HinSchG Vorgaben einfach und effizient umsetzen mit dem Parlabox Hinweisgebersystem
cookiebox logo
webanalytics
Google Analytics 4

ohne Einwilligung?

data processing services & kategorisierung
google analytics logo
Google Analytics 4

Google Analytics (neuste Version 4) ist ein Trackingtool zur Analyse von Reichweite und Nutzerverhalten.

Inhalt des Beitrags

Was ist Google Analytics 4?

Google Analytics 4 (GA4) ist der Nachfolger von Google Universal Analytics (UA) und demzufolge ein Webanalyse Tool, welches nun aber auch die Daten von iOS- oder Android-Apps untersuchen kann. Aber das ist bei weitem nicht die einzige Neuerung die GA4 zu bieten hat. Tatsächlich sind die Neuerungen so weitreichend, dass man praktisch von einem neuen Tool sprechen könnte.

Warum wird Google Analytics 4 verwendet?

Google Analytics ist mit großem Abstand europäischer Marktführer, wenn es um Webanalyse geht. Mit dem kostenlosen Tool hat der amerikanische Tech-Gigant die Welt der Webanalyse für jedermann geöffnet, wenn auch nicht ganz uneigennützig.

 

Die Analysemöglichkeiten sind vielfältig und wurden mit GA4 noch weiter verbessert. Die Begrenzung der Möglichkeiten hängt nur vom Kunden selbst oder aber vom Gesetzgeber ab. Und an dieser Stelle wird es spannend. Denn GA4 hat sich auch beim Thema Datenschutz verbessert. Wieso das aber nicht ausreicht, und GA4 trotzdem nicht bedenkenlos eingesetzt werden kann, wird im Folgenden erläutert.

Na, auf der Suche nach einem ganz bestimmten Service?

Ziel erreicht! 🏁 

In unserem Service-Universum findest du umfassende Informationen zu einzelnen Services – übersichtlich und digital!

Expertenwissen und Profi-Tipps gibt’s on top 😉

data processing services

Rechtliche Grundlage für die Verarbeitung

Die Grundlage für die Verarbeitung der Daten ergibt sich aus der DSGVO in Kombination mit dem TTDSG, wobei die DSGVO vorrangig ist, sollte es mal zu Kollisionen kommen.

 

Die DSGVO regelt die Verarbeitung der personenbezogenen Daten und das TTDSG fokussiert sich auf den Zugriff auf das Endgerät, also z.B. den Einsatz von Cookies.

Wann besteht eine Einwilligungspflicht?

Personenbezogene Daten

Die Verarbeitung personenbezogener Daten ist nur dann rechtmäßig, wenn mindestens eine der Rechtsgrundlagen (a, b, c, d, e, oder f) des Art. 6 Abs. 1 DSGVO erfüllt ist. Die beiden wichtigen lit. sind die folgenden:

  1. Die betroffene Person hat ihre Einwilligung erteilt (lit. a)
  2. Die Verarbeitung ist zur Wahrung deines berechtigten Interesses erforderlich (lit. f)

Cookies

Gem. Art. 25 Abs. 1 TTDSG ist dann eine Einwilligung erforderlich, sobald Cookies gesetzt werden, die technisch nicht unbedingt notwendig sind.

Dabei sollte man wissen, dass damit nicht nur die bekannten, auf dem Endgerät der Nutzer platzierten Cookies gemeint sind, sondern auch sogenannte Zählpixel, die es unter anderem ermöglichen, den Useragent oder das Gerät der Nutzer zu verknüpfen oder herzuleiten.

Einwilligungspflichtig sind also alle Informationselemente, die die Identifizierung einer Person ermöglichen.

Die Anforderungen an die Einwilligungsfreiheit

Um einen einwilligungsfreien Einsatz zu gewährleisten, müssten folgende Bedingungen erfüllt sein:


  1. Sofern eine Datenweitergabe an Dritte stattfindet:
    a) Abschluss eines Auftragsverarbeitungsvertrags (AVV) mit dem Auftragsverarbeiter (AV), sollten Daten von diesem an Dritte weitergegeben werden.
    b) Der Auftragsverarbeiter nutzt die gewonnen Daten nicht für eigene Zwecke.
    c) Der Auftragsverarbeiter verknüpft die Daten nicht über verschiedene Websites oder reichert sie an.
  2. Kein Einsatz von Cookies oder ähnlichen Techniken, die nicht unbedingt erforderlich sind.
  3. Verarbeitung von personenbezogenen Daten ausschließlich in Europa oder in Ländern, für die ein Angemessenheitsbeschluss gemäß Artikel 45 DSGVO gilt.
  4. Möglichkeit des Opt-outs bzw. Widerrufs sowie ausführliche Informationen über die Erhebung personenbezogener Daten in der Datenschutzerklärung.
  5. IP-Anonymisierung („Privacy by Default)
  6. Automatisches Opt-out bei Do-Not-Track-Einstellungen im Browser.
  7. Durchführung einer Interessensabwägung: Das berechtigte Interesse des Websitebetreibers muss die schützenswerten Interessen des Nutzers überwiegen.
  8. Nachweis der erfolgten Punkte 1-7 durch den Website-Betreiber
desktop icon

IP-Adresse

Beachte, dass die IP-Adresse generell ein personenbezogenes Datum darstellt. Falls du verhindern willst, dass personenbezogene Daten übermittelt werden, musst du immer dafür sorgen, dass die IP-Adresse verschleiert wird.

legal icon

Server-Standort

Solange nicht klar ist, ob/dass Daten von einem sicheren Server-Standort aus erhoben werden, ist die Vereinbarkeit mit der DSGVO schwierig.

desktop icon

Firmensitz

Bei amerikanischen Unternehmen und deren Töchter ist es zusätzlich wichtig den Fakt zu berücksichtigen, dass Daten die von Töchtern erhoben werden, auch in die USA weitergeleitet und dort verarbeitet werden. Amerikanische Unternehmen sind seit dem EuGH Urteil zum Privacy Shield einem unsicheren Drittland zugehörig. Sollten die Unternehmen dem derzeitigen Data Privacy Framework (DPF) zugehörig sein, heißt auch das nicht, dass jeder der vom Unternehmen zugehöriger Service unbedenklich zu nutzen ist. Erst recht nicht ohne die Zustimmung der Nutzer.

Warum ist Google Analytics 4 einwilligungspflichtig?

  • Es wird nur schwer möglich sein, ein berechtigtes Interesse für ein Marketingtool wie Google Analytics 4 zu begründen. Vor allem, da Google Signals die gesendeten Daten versucht, sie mit Google-Konten in Verbindung zu bringen. Der Dienst kann zwar deaktiviert werden, jedoch ist nicht klar, ob Google nicht dennoch versucht die Daten zu verknüpfen.
  • Die IP-Adresse der Nutzer ist ein personenbezogenes Datum. Zwar wird die IP-Adresse in GA4 nun standardmäßig anonymisiert, aber selbst dann kann davon ausgegangen werden, dass Google die Serverzugriffe loggt und dadurch an die IP-Adresse der Nutzer kommt.
  • Weiterhin besteht das Problem, dass Google ein US-Amerikanisches Unternehmen ist und die USA seit der Beendigung des Privacy Shields als unsicherer Drittstaat gelten. Dadurch gibt es aktuell keine Rechtsgrundlage für die Übermittlung der Daten in die USA.

Damit liegen Verstöße gegen die oben genannten Punkte (2, 3, 4, 5, 7 und 9) vor. Eine Einwilligungsfreiheit kann nicht begründet werden.

 

Die Kombination mit dem Google Tag Manager kann aber, bei der richtigen Konfiguration dazu führen, dass GA4 ohne Einwilligung eingesetzt werden kann.

Fazit zur datenschutzkonformen Nutzung von Google Analytics 4

Google hat sich mit Google Analytics 4 deutlich gegenüber UA verbessert was die Funktionen und den Nutzen für die Anwender angeht. Auch in Sachen Datenschutz hat sich Google mühe gegeben, den Europäischen Anforderungen gerecht zu werden. Es hat nicht ganz gereicht, aber es ist definitiv ein Schritt in die richtige Richtung.

 

Zusammenfassend können wir noch folgende Probleme identifizieren:

 

  • Es muss sichergestellt werden, dass keine personenbezogenen Daten an Google weitergeleitet werden
  • Google darf die Daten nicht für eigene Zwecke nutzen und mit bestehenden Daten verknüpfen
  • Google darf nicht durch Logging an die IP-Adresse des Nutzers kommen
  • Wenn Cookieless Tracking verwendet wird, muss darauf geachtet werden, dass der Nutzer dennoch nicht identifiziert werden kann und vor allem, dass Google den Nutzer nicht identifizieren kann

Wenn man den Google Tag Manager hinzu nimmt und das ganze noch als Server-Side Tagging betreibt, besteht die Möglichkeit, durch den erhöhten Datenschutz und die verbesserte Datenhoheit, auch ohne Einwilligung zu tracken. Dies geht zwar deutlich zu lasten der Datenqualität, aber immerhin gibt es eine Möglichkeit.

google analytics logo

Du hast Fragen?

Dann ruf uns gerne an. Wir helfen dir bei Fragen zu unserem Produkt und Features oder generell zu allen Datenschutz-Themen:

fragen icon

Du wünschst weitere Infos zum Privacy Hub oder unseren Beratungsleistungen?

jörg ter beek portrait

Jörg ter Beek

Managing Director, Head of Sales & Partnerships