Google Analytics 4 – ein datenschutzkonformes Tracking-Tool?

  

Anbieter einer Website haben ein Interesse daran, zu erfahren, welches Userverhalten die Nutzer auf der Website haben, insbesondere

  

Durch die Ergebnisse der Analysen können Website-Betreiber Websites auf Basis des Nutzungsverhaltens optimieren und Online-Marketing zielgerichtet durchführen. 

   

Google Analytics steht als kostenloses Tracking-Tool weltweit allen Nutzern mit einem Google-Account zur Verfügung. Besonders attraktiv für kleinere Anbieter ist das kostenlose Angebot, das Google Analytics von vielen vergleichbaren Anbietern unterscheidet. Größere Anbieter mit höherem Bedarf greifen häufig auf die kostenpflichtige, dafür aber unlimitierte Version der Software zurück. Es wird jeweils in die Website ein JavaScript-­Code eingebettet, der personenbezogene Daten zum Nutzerverhalten auch geräteübergreifend erfasst. So kann nicht nur die Besucheranzahl oder der Verhaltensfluss auf einer Website nachvollzogen werden. Es besteht auch die Möglichkeit zu Zielgruppenanalysen (z.B. in Abhängigkeit von Faktoren wie dem verwendeten Endgerät, der Sprache, dem Alter oder dem Standort). Diese Daten werden zusammen mit der IP-Adresse von Google in die USA übermittelt. 

  

Seit dem Urteil des Europäischen Gerichtshofes vom 16 Juli 2020 (C-311/18), in dem das EU-US-Privacy Shield für unwirksam erklärt worden ist kann Letzteres nicht mehr als Grundlage für eine datenschutzkonforme Übermittlung von personenbezogenen Daten in die USA herangezogen werden. Für viele Unternehmen wirft das die Frage auf, ob Google Analytics noch rechtssicher genutzt werden kann. Personenbezogene Daten können grundsätzlich auf Basis von sog. Standardvertragsklauseln von der EU in die USA und andere Drittstaaten übermittelt werden. Die Standardvertragsklauseln bieten insoweit ausreichende Garantien, dass personen­bezogene Daten im Drittland USA einem mit der EU vergleichbaren Schutzniveau unterliegen. Allerdings müssen Unternehmen bei der Nutzung der Standardvertragsklauseln grundsätzlich prüfen, ob der Empfänger der Daten (bei Google Analytics wäre das die Google LLC mit Sitz in den USA) aufgrund der lokalen Rechts­ordnung auch tatsächlich das erforderliche Schutzniveau gewährleistet wird. 

  

Bereits im Jahr 2021 hat die Datenschutzkonferenz der Aufsichtsbehörden der Länder (DSK) sich grundsätzlich gegen den Einsatz von Tracking-Tools, wie Google Analytics ausgesprochen, da neben den Standard­vertrags­klauseln oft keine zusätzlichen Maßnahmen zur Einhaltung des Schutzniveaus getroffen werden könnten. 

  

Im Jahr 2022 positionierten sich auch die Datenschutzbehörden aus Österreich, Frankreich und Italien gegen den Einsatz von Google Analytics. Die Standardvertragsklauseln würden kein angemessenes Schutzniveau gewährleisten und die zusätzlich getroffenen technischen und organisatorischen Maßnahmen seien nicht effektiv, um die Überwachungs- und Zugriffsmöglichkeiten durch US-Nachrichtendienste zu beseitigen.

  

Die ersten Bußgelder aufgrund des Einsatzes von Google Analytics in Höhe von einer Millionen Euro bzw. 25.000 Euro ergingen nun Ende Juni dieses Jahres in Schweden. Die schwedische Aufsichtsbehörde hatte vorab vier Unternehmen untersagt Google Analytics zu nutzen, weil aufgrund der US-amerikanischen Über­wachungsgesetze – insbesondere dem sog. US Patriot Act – kein angemessenes Schutzniveau festgestellt werden konnte.

  

Google stellt bereits seit dem Jahr 2005 Webtracking-Tools zur Verfügung. Einzelne Funktionen sind seither in bekannte Tools wie das Werbesystem Google Ads oder in Google Search Console, ein Angebot zur Such­maschinen­optimierung, integriert. Seit über 10 Jahren wurden diese Services in der Plattform Universal Analytics gebündelt, die sich bis zu ihrem Auslaufen im Juli 2023 fortlaufend weiterentwickelt hat. Mit Google Analytics 4 steht eine neue Generation bereit. 

  

Google Analytics 4 enthält neben zahlreichen technischen Änderungen einige geänderte Funktionen, z.B. in Bezug auf die Anzeige der Seiten- und Bildschirmaufrufe oder auf die Form der Bereitstellung von Reports über das Nutzungsverhalten. Relevant erscheint insbesondere eine Neuerung in Bezug auf die sog. User-ID. Schon in der Vorversion Universal Analytics konnte jedem Nutzer einer Website eine eindeutige und dauerhafte User-ID zugewiesen werden. Diese ermöglichte plattform- und geräteübergreifende Analysen des Nutzerverhaltens. In Google Analytics 4 wird diese nun nativ in alle Berichte, Analysen und Statistiken eingebunden, ohne dass es einer separaten Einstellung oder Anforderung eines Berichts bedarf. Dies wird im Ergebnis aller Voraussicht nach zu einer häufigeren Verknüpfung von bislang getrennt erfassten Nutzerinformationen zu einer gemein­samen User-ID führen.

  

Google selbst gibt an, mit Google Analytics 4 eine datensparsamere Nachfolgeversion bereitzustellen. Alle IP-Adressen und diesen zugeordneten Daten von Geräten innerhalb der EU sollen über EU-Server erhoben und dort vor einer Übermittlung an die Analytics-Server in den USA durch eine Kürzung der IP-Adresse pseudo­nymisiert werden. Weitere Änderungen betreffen eine Kürzung der Speicherfrist der Daten von bisher 26 Monate auf nun maximal 14 Monate sowie die Ermöglichung von datenschutzfreundlicheren Einstellungen (z.B. Anpassung der Genauigkeit der Standortdaten, Cookie-Einstellungen etc.). 

  

Es bleibt abzuwarten, inwieweit Behörden und Gerichte in der EU ebenfalls von einer verbesserten Daten­sparsamkeit ausgehen werden. Denn es zeichnen sich bereits aus datenschutzrechtlicher Sicht bemerkenswerte Aspekte ab: 

  

Rechtliche Bedenken an einen Datentransfer in die USA können auch nicht durch den seit dem 10. Juli 2023 veröffentlichen Angemessenheitsbeschluss der EU-Kommission vollständig ausgeräumt werden. Wie wir schon in dem Artikel „EU-Kommission erlässt Angemessenheitsbeschluss für Datenübermittlungen in die USA“ berichteten, führt der neue Angemessenheitsbeschuss nicht ad hoc zu mehr Rechtssicherheit. Der Ange­messen­heitsbeschluss stellt neben den Standardvertragsklauseln und der Einwilligung des Betroffenen ein weiteres Mittel dar, das mindere Datenschutzniveau in einem Drittstaat auszugleichen. Die Rechtsgrundlage hierfür ergibt sich aus Art. 45 DS-GVO, wonach personenbezogene Daten ohne weitere Genehmigung an diese Länder übermittelt werden dürfen, wenn die EU-Kommission durch Beschluss ein angemessenes Datenschutz­niveau feststellt. Das hat die EU-Kommission durch das „EU-US Data Privacy Framework“ getan. Es gilt jedoch als sicher, dass der EuGH auch diesen Angemessenheitsbeschluss prüfen wird; der Ausgang des Verfahrens ist ungewiss, sodass für Unternehmen, die Google Analytics 4 auf ihrer Website betreiben wollen, nur eine – bestenfalls – vorübergehende Rechtssicherheit besteht.

  

Mit dem Auslaufen des Supports für Universal Analytics zum 1. Juli 2023 sehen sich viele Unternehmen und Website-Betreiber zum Überdenken ihrer Webanalyse-Tools veranlasst. Der komplette Verzicht auf derartige Werkzeuge kann dabei keine praktikable Lösung sein. Die Umstellung auf Google Analytics 4 bietet eine Vielzahl an technischen Neuerungen, kommt aber weiterhin mit nahezu denselben datenschutzrechtlichen Risiken. Wer trotz dieser Risiken die Nachfolgeversion implementieren möchte, sollte darauf achten, eine möglichst datensparsame Konfiguration auszuwählen (z.B. durch die Deaktivierung der Datenweitergabe an andere Google Dienste oder ein begrenztes Tracking). Nur so kann ein Website-Betreiber dem Prinzip „Privacy by Default“, d.h. datenschutzfreundliche Voreinstellungen zu implementieren, gerecht werden. Wem das Risiko dennoch zu hoch ist, der kann alternative Tracking-Tools verwenden, deren Betreiber in der EU ansässig sind bzw. lokal hosten und ein gesteigertes Maß an Datensicherheit bieten. Unabhängig von der Entscheidung, welches Tracking-Tool genutzt werden soll, sollten jedoch Datenschutzerklärungen überprüft und bei Bedarf angepasst werden.