Das Analysetool Universal Analytics läuft zum 31.05.2023 aus und wird durch das Analysetool Google Analytics 4 ersetzt. Hierdurch sollen auch die datenschutzrechtlichen Schwächen, die unter Universal Analytics bestanden, beseitigt und für den Verwender mehr Rechtssicherheit geschaffen werden. Doch markiert Google Analytics 4 wirklich das Ende der datenschutzrechtlichen Unsicherheiten?
Wesentlicher Kritikpunkt seitens der Datenschutzbehörden an Universal Analytics war die Übermittlung der (anonymisierten) IP-Adressen in die USA und die damit einhergehende Übermittlung personenbezogener Daten in ein unsicheres Drittland.
Was ändert sich mit Google Analytics 4?
Google Analytics 4 verfolgt – anders als Universal Analytics – keinen sitzungsbezogenen Ansatz, sondern einen auf Ergebnissen basierenden Ansatz. Hierdurch soll ein zielgerichteteres Tracking möglich sein. Bei dem auf Ergebnissen basierenden Ansatz werden die erfassten Daten mit dem Seitenbesucher verbunden. Dadurch soll ein sitzungsübergreifendes und genaueres Tracking erfolgen. Hierbei können z.B. der erste Besuch auf der Website, das Scrollen bis zum Ende der Website, das Aufrufen eines Videos sowie verschiedene Standort- und Gerätedaten (z.B. Land, Stadt, Marke und Modell des Geräts) gesammelt und miteinander verbunden werden.
Ferner sieht Google Analytics 4 vor, dass diejenigen Datenlöcher, die dadurch entstanden sind, dass der Seitenbesucher in die Nutzung von optionalen Cookies nicht eingewilligt hat, nunmehr durch eine KI ausgeglichen werden. Insgesamt sammelt Google Analytics 4 somit also sogar mehr Daten und verbindet diese zu umfangreicheren Profilen.
Die Standortdaten gewinnt Google nach wie vor aus den IP-Adressen. Diese werden nach Angaben von Google im Anwendungsbereich der DS-GVO an europäische Google Server übermittelt, auf denen die Standortdaten ausgelesen werden, bevor sodann die IP-Adresse anonymisiert wird. Bei der Anonymisierung handelt es sich um eine feste Standardeinstellung. Wesentlicher Unterschied zu Universal Analytics ist in dieser Hinsicht also, dass die Anonymisierung standardmäßig und bereits innerhalb der EU stattfindet und nicht mehr erst nach dem Drittlandtransfer in die USA.
Beseitigt Google Analytics 4 datenschutzrechtliche Bedenken?
Auch bei Google Analytics 4 findet eine Übermittlung der IP-Adressen an Google sowie eine Auswertung selbige durch Google statt. Dabei handelt es sich um datenschutzrechtlich relevante Verarbeitungsvorgänge. Die Anonymisierung erfolgt nicht durch den Verwender von Google Analytics 4, sondern erst durch Google selbst. Eine vertragliche Verpflichtung zur tatsächlichen Anonymisierung gibt es nicht. Insbesondere ist nicht vertraglich ausgeschlossen, dass die IP-Adressen vor ihrer Anonymisierung an die in den USA ansässige Google LLC oder US-Behörden übermittelt werden.
Google wälzt zudem durch seine Nutzungsbedingungen die datenschutzrechtliche Verantwortung und damit das Risiko weitestgehend auf den Verwender ab. So ist der Verwender unter anderem alleine dafür verantwortlich, dass Google jegliche Daten von Unternehmenspartnern, Endnutzern und Kunden nutzen darf. Auch lässt sich Google umfangreich von Ansprüchen freistellen bzw. schließt seinerseits die Haftung weitestgehend aus.
Google Analytics 4 ist somit lediglich auf den ersten Blick in Hinblick auf IP-Adressen datenschutzfreundlicher. Dies wird jedoch durch vage vertragliche Aussagen seitens Google, sowie der umfassenden Erfassung zusätzlicher Daten relativiert, bei denen sich die Frage stellt, ob insgesamt noch von anonymisierten Daten auszugehen ist. Im Ergebnis dürften daher die bereits bei Universal Analytics identifizierten datenschutzrechtlichen Probleme fortbestehen.
Was sollte beachtet werden?
Insgesamt beseitigt Google Analytics 4 die datenschutzrechtlichen Bedenken gegenüber Universal Analytics damit nicht. Insoweit raten wir bei der Verwendung von Google Analytics 4 weiterhin zur Vorsicht. Soweit möglich sollten datenschutzfreundlichere Alternativen in Erwägung gezogen werden.
Soll Google Analytics 4 dennoch eingesetzt werden, kann dies allenfalls auf Grundlage einer Risikoentscheidung durch den Verwender erfolgen. Sofern Google Analytics 4 trotz der identifizierten Risiken verwendet werden soll, ist eine entsprechende Einwilligung in die Verarbeitung der Daten mittels eines Consent Tools einzuholen. In diesem Zusammenhang sollte der Seitenbesucher insbesondere darauf hingewiesen werden, dass eine Übermittlung der Daten in die USA möglich ist. Ferner sollten optionale Funktionen (Signals; Standort- und Gerätedaten) gegebenenfalls deaktiviert werden, um die gesammelten und übermittelnden Daten zu minimieren und damit das datenschutzrechtliche Risiko zu senken.
Wir danken unserem Referendar Patrick Vinson für die Mitarbeit bei der Erstellung des Beitrags.