Google Analytics ist aufgrund seines Funktionsumfangs das beliebteste Produkt zur Auswertung von Websites. Da verwundert es nicht, dass sich auch immer häufiger Aufsichtsbehörden mit dem Dienst auseinandersetzen. Und auch durch Gerichte wurde bereits ein datenschutzwidriger Einsatz von Google Analytics festgestellt. Es drängt sich daher die Frage auf, ob man Google Analytics überhaupt mit dem Datenschutz vereinbar ist und welche Maßnahmen ggf. bei der Verwendung beachtet müssen. Der folgende Beitrag behandelt die wesentlichen Funktionen der Website Analyse und die notwenigen Schritte, um die Vorgaben der gesetzlichen Vorgaben im Datenschutz einzuhalten. Der Beitrag wird durch uns regelmäßig aktualisiert.
Inhalt
- Was ändert sich bei Google Analytics 4?
- Ist Google Analytics mit dem Datenschutz vereinbar?
- Was muss bei der Verwendung von Google Analytics beachtet werden?
- Gibt es keine Probleme mit dem Datentransfer in die USA?
- Welche Einstellungen muss ich bei Google Analytics machen?
- Was ist der Consent Mode und was müssen Unternehmen beachten?
Was ändert sich bei Google Analytics 4?
Derzeit wird Google in der Version Google Analytics 4 angeboten und verspricht dabei erweiterte Datenschutzeinstellungen, welche die Analysen ohne Cookies erlauben. Die vorherige Universal Analytics Version wird seit dem 1. Juli 2023 nicht mehr unterstützt. Auch die kostenpflichtige Version Google Analytics 360 wird ab Juli 2024 nicht mehr durch Google angeboten. Google Analytics 4 hat verschiedene neue Funktionen eingefügt, welche das Datenschutzniveau grundsätzlich verbessern können. Erstens ermöglicht Google Analytics Tracking-Verfahren, die ohne Cookies funktionieren. Zweitens bietet es serverseitiges Tracking, bei dem Nutzerdaten auf dem eigenen Server pseudonymisiert werden können, bevor sie an Google gesendet werden. Drittens versichert Google, dass alle Daten von Endgeräten in der EU auf Servern innerhalb der EU gespeichert und verarbeitet werden. Zudem findet im Gegensatz zu Universal Analytics die Kürzung der IP-Adressen der Nutzer nun auf EU-Servern statt, was dazu führt, dass nur pseudonyme Daten in die USA übermittelt werden. Im Bereich der Datenaufbewahrung setzt Google Analytics 4 mit einer maximalen Aufbewahrungsfrist von 14 Monaten im Vergleich zur früheren Frist von 26 Monaten bei Universal Analytics eine deutliche kürzere Speicherdauer fest. Durch die Deaktivierung von Google Signals kann zudem die Verknüpfung mit einem Google-Konto unterbunden werden.
Ist Google Analytics mit dem Datenschutz vereinbar?
Google Analytics wurde in der jüngeren Vergangenheit von verschiedenen Aufsichtsbehörden, etwa der schwedischen Aufsichtsbehörde, der französischen CNIL, der österreichischen Datenschutzbehörde und der Datenschutzstelle in Liechtenstein, negativ bewertet. Auch das Landgericht Köln untersagte in einem Verfahren der Verbraucherzentrale NRW der Telekom Deutschland die Übermittlung personenbezogener Daten zu Analyse- und Marketingzwecken an Google-Server in die USA. Jedoch betreffen die verschiedenen Entscheidungen stets Einzelfallkonstellationen, die nicht den Einsatz generell ausschließen. Insbesondere das LG Köln stützt die Entscheidung auf einen unzulässigen Transfer von Daten in die USA, welcher mittlerweile durch das Data Privacy Framework aber wieder möglich ist.
Google bietet aktuell keinen sog. Vertrag zur Verarbeitung durch gemeinsam Verantwortliche gem. Art. 26 DSGVO an (sog. Joint-Controller-Agreement – JCA), was manche Aufsichtsbehörden, insbesondere diejenigen aus Deutschland, jedoch für erforderlich halten. Sie sehen in dem Zusammenwirken von Google und einem Websitebetreiber eine gemeinsame Verantwortlichkeit für die verarbeiteten personenbezogenen Daten. Google vertritt hingegen den Standpunkt, dass sie die Daten lediglich im Auftrag des Websitebetreibers verarbeiten und sieht sich daher in der Rolle eines Auftragsverarbeiters im Sinne Art. 28 DSGVO. Zu diesem Zweck bietet Google mit den Auftragsdatenverarbeitungsbedingungen für Google Werbeprodukte auch einen entsprechenden Vertrag an.
Bisher scheint der Einsatz von Google Analytics ohne einen Vertrag gem. Art. 26 DSGVO aber allenfalls mit einem geringen Risiko einherzugehen. Denn einerseits wird die Rolle von Google als Auftragsverarbeiter auch von anderen Aufsichtsbehörden, z. B. der aus Österreich, bekräftigt. Andererseits ist bisher nicht bekannt, dass gegen einen Websitebetreiber, der Google Analytics ohne einen Vertrag der gemeinsamen Verantwortlichkeit verwendet, Maßnahmen seitens der deutschen Aufsichtsbehörden ergriffen wurden oder ein Bußgeld verhängt wurde.
Alle aktuellen Entwicklungen zu Google Analytics haben Sie mit unserem Newsletter im Blick.
Was muss bei der Verwendung von Google Analytics beachten werden?
Die Verwendung von Google Analytics bedarf der Einwilligung der Websitebesucher:innen. Denn zum einen setzt Google Analytics Cookies ein, für deren Verwendung gem. § 25 TTDSG zwingend das Einverständnis vorliegen muss. Zum anderen werden durch Google Analytics die IP-Adresse und weitere personenbezogene Daten verarbeitet, was nach der Auffassung der Aufsichtsbehörden nur auf der Grundlage einer Einwilligung in rechtmäßiger Weise erfolgen kann. Man sieht zwar immer wieder, dass Websitebetreiber die Nutzung von Google Analytics auf das berechtigte Interesse (Art. 6 Abs. 1 lit. f DSGVO) stützen. Diese Auffassung lässt sich rechtlich aber nicht mehr begründen und wird von den Aufsichtsbehörden und auch der Rechtsprechung nicht mehr akzeptiert.
Die Einwilligung für Google Analytics lässt sich regelmäßig über eine Consent-Management-Plattform („Consent-Banner“) einholen. Um hierbei auf der sicheren Seite zu sein, sollten bei der Gestaltung des Banners verschiedene Dinge beachtet werden, die Sie in diesem Blogbeitrag zur rechtskonformen Gestaltung von Cookie-Bannern nachlesen können.
Generell setzt eine wirksame Einwilligung voraus, dass Websitebesucher:innen vorher ausreichend über die Verwendung von Google Analytics aufgeklärt wurden. Dies ist in der Gestaltung, aber auch in der Formulierung der Consent-Management-Plattform zu beachten. Daneben muss in der Datenschutzerklärung oder im Consent Management die Datenverarbeitung durch Google Analytics ausführlich mit Rechtsgrundlage beschrieben werden.
Gibt es keine Probleme mit dem Datentransfer in die USA?
Für die Funktionsfähigkeit von Google Analytics werden Daten durch die Google LLC in den USA verarbeitet. Die Übermittlung der Daten in die USA war zuletzt insbesondere der österreichischen und der schwedischen Datenschutzbehörde ein Dorn im Auge. Die Datenschutzbehörden stellten fest, dass kein angemessenes Schutzniveau im Sinne von Art. 44 DSGVO für die übermittelten personenbezogenen Daten gegeben war. Die schwedische Behörde hat aufgrund dessen im Juli 2023 sogar zwei Unternehmen mit Bußgeldern belegt. Hierzu muss aber gesagt werden, dass sich die Bewertungen der beiden Behörden auf ältere Versionen von Google Analytics bezogen.
Google hat seitdem jedoch reagiert und seine Datenverarbeitung bzw. die angebotenen Verträge geändert. Die Bedenken der beiden Behörden können daher nicht aufrechterhalten werden. Denn fortan werden die Daten nicht mehr direkt vom Websitebetreiber (Verantwortlichen) an Google in die USA übermittelt, sondern an die Google Ireland Limited in Irland (Auftragnehmer). Diese Übermittlung ist ohne Weiteres möglich, da Irland zur EU gehört. Erst die Weiterleitung der Daten von der Google Ireland Limited an die Google LLC in den USA (Unterauftragnehmer) gilt als Drittlandtransfer und bedarf daher der besonderen Voraussetzungen im Sinne von Art. 45 DSGVO, da es sich bei den USA insoweit um ein Drittland handelt. Da die Google LLC ein angemessenes Datenschutzniveau über das Data Privacy Framework (DPF) vorweist, ist der Transfer dieser Daten aber momentan wieder gerechtfertigt.
Welche Einstellungen muss ich bei Google Analytics machen?
Bei der Auswahl der Einstellungen sind die Anforderungen zum Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen aus Art. 25 Abs. 1, 2 DSGVO zu beachten. Daher ist eine Verarbeitung personenbezogener Daten so weit wie möglich zu beschränken.
- Deshalb ist zunächst sicherzustellen, dass für die Dauer der Datenaufbewahrung in Google Analytics der geringste mögliche Wert (2 Monate) festgesetzt ist.
- Zusätzlich ist die Option „Bei neuer Aktivität zurücksetzen“ zu deaktivieren. Dies kann in den Analytics-Steuerelementen zur Datenaufbewahrung eingestellt werden.
- Um eine Verknüpfung personenbezogener Daten zu reduzieren, sollte zudem die Funktion Datenfreigabe für „Google-Produkte und -Dienste“ nicht verwendet werden.
- Nach Möglichkeit sollte im Rahmen der Werbefunktionen nicht die Funktion Google Signale genutzt werden bzw. sollte diese Funktion deaktiviert werden.
- Um dem Grundsatz der Datenminimierung zu genügen, ist außerdem auf die Erhebung von Standort- und Gerätedaten für einzelne Regionen nach Möglichkeit zu verzichten.
- Das gleiche gilt für die Verwendung der User-ID.
Sie brauchen rechtliche Unterstützung bei Google Analytics? Melden Sie sich gerne hier.
Was ist der Consent Mode und was müssen Unternehmen beachten?
Bei dem sog. „Consent Mode“ (auf Deutsch auch als „Einwilligungsmodus“ bezeichnet) handelt es sich um ein neues Einwilligungsverfahren für Google-Dienste, insbesondere Google Analytics. Ab März 2024 können Remarketing-Funktionen von Google Ads und Google Analytics nur noch genutzt werden, wenn der Consent Mode implementiert ist. Hintergrund sind gesetzliche Vorgaben des europäischen Gesetzes über digitale Märkte (“Digital Markets Act”, kurz DMA), die Google als sog. „Gatekeeper“ ab März 2024 dazu verpflichten, für die Verarbeitung von personenbezogenen Daten über ihre Nutzer:innen eine eigene Einwilligung einzuholen.
Um diese Einwilligung zu erlangen, verpflichtet Google seine Kund:innen zur Implementierung des Consent Mode. Dabei handelt es sich im Grunde um eine Schnittstelle, über welche die Einwilligung, die der Kunde auf seiner Website mit einer Consent-Management-Plattform (CMP) für die Einbindung von Google-Diensten bei seinen Nutzer:innen einholt, an Google weitergegeben wird. Google bedient sich also über den Consent-Mode seiner Kund:innen, um die entsprechenden Einwilligungen der Nutzer:innen zu erlangen und damit den Anforderungen des DMA zu genügen.
Um den Anforderungen von Google genügen zu können, muss das verwendete CMP mit dem Consent Mode und seinen Parametern kompatibel sein. Auf der Hinweisseite zum Consent Mode von Google finden sich weitere Informationen dazu, welche CMPs den Consent Mode unterstützen. Dies sollte unbedingt vorab geprüft werden, da selbst gebaute Consent-Banner aller Voraussicht nach die Anforderungen von Google nicht unterstützen.
Die erlangte Einwilligung muss den Anforderungen aus Googles „Richtlinie zur Einwilligung der Nutzer in der EU“ genügen. Die Anforderungen aus dieser Richtlinie decken sich allerdings mit den gesetzlichen Bedingungen aus der Datenschutz-Grundverordnung (DSGVO) bzw. dem Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) an die Wirksamkeit einer Einwilligung. Wenn die Gestaltung des Consent-Banners den gesetzlichen Anforderungen genügt, wird es auch Googles Einwilligungs-Richtlinie gerecht. Die folgenden Punkte sind bei der Einstellung des Consent Mode zusätzlich gesondert zu berücksichtigen:
Einstellung des Einwilligungsstatus
Für den Consent Mode kann ein sog. anfänglicher Einwilligungsstatus festgelegt werden. Wegen der datenschutzrechtlichen Anforderungen ist hier der Standardstatus „Abgelehnt“ auszuwählen.
Erweiterte Implementierung oder einfache Implementierung?
Der Consent Mode kann in den Varianten „Erweiterte Implementierung“ oder „Einfache Implementierung“ genutzt werden. Bei der Variante „Erweiterte Implementierung“ werden sog. Google-Tags bereits geladen, bevor der Consent-Banner eingeblendet wird. In der Variante „Einfache Implementierung“ werden auch die Google-Tags blockiert, bis in die Nutzung von Google-Diensten eingewilligt wurde.
Google empfiehlt in den „Best Practices für den Einwilligungsmodus“, den Einwilligungsmodus/Consent Mode so einzubinden, dass Google-Tags geladen werden, bevor das Consent-Banner eingeblendet wird. Hier ist aber Vorsicht geboten und es sollte nicht blind auf diese Empfehlung vertraut werden. Denn bereits das Laden solcher Google-Tags unterfällt dem grundsätzlichen Einwilligungsvorbehalt aus § 25 Abs. 1 TTDSG. Die Tags als „technisch erforderlich“ und somit unter die Ausnahme von § 25 Abs. 2 TTDSG zu fassen, lässt sich unserer Ansicht nach nicht begründen. Wird der Consent Mode in der Variante „Erweiterte Implementierung“ genutzt, stellt dies im Ergebnis einen bußgeldbewehrten Verstoß gegen die gesetzlichen Vorgaben dar.
Es sollte daher immer der Consent Mode in der Variante „Einfache Implementierung“ genutzt werden. Dabei ist sicherzustellen, dass Google-Tags erst geladen werden, wenn über das Consent-Banner eine entsprechende Einwilligung für die Nutzung des jeweiligen Google-Dienstes erteilt wurde.
Marinus Stehmeier ist als Rechtsanwalt und Senior Legal Consultant bei der Datenschutzkanzlei tätig. Er ist spezialisiert auf alle rechtlichen Themen rund um Datenschutz und Datenökonomie und berät sowohl im Privatrecht als auch im Öffentlichen Sektor.
Holen Sie die Datenschutzkanzlei an Bord
Rechtsberatung für Daten, Tech und Marketing
Externe Datenschutzbeauftragte für Ihr Unternehmen
Datenschutzkanzlei als Hinweisgeber-Meldestelle