Dieser Beitrag erläutert die aus Sicht des Datenschutzes empfohlenen Einstellungen beim Einsatz von Google Analytics 4 im Sinne einer Risikominimierung.

Die kurze Antwort vorweg: Ja, man kann Google Analytics datenschutzkonform einsetzen. Es ist jedoch unbedingt zu beachten, dass viele EU-/EWR-Datenschutzbehörden die Betreiber von europäischen Websites dazu zwingen wollen, Google Analytics nicht mehr zu verwenden, egal wie es implementiert wird, und auf europäische Lösungen umzusteigen.

Aus diesem Grund sind die nachfolgenden Hinweise im Sinne einer Risikominimierung zu beachten.

Es ist zunächst wichtig, sich vor einer Entscheidung einen Überblick über die aktuellen rechtlichen Entwicklungen in Bezug auf Google Analytics zu verschaffen:

• Meinung der Datenschutzbehörden
  Die österreichische und die französische Datenschutzbehörde hatte im vergangenen Jahr Google Analytics wegen des US-Datentransfers für unzulässig erklärt. Ähnliche Stellungnahmen zum Thema kamen auch von anderen Behörden.
• Neuer Angemessenheitsbeschluss
  Die Europäische Kommission erließ mit Datum vom 10. Juli 2023 einen neuen Angemessenheitsbeschluss in Bezug auf die Vereinigten Staaten (EU-US Data Privacy Framework). Die Kommission erklärt mit diesem Beschluss, dass die Änderungen der USA an ihren nationalen Gesetzen nun ein angemessenes Schutzniveau für personenbezogene Daten gewährleisten, die aus der EU an Organisationen in den USA übermittelt werden. Voraussetzung ist allerdings, dass sich die US-Unternehmen verpflichten, den neuen „Datenschutzrahmen“ einzuhalten.
• Google ist nach dem Data Privacy Framework zertifiziert
  Google LLC ist bereits für das EU-US Privacy Framework zertifiziert, von daher gilt die Erleichterung auch beim Einsatz von Google Analytics 4. Es sei jedoch bereits jetzt darauf hingewiesen, dass der neue Angemessenheitsbeschluss keinen „Freifahrtschein“ bezüglich der Nutzung von Google Analytics 4 darstellt. Das mangelnde Datenschutzniveau war nur einer der Kritikpunkte der Datenschutzaufsichtsbehörden.
• Kritik am Data Privacy Framework
  Der Europäische Datenschutzausschuss (EDSA) hatte am 28. Februar 2023 seine im Verfahren notwendige Stellungnahme zum Entwurf des Angemessenheitsbeschlusses zum EU-U.S. Data Privacy Framework abgegeben und die Änderungen begrüßt, gleichzeitig aber auch Kritik angebracht. Entsprechend ist damit zu rechnen, dass das neue Privacy Framework wie schon das (alte) Privacy Shield rechtlich angegriffen werden wird. Bis dahin sorgt der Angemessenheitsbeschluss aber für Rechtssicherheit beim Datenaustausch mit den USA, der damit deutlich einfacherer wird.

Was ist Google Analytics 4?

Google Analytics 4 (GA4) heißt die aktuelle Version von Googles Trackingtool. Es handelt sich um eine Weiterentwicklung von Google Analytics „App+Web“. GA4 löst Universal Analytics ab, welches auf Googles Website als „vorherige Generation von Google Analytics“ geführt wird. Google Analytics ändert damit seine Trackingtechnologie weg von sitzungsbasierten hin zu Nutzer- und Event-basierten Auswertungen. Eine Google Analytics 4-Property kann zudem für eine Website, eine App oder beides gleichzeitig verwendet werden.

Wer noch nicht gewechselt hat, sollte dies in daher in naher Zukunft tun und die Daten aus Universal Analytics zu GA4 migrieren. Hier gibt es eine Anleitung zur Migration der Daten.

Was ist zu tun?

Im Sinne einer Risikominimierung beim Einsatz von Google Analytics 4 ergeben sich folgende Handlungsempfehlungen, auf die wir in dieser Anleitung inkl. Muster eingehen:

1. Vertrag zur Auftragsverarbeitung abschließen

Es sollte ein Vertrag zur Auftragsverarbeitung mit Google abgeschlossen sein. Aktuell unterfällt Google Analytics unter die „Datenverarbeitungsbedingungen für Google Ads“. Wenn Sie bereits einen Google Analytics-Konto besitzen, scrollen Sie unter „Verwaltung > Kontoeinstellungen“ runter bis zur Rubrik „Datenverarbeitungsbedingungen“. Dort finden Sie einen Link zu Änderungsvereinbarungen, soweit Sie dem Zusatz zur Datenverarbeitung bereits früher zugestimmt haben.

Google Analytics-Kunden, die einen direkten Kundenvertrag mit Google abgeschlossen haben, können den Datenverarbeitungsbedingungen für Google Ads im Bereich „Verwaltung“ ihrer Kontoeinstellungen auch direkt zustimmen. Für Google Analytics Standard- und GA 360-Kunden mit Unternehmen, die ihren Sitz im EWR, im Vereinigten Königreich oder in der Schweiz haben, und GA 360-Kunden, die die Google Analytics 360-Nutzungsbedingungen akzeptiert haben, ist das nicht erforderlich, weil die Datenverarbeitungsbedingungen für Google Ads bereits Teil ihrer Vereinbarungen sind.

Unter dem Link „Details zum Zusatz zur Datenverarbeitung verwalten“ müssen Sie Ihre Firmen- bzw. Kontaktangaben ausfüllen und alles mit einem Klick auf die Schaltfläche „Speichern“ bestätigen. Ihre Angaben können dort auch im Nachhinein angepasst werden.

Quelle: https://support.google.com/analytics/answer/3379636

2. Aufbewahrungsdauer der Daten festlegen

Google Analytics 4 bietet Steuerelemente zur Datenaufbewahrung. Für GA4-Properties können Sie die Aufbewahrungsdauer für Daten auf Nutzerebene festlegen. Die Voreinstellung sieht vor, dass die Nutzer- und Ereignisdaten standardmäßig 2 Monate gespeichert werden. Die maximale Aufbewahrungsdauer beträgt 14 Monate. Diese Aufbewahrungsdauer gilt auch für Conversion-Daten. Für alle anderen Ereignisdaten stehen folgende Zeiträume für die Aufbewahrungsdauer zur Auswahl:

• 2 Monate
• 14 Monate
• 26 Monate (nur 360)
• 38 Monate (nur 360)
• 50 Monate (nur 360)

Es sollte vorzugsweise eine möglichst kurze Speicherdauer gewählt werden.

Des Weiteren kann ausgewählt werden, ob die User-Daten bei neuer Aktivität zurückgesetzt werden sollen: Wenn Sie diese Option aktiv lassen, wird die Aufbewahrungsdauer der User-ID bei jedem neuen Ereignis zurückgesetzt. Mit Blick auf Art. 25 DSGVO (Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen) sollten Sie den Button deaktivieren.

Die Änderungen der Aufbewahrungsdauer nehmen Sie wie folgt vor:

1. Wählen Sie „Verwaltung“ aus und klicken Sie auf die Property, die Sie bearbeiten möchten
2. Klicken Sie in der Spalte „Property“ auf „Dateneinstellungen > Datenaufbewahrung“

Sollten Sie eine andere Einstellung wählen, müssen Sie die hier zur Verfügung gestellte Datenschutzerklärung entsprechend anpassen.

3. Empfohlene Standardeinstellungen anpassen

Im Rahmen der Datenfreigabeeinstellungen sollten entsprechend dem Grundsatz der Datenminimierung so wenig Freigaben wie möglich erteilt werden. Je weniger Freigaben erteilt werden, desto weniger besteht Anlass, Google und den Websitebetreiber als gemeinsam Verantwortliche i.S.d. Art. 26 DSGVO anzusehen.

So ändern Sie die Standardeinstellungen:

1. Melden Sie sich in Google Analytics an.
2. Klicken Sie im Menü links auf „Verwaltung“ und wechseln Sie zu dem Konto, das Sie bearbeiten möchten.
3. Klicken Sie in der Spalte „Konto“ auf „Kontoeinstellungen“.
4. Entfernen Sie den Haken in der Checkbox „Google-Produkte & -Dienste“ und klicken Sie auf „Speichern“.
5. Auch der Zugriff für die „Account Specialists“ sollte deaktiviert werden. Wer auf der sicheren Seite sein will, entfernt auch die Haken bei „Benchmarking“ und „Technischer Support“.

Hier finden Sie eine genaue Beschreibung der einzelnen Datenfreigabeeinstellungen.

Bitte beachten: Nach Einschätzung der Aufsichtsbehörden liegt zwischen Ihnen und Google eine Gemeinsame Verantwortlichkeit gem. Art. 26 DSGVO vor, wenn Sie die Datenfreigabeeinstellungen für „Google-Produkte und -Dienste aktivieren“. Google hingegen nimmt hier eine getrennte Verantwortlichkeit zwischen sich und dem Nutzer an, wie den „Datenverarbeitungsbedingungen zwischen Verantwortlichen für Messdienste von Google“ zu entnehmen ist. Ein Vertrag zur Gemeinsamen Verantwortlichkeit bietet Google nicht an.

4. Einwilligung einholen

Wenn Sie Google Analytics 4 verwenden wollen, sollten Sie sich an die von den Aufsichtsbehörden beschriebenen Anforderungen an eine rechtswirksame Einwilligung halten. Eine Übersicht finden Sie in dieser Orientierungshilfe der Aufsichtsbehörden ab Seite 9.

Eine Einwilligung in die Nutzung von Google Analytics muss demnach folgende Angaben enthalten:

• Eine eindeutige Überschrift, z. B. „Datenverarbeitung Ihrer Nutzerdaten durch Google“
• Information, dass personenbezogene Daten zum Nutzungsverhalten an Google übermittelt werden
• Information, um was für Daten es sich dabei genau handelt
• Information, dass die Verarbeitung im Wesentlichen durch Google erfolgt, und – bei Nutzung mit den von Google empfohlenen Standardeinstellungen – zu eigenen Zwecken wie Profilbildung (und ohne Einflussmöglichkeiten des Websitebetreibers)
• Information, ob die Daten mit Informationen aus anderen Quellen verknüpft werden können
• Information, ob die Daten in den USA gespeichert werden und ob staatliche Behörden Zugriff auf diese Daten haben können

Die Einwilligung muss zudem folgende Anforderungen erfüllen:

• keine allumfassende Einwilligung in die Nutzung von Cookies
• aktive Handlung, keine vorangekreuzten Checkboxen
• freiwillig, mit der Möglichkeit die Einwilligung zu verweigern
• dem Nutzer dürfen keine Nachteile bei Nicht-Einwilligung entstehen
• einfache, nutzerfreundliche technische Lösung für den Widerruf (bspw. per Consent-Tool)
• Tracking darf erst aktiviert werden, nachdem der Nutzer eingewilligt hat und nicht vorher

5. IP-Anonymisierung und ggf. Löschung von Altdaten

Die Anonymisierung von IP-Adressen ist in Google Analytics 4 standardmäßig aktiviert. Bei IPv4-Adressen wird das letzte Oktett und bei IPv6-Adressen die letzten 80 Bits im Speicher auf null gesetzt und somit „anonymisiert“. Dadurch ist zwar weiterhin eine grobe Lokalisierung möglich, dies ist jedoch von den deutschen Datenschutzbehörden akzeptiert.

Wurden durch Google Analytics Nutzerprofile ohne IP-Anonymisierung erstellt, sind diese Daten rechtswidrig erhoben worden und somit zu löschen. Google bietet in den Analytics-Einstellungen die Möglichkeit, sog. „Properties“ und „Datenansichten“ in den Papierkorb zu verschieben, wodurch sie nach 35 Tagen gelöscht werden.

6. Datenschutzerklärung anpassen

Die Nutzung von Google Analytics ist in der Datenschutzerklärung zwingend anzugeben. Unter Beachtung der Anforderungen der DSK muss der Datenschutzhinweis zu Google Analytics gemäß Art. 12 und 13 DSGVO folgende Informationen enthalten:

• Umfang der Datenerhebung
• Rechtsgrundlage
• Speicherdauer bzw. Kriterien für Festlegung der Dauer
• Hinweis auf das Widerrufsrecht und dessen Umsetzung

Finale Datenschutzerklärung inkl. DSGVO-Hinweise

Sie dürfen dieses Muster gerne für Ihre Datenschutzerklärung verwenden.

Hinweis: Bitte übernehmen Sie den Text inkl. aller Verlinkungen und passen Sie ihn entsprechend Ihrer Nutzung der Software an.

Google Analytics und Datenschutz: Legal, illegal, nicht egal

Gerade die Sache, den die österreichische Datenschutzbehörde zu betrachten hatte, zeigt, dass die rechtliche Analyse sehr stark von den spezifischen Fakten des Einzelfalles abhängen, sowie davon, inwiefern die Google Analytics nutzende Partei den Einsatz begründen kann. Ebenso ist weiterhin abzuwarten, wie Gerichte den aktuellen rechtlichen Fragen zu Google Analytics umgehen und ob sie der rigorosen Linie einiger Aufsichtsbehörden folgen werden.

Durch den neuen Angemessenheitsbeschluss ist jedenfalls ein Risiko bei der Nutzung von Google-Produkten vorerst weggefallen. Die juristische Debatte hinsichtlich Webanalyse und Tracking setzt sich aber weiter fort. Deshalb ist man auch bei vollständiger Umsetzung dieser Empfehlungen nicht zwangsläufig auf der sicheren Seite. Urteile oder Gesetzesänderungen können in Zukunft weitere Anpassungen erforderlich machen. Zu den aktuellen Entwicklungen halten wir Sie auf dem Laufenden.

Stand: August 2023