarbeitung aller Daten von Endgeräten der EU nun auf innereuropäischen Servern.  

Allerdings wurde gleichzeitig der Funktionsumfang nochmals erweitert. Google Analytics arbeitet heute mit Künstlicher Intelligenz, um Nutzer geräteübergreifend wiedererkennen und das künftige Verhalten von Zielgruppen vorhersagen zu können. 

Was sind die größten Datenschutzhürden beim Tracking mit Google Analytics?

Zwar hat Google mit dem Update beim Datenschutz definitiv nachgebessert. Dennoch bleiben einige gravierende Mängel bestehen, die vor allem Unternehmen ernst nehmen sollten: 

• Die IP-Adressen der User werden zwar automatisch gekürzt und dadurch anonymisiert – zuvor erhält das Analytics-Tool allerdings die vollständige IP-Adresse, um damit eine Geolokalisierung durchzuführen. 

• Nach dem 11. September 2001 haben US-Behörden unter dem Patriot Act Zugang zu allen Daten von US-Unternehmen, auch wenn diese Daten auf europäischen Servern liegen. Die Verlagerung des Datenspeicherorts von GA4 in die EU bedeutet also nicht, dass durch GA4 erhobene Daten europäischer User vor dem Zugriff amerikanischer Behörden sicher sind.

• GA4 stützt sich weiterhin auf die Verwendung von Cookies und ähnlichen Technologien. Dafür ist die Zustimmung der Websitebesucher notwendig, selbst wenn teilweise auch nicht personenbezogene Daten wie die Bildschirmauflösung des Endgeräts ausgelesen werden. 

• Die deutschen Aufsichtsbehörden hatten die Beziehung zwischen Google und dem Webseitenbetreiber zuletzt im Mai 2020 pauschal als gemeinsam Verantwortliche eingestuft, weshalb ein entsprechender Vertrag nach Art. 26 DSGVO abgeschlossen werden muss. Google unterscheidet mittlerweile zwar zwischen der Nutzung im Rahmen einer Auftragsverarbeitung und der Nutzung der jedenfalls im EWR optionalen Funktion zum Teilen der Daten mit Google im Rahmen einer gemeinsamen Verantwortlichkeit und bietet auch Verträge nach Art. 26 DSGVO an. Allerdings ist noch unklar, inwieweit diese den Aufsichtsbehörden genügt.

• Da Google Analytics auf KI setzt, ist es für Unternehmen schwierig, ihre Websitebesucher transparent über den Umgang mit ihren Daten zu informieren und eine wirksame Einwilligung in die Datenverarbeitung einzuholen. 

Mit Blick auf den Datenschutz ist der Einsatz von Google Analytics also nach wie vor bedenklich und nicht ohne Risiko nutzbar. Deshalb stellt sich für viele Unternehmen die Frage, ob und inwiefern sie Google Analytics DSGVO-konform nutzen können.  

Was sagen Datenschutzgesetze zur Nutzung von Google Analytics?

In der DSGVO ist der Einsatz von Tracking Tools nicht explizit geregelt. Vielmehr beinhaltet die Verordnung allgemeine Anforderungen an die Erhebung und Verarbeitung personenbezogener Daten. Das deutsche TDDDG wiederum stellt allgemeine Anforderungen an den Einsatz von Cookies und ähnlichen Techniken auf, die auch beim Einsatz von Google Analytics zum Einsatz kommen.  

Unternehmen müssen beide Anforderungen beachten, um den Schutz von personenbezogenen Daten zu gewährleisten. So verlangen sowohl TDDDG als auch DSGVO für Webtracking-Maßnahmen zum Beispiel die Einwilligung der Nutzer. Widerrufen Betroffene Ihre Einwilligung, müssen Unternehmen die Nutzung ihrer Daten für Trackingzwecke und die Datenverarbeitung verhindern. Bereits erhobene Daten wären zu löschen.

5 Schritte, um Google Analytics datenschutzkonform zu verwenden

Webseitenbetreiber können den Einsatz von Google Analytics möglichst DSGVO-konform und risikoarm gestalten. Dafür sind allerdings verschiedene Anpassungen notwendig. Wichtig sind dabei insbesondere die folgenden Schritte.

1. Einrichtung Ihres Google Analytics Kontos und Konfiguration der Datenfreigabe

Zunächst ist unter „Datenfreigabeeinstellungen für Konto“ auszuwählen, wie die Daten, die Sie mit Ihrem Google Analytics Konto erheben, durch Google weiter genutzt werden können. Je weniger Daten hier mit Google geteilt werden, desto risikoärmer lässt sich Google Analytics einsetzen.

Dabei sind insbesondere die Datenfreigabeeinstellungen für „Google-Produkte und -Dienste“ und für „Modelle für Beiträge und Geschäftsinformationen erstellen“ datenschutzrechtlich relevant, da hier derzeit die größten Risiken für Unternehmen lauern.

Bei der Datenfreigabeeinstellungen für „Google-Produkte und -Dienste“ werden Daten der Websitebesucher an Google weitergegeben und auch zu eigenen Zwecken von Google verarbeitet. Insoweit geht mittlerweile zwar auch Google davon aus, dass es sich um eine gemeinsame Verantwortlichkeit handelt und ermöglicht den Abschluss eines Vertrages über die gemeinsame Verantwortlichkeit. Ob dieser Zusatzvertrag allerdings den Anforderungen der Datenschutzaufsichtsbehörden gerecht wird, ist derzeit noch unklar.  

Bei der Auswahl „Modelle für Beiträge und Geschäftsinformationen“ werden die über den Account erhobenen Daten zusammengefasst und für den Nutzer „de-identifiziert“, um daraus Geschäftsstatistiken zu erstellen, die Google für das sogenannte Google-Analytics-Branchen-Benchmarking nutzt, also für den Vergleich mit anderen Webseiten. Außerdem werden die Daten für die Erstellung von Prognosemesswerten verwendet. Dabei wird der Datenbestand des Accountinhabers mithilfe von maschinellem Lernen (KI) analysiert, um Prognosen zum Nutzerverhalten zu erstellen.  

In diesen Fällen werden Daten der Websitebesucher mit Google geteilt und sowohl für Zwecke des Accountinhabers als auch für Zwecke von Google genutzt. Die Datenverarbeitung zu eigenen Zwecken steht einer Auftragsverarbeitung aber völlig entgegen. Zudem dürften gemeinsame Zwecke und Interessen des Accountinhabers und Google verfolgt werden, weshalb hier von einer gemeinsamen Verantwortlichkeit ausgegangen werden müsste. Leider bietet Google hier keinen Vertrag über die gemeinsame Verantwortlichkeit an, weshalb die Verwendung dieser Option riskant ist.

Das können Sie tun: Um Google Analytics datensparsam und möglichst datenschutzkonform bzw. risikoarm zu nutzen, sollte auf die Auswahl beider Optionen verzichtet werden. Optional können Sie die Punkte „„Technischer Support“ und „Empfehlungen für Ihr Unternehmen“ ebenfalls deaktivieren.

Ihre Auswahl können Sie auch zu einem späteren Zeitpunkt in den Kontoeinstellungen über „Verwaltung“ > „Kontoeinstellungen“ > „Kontodetails“ wieder anpassen.

2. Abschluss der von Datenschutzverträgen mit Google

Je nach ausgewähltem Nutzungsumfang bzw. je nach Datenfreigabeeinstellungen werden am Ende des Einrichtungsdialogs verschiedene Verträge zwischen Google und dem Google-Analytics-Kontoinhaber abgeschlossen.

Dabei handelt es sich um

• Nutzungsbedingungen für Google Analytics

• Auftragsdatenverarbeitungsbedingungen für Google Werbeprodukte

• Sowie im Fall der Datenfreigabeeinstellungen für „Google-Produkte und -Dienste“ zusätzlich Datenverarbeitungsbedingungen zwischen Verantwortlichen für Messdienste von Google.

Achten Sie in jedem Fall am Ende des Kontoerstellungsdialoges darauf, vor dem Akzeptieren der Google-Analytics-Nutzungsbedingungen die Checkbox zur Zustimmung zu den Datenverarbeitungsbedingungen gemäß DSGVO zu markieren. Dabei handelt es sich um den Auftragsverarbeitungsvertrag („Auftragsdatenverarbeitungsbedingungen für Google Werbeprodukte“) und damit um die Mindestvoraussetzung für einen möglichst datenschutzkonformen Betrieb.  

Achtung: Nur wenn Ihre Angaben zum „Land“ korrekt sind, ist das Auswählen der Checkbox eine Pflichtangabe und so Voraussetzung für den Abschluss des Vertrages.  

Soweit Sie bei der Einrichtung des Kontos auch die Datenfreigabe für „Google-Produkte und -Dienste“ aktiviert haben, müssen Sie am Ende des Kontoerstellungsdialoges den „Zusätzlichen Bedingungen für Daten, die für Google freigegeben werden“ („Datenverarbeitungsbedingungen zwischen Verantwortlichen für Messdienste von Google“) über eine gesonderte Checkbox zustimmen.

Tipp: Denken Sie daran, die verlinkten Nutzungsbedingungen und die jeweiligen Datenverarbeitungsbedingungen im Rahmen Ihres Datenschutzmanagements zu dokumentieren.

Werden die Datenfreigabeeinstellungen für „Google-Produkte und -Dienste“ erst nach der Ersteinrichtung in den Kontoeinstellungen über „Verwaltung“ > „Kontoeinstellungen“ >„Kontodetails“ ausgewählt, muss den „Datenverarbeitungsbedingungen zwischen Verantwortlichen für Messdienste von Google“ dann zu diesem Zeitpunkt zugestimmt werden.

In den Kontodetails finden Sie im Übrigen auch die Angabe, wann für das Konto der Auftragsverarbeitungsvertrag („Datenverarbeitungsbedingungen“) bzw. der Vertrag über die gemeinsame Verantwortlichkeit („Datenverarbeitungsbedingungen zwischen Verantwortlichen“) von Ihnen akzeptiert wurden.  

Tipp: Dokumentieren Sie einen Screenshot oder Ausdruck der Angaben zum Abschlusszeitpunkt in Ihrem Datenschutz-Management-System.

3. Passen Sie Ihre Datenschutzerklärung an

In Ihrer Datenschutzerklärung ist unbedingt anzugeben, dass Ihr Unternehmen Google Analytics verwendet und in welchem Umfang Sie Daten erheben und verarbeiten. Außerdem sollten Sie in Bezug auf Google Analytics gemäß Art. 13 DSGVO zu folgenden Punkten Angaben in Ihrer Datenschutzerklärung machen:

• Zweck der Datenverarbeitung

• Kategorien der verarbeiteten Daten

• Hinweis auf verwendete Cookies und ähnliche Technologien

• Rechtsgrundlage  

• Bestehen des Widerrufsrechts und wie dieses ausgeübt werden kann

• Empfänger der Daten

• Gegebenenfalls Angaben zur Datenübermittlung in Drittstaaten

• Speicherdauer bzw. Kriterien für Festlegung der Dauer

4. Holen Sie die Einwilligung Ihrer Nutzer ein

Datenschutzkonformes Webtracking ist nur mit einer vorherigen informierten Einwilligung der Nutzer möglich. Das Tracking darf erst aktiviert werden, nachdem der Betroffene eingewilligt hat. Eine entsprechende Einwilligung können Sie zum Beispiel über ein sogenanntes Consent-Management-System (Cookie-Banner) einholen.  

Tipp: Wir empfehlen, Ihr Consent-Management so zu konfigurieren, dass kein Teil der Trackingsoftware geladen wird, bevor eine Einwilligung des Webseitenbesuchenden vorliegt.

Darüber hinaus setzt auch Google für eine zulässige Nutzung von Google Analytics im Rahmen der vertraglichen Bedingungen voraus, dass der sogenannte Google Consent Mode umgesetzt worden ist. Damit will Google sicherstellen, dass Sie nur dann Daten an Google übermitteln, wenn eine Einwilligung der Betroffenen vorliegt. Auch hier gilt es, den Datenschutz zu beachten, da Google insoweit eine unbedenkliche Variante und eine datenschutzrechtlich kritisch zu bewertende Version des Consent Mode anbietet.

5. Reduzieren Sie die Aufbewahrungsdauer erhobener Daten

Nach der Voreinstellung von Google Analytics werden Nutzer- und Ereignisdaten 14 Monate lang gespeichert. Als Mindestdauer sind zwei Monate vorgesehen. Außerdem ist die Option „Bei neuer Aktivität zurücksetzen“ standardmäßig aktiviert. Mit Blick auf Art. 25 DSGVO (Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen) sollten Sie diese Funktion deaktivieren und die Aufbewahrungsdauer möglichst auf zwei Monate begrenzen.

Achtung: Wenn Sie durch Google Analytics in der Vergangenheit bereits Nutzerprofile ohne IP-Anonymisierung oder Einwilligung erstellt haben, sind diese Daten rechtswidrig erhoben worden und müssen gelöscht werden.

DSGVO-konforme Tracking-Möglichkeiten: Alternativen zu Google Analytics

Wer die DSGVO einfacher einhalten und trotzdem hochwertige Daten nutzen möchte, kann auf eine Google-Analytics-Alternative zurückgreifen. Bei den folgenden Alternativen zu Google Analytics sind die Standardeinstellungen in der Regel so gestaltet, dass Webseitenbetreiber die DSGVO automatisch einhalten.  

Dennoch muss auch bei den datenschutzfreundlicheren Alternativen berücksichtigt werden: Ein Webtracking ist niemals ohne Einwilligung zulässig. Das Einwilligungserfordernis gilt nach TDDDG bzw. DSGVO für jede Art von Tracking bei dem das Verhalten des Users über das Auslesen und/oder Speichern von Daten Endgerät erfolgt. Dabei ist es völlig egal, ob dies im Wege des Browser-Fingerprinting oder über ein serverseitiges Tracking (Server Side Tracking) erfolgt.  

Auch für den wohl in der Praxis seltenen Fall, dass Daten ohne die Verarbeitung von Pseudonymen ausgelesen oder ohne die Verwendung von pseudonymen Wiedererkennungsmerkmalen weiterverarbeitet werden, muss nach TDDDG immer eine Einwilligung eingeholt werden. Ein Personenbezug ist nicht relevant. Es genügt bereits das Auslesen von rein technischen Informationen, erst recht das Auslesen von Daten zum Verhalten des Websitebesuchers.

Fazit zu Google Analytics: DSGVO-konform einbinden oder Alternativen nutzen

Wenn Ihr Unternehmen weiterhin mit Google Analytics arbeitet, sollten Sie regelmäßig die Datenschutz-Einstellungen des Tools prüfen. Ist Ihnen das Datenschutzrisiko mit dem US-Tool zu hoch, lohnt es sich, Alternativen zu Google Analytics zu vergleichen.  

Egal, für welche Variante Sie sich entscheiden: Wenden Sie sich an Ihren Datenschutzbeauftragten, damit Sie nicht das Nachsehen haben, wenn die Behörden gegen den Einsatz dieses noch immer marktführenden Tools vorgehen sollten.