Google Analytics und der Datenschutz – mal wieder

von | Mrz 31, 2022 | Analytics

Nach Beschwerden des Datenschutzvereins noyb des Juristen Max Schrems haben die Datenschutzbehörde in Österreich und Frankreich (CNIL) Google Analytics als nicht EU-datenschutzkonform eingestuft. Prüfungen in weiteren Ländern sind anhängig.

Google hat bisher mit einem Verweis auf seine vorhandenen Datenschutzbemühungen rund um Analytics reagiert, sowie der Forderung nach einer Nachfolgevereinbarung zum Privacy Shield zwischen der EU und USA.

Was ist das Problem?

In der EU regelt die DSGVO die Erhebung, Verarbeitung und Übertragung von personenbezogenen Daten. Personenbezogene Daten sind stark vereinfacht gesprochen solche Daten, die die Identifikation einer Person innerhalb einer Gruppe ermöglichen, etwa Name, Adresse oder Telefonnummer.

Auch Email-Adresse, IP-Adresse oder User-IDs, die durch Cookies oder ähnliche Technologien eine Profilbildung des Nutzers erlauben, sind zu prüfen. Besonders solche IDs, die eine Verknüpfung mit Profildaten aus weiteren Quellen ermöglichen, werden kritisch gesehen. Google Analytics überträgt die (zuvor durch Google gekürzte) IP-Adresse, sowie User-IDs (aus Cookies) in die USA.

In der Vergangenheit gab es mit Privacy Shield eine Vereinbarung zwischen der EU und den USA zur Anerkennung des gegenseitigen Datenschutzstandards. Auf diese Vereinbarung bezogen sich viele Datenübertragungen in der Vergangenheit. Mit dem Schrems 2 Urteil in 2020 wurde diese Vereinbarung für unzureichend erklärt.

Als Nicht-EU Mitglied gilt die USA als Drittland und erfordert somit eine besondere Prüfung des Datenschutzniveaus. Amerikanischen Geheimdiensten ist der Zugriff auf sämtliche gesammelte Daten eines US-Unternehmens gestattet. Somit sind potentiell auch Daten von EU-Bürgern betroffen, was nicht mit dem Schutzanspruch der DSGVO vereinbar ist.

Aus Sicht des Datenschutzes gilt die USA momentan als nicht-sicheres Drittland. Eine Übertragung und Verarbeitung personenbezogener Daten erfordert daher besondere Maßnahmen und Vereinbarungen. Diese waren aus Sicht der ÖDSB und des CNIL in den geprüften Fällen nicht gegeben, wodurch eine Verarbeitung der Nutzerdaten gegen die DSGVO verstößt.

Hinweis: Google Analytics als Tool selbst wurde nicht beanstandet, sondern die Übertragung und Verarbeitung in einem unsicheren Drittland.

Was können wir tun?

Nun stellt sich die Frage, wie man mit der Situation umgehen soll. Grundsätzlich gibt es zwei Optionen: Entweder darauf warten, dass die Politik oder Google das zugrundlegende Problem beseitigen. Oder aktiv das eigene Tracking-Setup so verändern, dass die problematische Datenverarbeitung nicht stattfindet.

Warten auf gesetzliche Regelung

Die EU und USA arbeiten seit längerem an einem Nachfolger des Privacy Shield. Allerdings ist fraglich, ob so eine Vereinbarung unter den aktuellen Rahmenbedingungen überhaupt möglich ist. Denn eine solche Neuauflage soll nicht direkt nach dem Start wieder kassiert werden durch erneute Klage. Google hofft auf einen baldigen Abschluss der Gespräche. Der Austausch zwischen EU und USA läuft, ob das eine Lösung bringt, ist allerdings offen.

Warten auf Google

Ein anderer Ansatz ist, dass Google Daten für Analytics explizit innerhalb Europas erfasst, verarbeitet und speichert. Somit gäbe es keine Datenübertragung in ein Drittland. Allerdings besteht hier die Möglichkeit, dass Google als US-Unternehmen dennoch verpflichtet wäre, Zugriff für Geheimdienste einzuräumen. Nach den bisherigen Äußerungen ist es aktuell unwahrscheinlich, dass Google einen EU-eigenen Dienst einrichtet.

Analytics Tool wechseln

Nutzt man ein Analytics-Tool, bei dem Betreiber und Technik innerhalb der EU sitzen, gibt es kein Problem mit der Datenübertragung. Ein Anbieter mit europäischem Standort ist Piwik Pro. Der Dienst hat die Open Source Software Piwik weiterentwickelt und bietet eine vollwertige SAAS Lösung an. Dabei orientiert sie sich sowohl technisch als auch in der Nutzeroberfläche stark an den Google Produkten.

Mit Matomo gibt es eine Open Source Lösung, die auf eigenen Servern gehostet werden kann. Aufgrund des Open-Source Status fallen für die Software keine Lizenzkosten an, allerdings benötigt der Betrieb entsprechend performante Server-Systeme, sowie Ressourcen zur Administration und Pflege von Updates. Der Funktionsumfang und die Verknüpfungsmöglichkeiten mit anderen Tools sind eingeschränkt bzw. benötigen Anpassungen der Code-Basis.

Weitere Anbieter wie etracker oder econda werben mit DSGVO-konformen Hosting innerhalb der EU. Auch hier müssen Features, Performance und letztlich auch Kosten geprüft werden. Ein großer Vorteil der Google Systeme ist ihr einfacher Datenaustausch untereinander, gerade mit den Marketing-Diensten ist die Verknüpfung einfach und umfangreich. Wenn GA auch als Basis für Search und Display Ads genutzt wird, werden Verknüpfungen und Anpassungen in weiteren Systemen nötig. Gerade zu Kampagnen und Marketing können einige Tools nicht den gleichen Funktionsumfang von Google Analytics liefern.

Ein Systemwechsel erfordert Aufwände für Umstellung, Einarbeitung sowie Lizenzkosten.  Mit einem europäischen Anbieter ist dafür die Diskussion zu Drittländern hinfällig.

Aktiv personenbezogene Daten in Google Analytics vermeiden

Gar nicht erst zur Anwendung käme die DSGVO, wenn man die Übertragung und anschließende Verarbeitung personenbezogener Daten von vorneherein vermeiden könnte. Hier setzt Server-Side Tracking als Lösung an: Dabei werden die Daten, die über Nutzer gesammelt werden, zunächst an einen eigenen Server geleitet. Dieser kann Daten wie die IP-Adresse vor dem Weitersenden zum eigentlichen Analytics Tool verändern, verschlüsseln oder komplett löschen. Findet diese Bearbeitung in der EU statt, würden nur noch „gesäuberte Daten“ an ein Drittland weitergeben.

Die Umsetzung so einer IP-Löschung ist für Google Analytics realisierbar (allerdings nicht zwangsläuft für alle Marekting-Tools – hier muss individuell geprüft werden). Erforderlich ist eine Erweiterung des bisherigen Google Taggings oder alternativ ein Wechsel auf ein entsprechendes Taggingsystem. In beiden Fällen fallen Kosten für Service oder Hosting an. Viele Datenschützer haben server-side Tagging noch nicht tiefer betrachtet, sodass es da noch keine allgemeingültigen Aussagen dazu gibt und eine individuelle Diskussion nötig machen. Grundsätzlich ist die Funktion aber gut erklär- und nachvollziehbar.

Webinar zu Google und der Datenschutz

Mehr zu technischen Lösungen von Google erfahrt ihr in der Aufzeichnung unseres Webinars Google und der Datenschutz

Fazit

Der Einsatz eines anderen Tagging oder Analytics-Systems kann überlegt werden, ist aber mit einem so hohen Aufwand verbunden, dass eine Umstellung gut überlegt und kalkuliert werden sollte.

Wird eine direkte Reaktion auf die Beschlüsse der Datenschützer nötig, ist der Einsatz von server-side Trackings eine Option. In einer ersten Stufe kann damit eine IP-Löschung implementiert werden. Perspektivisch ist der Einsatz für weitere Themen interessant, wie cookieless-Tracking oder Performance-Optimierung. Der Server-side GTM von Google bietet eine zügige Implementierung ins bestehende Setup bei überschaubarem Aufwand und Kosten. Mit etwas Handarbeit, lässt sich ein Container in der EU hosten – bei Google oder auch anderen Diensten wie Azure oder AWS.

Die Beschlüsse sind kein Grund, euer Analytics in den Müll zu werfen. Der Einsatz von server-side Tracking ist nicht die Lösung aller Probleme, aber es bietet ein weiteres Werkzeug um die Hoheit über die eigene Datensammlung zu behalten.

Newsletter

Du möchtest keinen Beitrag aus unserem Blog verpassen? Dann trage dich in unseren Newsletter ein.

Alles über GA4
Google Analytics 4 Buch

Das geballte lunapark
Know-How in einem Buch:
Google Analytics 4 – Grundlagen, Praxis, Migration (2023)

Du möchtest mit uns in Kontakt treten?

Schreibe uns über unser Kontaktformular oder ruf uns an unter +49 (0)221 467 583-0

Unsere Webinare als Aufzeichnung

Google Consent Mode v2 – Tracking und Datenschutz

Der Google Consent Mode v2 ist eine aktualisierte Version des Einwilligungsmodus, der es Websites ermöglicht, die Nutzung von Google-Diensten wie Google Analytics und Google Ads besser an die Einwilligung der Nutzer anzupassen. Er wurde im November 2023 eingeführt und...

SEO Strategie

SEO-Strategie für 2024: Erfahre, wie du deine Website in den Suchergebnissen verbessern kannst! Die regelmäßige Überprüfung und Anpassung der SEO-Strategie ist der Schlüssel zu nachhaltigem Online-Markterfolg. In einer Welt, in der sich Google-Algorithmen und...

GA4 Lessons Learned in 2024 und Q&A

GA4 ist schon länger verfügbar, aber für viele kam der echte Einstieg im Sommer 2023: mit dem Abschalten von Universal Analytics hat Google dem früheren Standard selbst den Stecker gezogen. Nun ging es nicht mehr nur ums Setup und Migrieren bisheriger Berichte,...

Weitere Themen aus unserem Blog

SEO Contest 2023

SEO Contest 2023

Morgen startet der seoday 2023 in Köln und wir sind schon ganz gespannt auf die vielen Vorträge der diesjährigen Speaker. Ein Blick auf die Themen verrät schon jetzt, in diesem Jahr dreht sich vieles, wenn nicht alles, um das Thema Künstliche Intelligenz. In diesem...

mehr lesen
Wärmepumpenseo vs. SEO für Wärmepumpen

Wärmepumpenseo vs. SEO für Wärmepumpen

Der Begriff Wärmepumpenseo ist nicht leicht zu erklären. Ein geläufiger Chat-bot würde auf die Frage nach einer Definition von Wärmepumpenseo wahrscheinlich folgendes antworten: „Wärmepumpen sind Geräte, die zum Heizen und Kühlen von Räumen oder zur...

mehr lesen
luna-park meets SEODAY Cologne 2023

luna-park meets SEODAY Cologne 2023

Mit unserer Expertise als Digital Marketing Agentur helfen wir Unternehmen, erfolgreiche Online-Marketing-Strategien zu entwickeln und umzusetzen. Unser Fokus liegt auf der Steigerung des relevanten Traffics sowie einem optimierten Nutzererlebnis auf der jeweiligen...

mehr lesen

Alle Neuigkeiten von lunapark in deinen Posteingang!

Ja, ich möchte euren Newsletter mit Neuigkeiten zu Webinaren, aus dem Blog und wissenswerten Infos zum Digitalen Marketing erhalten.

Du hast dich erfolgreich angemeldet. Bitte bestätige die Email in deinem Posteingang!