Zur Überraschung vieler Experten hat Google unlängst angekündigt, ab dem 1. Juli 2023 nur noch Google Analytics 4 (GA4) zu betreiben. Ab Sommer 2023 soll der Support für die bisherige Version Universal Analytics eingestellt werden und eine Datenerhebung über das Tool nicht mehr möglich sein. Das neue GA4 versprach zunächst benutzerfreundlicher und auf die Einhaltung der DSGVO angepasst zu sein. Beim näheren Hinsehen ergeben sich jedoch ähnliche Rechtsprobleme wie bei der Vorgängerversion.

Was ist neu?

Der Wechsel auf GA4 bedeutet für die Nutzer eine große Umstellung, da es sich bei dem Nachfolgemodell nicht um eine bloße Fortentwicklung von Universal Analytics handelt, sondern um eine gänzlich neue Software. GA4 konzentriert sich dabei auf Ereignisse, die bestimmte Nutzer auf der Website auslösen und entfernt sich von dem bisherigen Fokus auf Sitzungen und Seitenaufrufe. Bewährte Dashboards der Vorgängerversion werden nicht fortgeführt, viele Berichte, die es bei Universal Analytics gab, werden abgeschafft und auch in ihrer Visualisierung haben die Analysetool-Module wenig gemeinsam.

Aus Datenschutzsicht ändert sich nach allem, was bisher bekannt ist, wenig. Während die standardmäßigen Löschungsfrist für Daten bei Universal Analytics noch 26 Monate betrug, erlaubt GA4 keine längere Aufbewahrung als 14 Monate. Dagegen haben sich frühere Ankündigungen, wonach GA4 ein Tracking ganz ohne Cookies und andere Identifier ermögliche, bislang nicht materialisiert. Auch bei dem Einsatz von GA4 werden mehrere Cookies gesetzt.

Datenschutzrechtliche Beurteilung

Datenschutzbehörden in Österreich, Frankreich und Italien haben Unternehmen, insbesondere Verlagshäusern, den Einsatz von Universal Analytics ohne Einwilligung der Nutzer untersagt. Wie Universal Analytics ist auch die Nutzung von GA4 nicht vollständig ohne datenschutzrechtliche Risiken möglich. Rechtsprobleme können sich hinsichtlich der:

  • Erforderlichkeit der Einwilligung in das Setzen von Cookies nach § 25 TTDSG,
  • Erforderlichkeit einer Einwilligung in die Auswertung der erhobenen personenbezogenen Daten nach Art. 6 Abs. 1 S. 1 DSGVO und der
  • Frage des Drittstaatentransfers und Artt. 44 ff. DSGVO ergeben.

Erforderlichkeit der Einwilligung in das Setzen von Cookies

Nach § 25 Abs. 1 TTDSG bedarf es bei der Speicherung oder dem Zugriff auf Informationen, die im Endgerät des Nutzers gespeichert sind, stets einer Einwilligung des Nutzers. Das Einwilligungserfordernis entfällt nur, wenn die Speicherung oder der Zugriff auf die Nutzerdaten „unbedingt erforderlich“ ist, um dem Nutzer den gewünschten Dienst zur Verfügung zu stellen.

Die durch GA4 gesetzten Analyse-Cookies können nur in wenigen Ausnahmefällen als „unbedingt erforderlich“ angesehen werden. Empfehlenswert ist daher die Einholung einer Einwilligung vor dem Setzen und Auslesen von GA4-Cookies. Dies geschieht typischerweise über Cookie Banner, aus denen sich ergeben muss, dass Cookies erhoben werden, sowie die Art, Umfang und Zweck der Datenerhebung. Der Nutzer muss zudem erkennen können, dass Google auf den Inhalt des Cookies Zugriff hat.

Einwilligung in die Auswertung der erhobenen Daten

Darüber hinaus muss die Verarbeitung, der über die Informationen aus dem Cookie zugeordneten personenbezogenen Daten, gemäß Art. 6 Abs. 1 S. 1 DSGVO gerechtfertigt sein. Denkbar ist, die Verwendung von GA4 auf „überwiegende berechtigte Interesse“ des datenverarbeitenden Unternehmens zu stützen. Dabei steht das erhebliche Interesse des Website-Betreibers am Einsatz des Trackingtools zur Webanalyse, Auswertung und Verbesserung, den Interessen der Nutzer gegenüber, die personenbezogenen Daten nicht für Zwecke der Webanalyse zu verarbeiten. Geht man unbefangen an die Interessenabwägung heran, wird diese in vielen Fällen zu Gunsten des Website-Betreibers ausfallen, da es sich bei den erhobene Daten nicht um sensible Persönlichkeitsdaten, sondern um gerätbezogene Pseudonyme handelt.

Andererseits kann, wenn die Berufung auf das „überwiegende berechtigte Interesse“ zu risikoreich erscheint, die Einwilligung der Nutzer in die Datenverarbeitung eingeholt werden. Hierbei gelten die gleichen Grundsätze, wie für die Cookie-Einwilligung. Darüber hinaus muss aus der Datenschutzerklärung hervorgehen, welche Daten zu welchem Zweck verarbeitet werden. Die Tracking-Einwilligung kann auch gemeinsam mit der Cookie-Einwilligung eingeholt werden.

Unabhängig davon, auf welchem Wege die Datenverarbeitung gerechtfertigt wird, steht den Nutzern eine Opt-Out Option zu. Die Einwilligung kann gemäß Art. 7 Abs. 3 S. 1 DSGVO jederzeit widerrufen werden. Der Datenverarbeitung aufgrund berechtigter Interessen können die Betroffenen widersprechen. Der Widerruf muss dabei so einfach sein, wie die Erteilung der Einwilligung. Ratsam ist es, den Consent Banner so zu gestalten, dass die Nutzer ihn leicht aufrufen und die Einstellungen ändern können.

Die Frage des Drittstaatentransfers und Art. 44 DSGVO

Rechtlich am schwierigsten ist auch bei GA4 der Datentransfer in die USA. Zwar sichert Google zu, dass Daten von Endgeräten mit IP-Adresse aus der EU über Domains und Server in der EU erhoben werden. Jedoch erfolgt offenbar auch stets ein Transfer der pseudonymisierten Daten an Google LLC, USA. Geht man davon aus, dass Zugriffe auf personenbezogene Daten aus den USA möglich sind, müssen die zusätzlichen Voraussetzungen der Artt. 44 DSGVO eingehalten werden.

Nach Ansicht der Datenschutzkonferenz sind dazu neben dem Abschluss von Standardvertragsklauseln und einer Prüfung der Rechtslage im Drittland weitere Maßnahmen erforderlich, um ein angemessenes Schutzniveau zu gewährleisten. Google geh hinsichtlich der zusätzlichen Garantien je nach Sichtweise nicht wirklich weit: HSTS-verschlüsselter Datentransfers für die Kommunikation mit Google Analytics Servern; AES256-Verschlüsselung von Daten im Ruhezustand; interne Datenzugriffsprozesse und –richtlinien, so dass lediglich diejenigen Google-Beschäftigten Zugriff auf Daten bekommen, die diesen auch benötigen, ISO 27001 Zertifizierung für die Prozesse und Rechenzentren, die Google Analytics betreffen, Pseudonymisierung der Analytics Daten und ggf. Anonymisierung von IP-Adressen, sofern dies von den Account-Inhabern entsprechend eingestellt wird. Ein eventueller Zugriff von U.S.-Behörden auf solche Daten wird dadurch nicht ausgeschlossen. Es lässt sich gut vertreten, dass diese zusätzlichen Maßnahmen angesichts dessen, dass es sich lediglich um Pseudonyme Betroffener handelt und ein Interesse von U.S.-Diensten (anders als bei GMail oder Youtube) nicht bekannt ist, ausreichend sind, den Datentransfer zu legitimieren. Und womöglich kommt ja demnächst das Transatlantic Data Privacy Framework zu Hilfe.

Letztlich bleibt es eine unternehmerische Frage, ob die mit dem Drittstaatentransfer verbundenen Risiken zu Gunsten einer besseren Nutzbarkeit in Kauf genommen werden.

CNIL stellt FAQ zum Einsatz von GA4 zur Verfügung

Die französische Datenschutzbehörde CNIL sieht den Datentransfer in die USA kritisch und hält die zusätzlichen Garantien für unzureichend. Nach ihrem Entscheid über die Rechtswidrigkeit des Einsatzes von Google Analytics Anfang 2022, hat die CNIL eine wichtige FAQ zur Nutzung des Analytics-Moduls veröffentlicht. Die FAQs weisen darauf hin, dass die zusätzliche Maßnahmen von Google Analytics nicht ausreichen, um ein Datenschutzniveau zu gewährleisten, das dem der EU im Wesentlichen gleichwertig ist. Die in den FAQ genannten Lösungsvorschläge, das Tool datenschutzkonform zu nutzen, scheinen kostspielig und komplex in ihrer Umsetzung. Aus den Erläuterungen der Behörde geht hervor, dass sich ein Blick auf Alternative Analyse-Tools lohnen kann.

Das sollten GA4-Anwender beachten

Schlussendlich gilt für Google Analytics 4 datenschutzrechtlich nahezu das Gleiche wie für Universal Analytics und somit auch für die bestehenden Risiken. Verbessert hat sich lediglich die Konfigurationsmöglichkeiten des Trackings im Rahmen der DSGVO. Unternehmen, die auf GA4 wechseln wollen, sollten die Einstellungen in den Properties möglichst datensparsam vornehmen und ein TIA mit Bezug auf die konkreten Datenschutzeinstellungen durchführen. Für das Setzen von Cookies bedarf es weiterhin einer transparenten Einwilligung der Nutzer.

Wer auf GA4 umstellen möchte, sollte dies jetzt tun. So können Daten mit Vorjahreswerten erhoben werden, welche zum Vergleich dienen. Bis zum 1. Juli 2023 ist der Parallelbetrieb beider Analytics-Versionen technisch ohne weiteres möglich. Aus rechtlicher Sicht sollten auch beim Parallelbetrieb die Einwilligung der Nutzer in den Einsatz des Tracking-Tools eingeholt werden. Dazu genügt ein Hinweis in dem Cookie Banner, dass Tracking durch ein Google Analytics Tool verwendet wird. Wird in der Einwilligungserklärung oder Datenschutzinformation eines der beiden Analytics Modelle konkret benannt, ist auf diese Version auch auf dem Cookie Banner hinzuweisen. Weitere Informationen zum Parallelbetrieb gibt es auf Google Support.

 

Weiterführende Links:

  • PinG Beitrag zu Google Analytics 4
  • Ein Beitrag von Erik Petersen zur Entscheidung der österreichischen Datenschutzbehörde über die Rechtswidrigkeit des Einsatzes von Google Analytics
  • Entscheid der österreichischen Datenschutzbehörde vom 22. Dezember 2021
  • Ein Beitrag von Nicole Beranek Zanon, Olivia Boccali und Ursina Eichenberger zur Entscheidung der CNIL über die Rechtswidrigkeit des Einsatzes von Google Analytics
  • Entscheid der CNIL betreffend Google Analytics vom 10. Februar 2022