Google Analytics 4 DSGVO-konform nutzen

Stefan Evertz
Geschäftsführer
Datenschutzbeauftragter (TÜV)

Wie kann ich Google Analytics 4 DSGVO-konform verwenden?

Die Antwort ist etwas schwierig. Die österreichische sowie die französische Datenschutzbehörde hatte Google Analytics 2022 wegen des US-Datentransfers für nicht zulässig erklärt und man wartete nur, bis ein solcher Schritt auch aus Deutschland folgt. Dieser blieb jedoch bislang aus. Zudem gibt es seit dem 10.07.2023 und dem EU-US Data Privacy Framework ein neuen Angemessenheitsbeschluss.

Das bedeutet jedoch nicht, dass nun alle Sicherheitsmaßnahmen über Bord geworfen werden können. Sie müssen immer noch bestimmte Schritte befolgen, um Google Analytics 4 so rechtssicher wie möglich zu verwenden bzw. die rechtlichen Risiken so effektiv wie möglich zu minimieren, wie eine Einwilligung der Nutzer einholen, die IP-Anonymisierung aktivieren und Ihre Datenschutzerklärung anpassen.

In diesem Artikel erklären wir Ihnen wie Sie vorgehen sollten.

Das Wichtigste auf einen Blick zum Datenschutz bei Google Analytics

Google Analytics 4 verwendet ein nutzer- und eventbasiertes Datenmodell und erfordert den Abschluss eines Auftragsverarbeitungsvertrags (AV-Vertrag) mit Google, um Datenschutzkonform zu sein.

Webseitenbetreiber müssen die Einwilligung der Nutzer einholen, IP-Adressen anonymisieren und ihre Datenschutzerklärung anpassen, um den Datenschutzanforderungen gerecht zu werden.

Unsicherheiten bei der Datenübermittlung in die USA bleiben bestehen; Alternativen zu Google Analytics 4, wie Matomo oder etracker, bieten mögliche Lösungen zur besseren Einhaltung der DSGVO.

Was ist Google Analytics 4?

Google Analytics 4 (GA4) wurde im Oktober 2020 eingeführt und ist die Weiterentwicklung von Universal Analytics. Universal Analytics wurde inzwischen vollständig durch Google Analytics 4 ersetzt.

Die Verwendung von Google Analytics ermöglicht es, Daten aus Websites und Apps gemeinsam zu analysieren, wobei Google die Tracking-ID von Universal Analytics durch eine Mess-ID ersetzt. Dieses neue Modell ermöglicht eine umfassendere und flexiblere Analyse des Nutzerverhaltens.

Ein großer Unterschied zu Universal Analytics ist das nutzer- und eventbasierte Datenmodell. In Google Analytics 4 werden alle Interaktionen als Ereignisse (Events) erfasst, was eine detailliertere Analyse ermöglicht. Neue automatische Ereignisse wie Pageview, Scrolltracking und Outbound Clicks werden standardmäßig erfasst, was den Einsatz von Google Analytics noch leistungsfähiger macht.

Der Umstieg auf GA4 ist – wie bereits beschrieben – nicht nur eine Option, sondern eine Notwendigkeit, da Universal Analytics eingestellt wurde (https://support.google.com/analytics/answer/11583528?hl=de) und auch keine Daten mehr verarbeitet, was bedeutet, dass Unternehmen, die weiterhin Google Analytics nutzen möchten, auf GA4 umsteigen müssen.

Die Nutzung von GA4 bietet dabei nicht nur erweiterte Analysefähigkeiten, sondern auch die Möglichkeit, den Datenschutzanforderungen besser gerecht zu werden.

Datenschutzrechtliche Grundlagen beim Einsatz von Google Analytics

Die Datenschutz-Grundverordnung (DSGVO) und das Gesetz über den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation (TDDDG) sind die wichtigsten Datenschutzbestimmungen, die bei der Nutzung von Google Analytics 4 beachtet werden müssen. Diese Gesetze regeln, wie personenbezogene Daten erhoben, verarbeitet und übertragen werden dürfen. Besonders kritisch ist die Übermittlung personenbezogener Daten in die USA, da die DSGVO ein hohes Datenschutzniveau fordert. Daher ist es wichtig, bestimmte Punkte zu berücksichtigen.

Die DSGVO verbietet grundsätzlich die Übermittlung personenbezogener Daten außerhalb der EU, es sei denn, es wird ein angemessenes Datenschutzniveau festgestellt. Das EU-US Privacy Shield, das einst den Datentransfer zwischen der EU und den USA regelte, wurde im Jahr 2020 durch das EuGH-Urteil „Schrems II“ aufgehoben, weil es personenbezogene Daten nicht ausreichend schützte.

Nach einer Zeit der Ungewissheit, gibt es nun das EU-US Data Privacy Framework, als neuen Angemessenheitsbeschluss, welcher den Datentransfer erleichtert.

Google LLC ist nach diesem neuen „Datenschutzrahmen“ zertifiziert, was die Nutzung von GA4 erleichtert. Dennoch bleibt die Datenübermittlung in die USA ein heikles Thema, da es Bedenken hinsichtlich des Zugriffs durch US-Behörden gibt.

Auch wenn das EU-US Data Privacy Framework einen rechtlichen Rahmen bietet, bleibt die Überwachung und Umsetzung erforderlicher Maßnahmen aufgrund der Rechtslage wichtig. Webseitenbetreiber müssen sicherstellen, dass sie die Einwilligung der Nutzer einholen und Maßnahmen wie die IP-Anonymisierung ergreifen, um den Datenschutzanforderungen gerecht zu werden.

Schritte zur DSGVO-konformen Verwendung von Google Analytics

Um GA4 DSGVO-konform zu nutzen, müssen Webseitenbetreiber mehrere wichtige Schritte unternehmen:

1.      Einen AV-Vertrag (Auftragsverarbeitungs-Vertrag) mit Google abschließen.

2.      Die Einwilligung der Nutzer zum Einsatz von Google Analytics einholen.

3.      Die Aktivierung der Anonymisierung der IP-Adresse vornehmen.

4.      Die Datenschutzerklärung aktualisieren, um die Nutzung von GA4 transparent zu beschreiben.

Diese Schritte sind notwendig, um sicherzustellen, dass die Nutzung von Google Analytics 4 den Anforderungen der DSGVO so gut wie möglich entspricht. Im Folgenden werden wir jeden dieser Schritte detailliert erklären und Ihnen zeigen, wie Sie GA4 rechtssicher einsetzen können.

1. Vertrag zur Auftragsverarbeitung abschließen

Der Abschluss eines AV-Vertrags ist ein wesentlicher Schritt zur DSGVO-konformen Nutzung von GA4. Dieser Vertrag regelt die Bedingungen, unter denen Google Daten verarbeitet. Um diesen Vertrag abzuschließen, müssen Sie in ihrem Google Analytics Konto auf  “Verwaltung“, dann in der Spalte „Konto“ auf „Kontoeinstellungen“.

Klicken Sie unter „Zusatz zur Datenverarbeitung“ auf „Zusatz anzeigen“ und klicken Sie nach dem Durchlesen auf „Fertig“ und danach nochmal auf „Fertig“ um die Kontoeinstellungen zu speichern. Weitere Informationen finden Sie auch hier: https://support.google.com/analytics/answer/3379636

2. Einwilligung der Website Besucher einholen

Die Einwilligung der Nutzer zur Datennutzung und Datenerhebung ist ein weiterer wichtiger Schritt. Die Einwilligung muss unbedingt vor der Aktivierung von GA4 eingeholt werden. Diese Einwilligung muss freiwillig erfolgen und spezifische Zwecke eindeutig benennen.

Einwilligung bedeutet, dass Nutzer klar und verständlich darüber informiert werden müssen, dass ihre personenbezogenen Daten zum Nutzungsverhalten an Google übermittelt werden. Hierfür können Sie ein Consent-Tool verwenden, welches die Datenflüsse vor der Zustimmung des Nutzers unterbindet.

Diese Einwilligung muss frei und ohne Nachteile bei Nicht-Einwilligung erteilt werden können. Ein Consent-Tool hilft dabei, die Einwilligung rechtskonform einzuholen und zu dokumentieren. So stellen Sie sicher, dass Ihre Nutzung von GA4 den Anforderungen der DSGVO in diesem Punkt entspricht.

3. Anonymisierung von IP-Adressen

Zur Einhaltung der Bestimmungen des Datenschutz, ist es wichtig, dass die IP-Adresse der Nutzer anonymisiert wird. In der aktuellen Version von Google Analytics ist diese Funktion standardmäßig aktiviert. Das bedeutet, dass IP-Adresse automatisch anonymisiert werden, indem sie gekürzt wird.

Bei IPv4-Adressen werden die letzten Ziffern auf null gesetzt. Bei IPv6-Adressen werden die letzten 80 Bits auf null gesetzt. Diese Anonymisierung erfolgt in der Regel auf EU-Servern, bevor die Daten in die USA übertragen werden. Dadurch wird sichergestellt, dass durch den Dienst keine vollständigen IP-Adressen gespeichert werden.

4. Datenschutzerklärung der Website anpassen

Die Anpassung der Datenschutzerklärung ist unerlässlich, um die Nutzung von GA4 transparent zu machen. Die Datenschutzerklärung muss klar und verständlich die Verarbeitung personenbezogener Daten durch Google Analytics 4 erläutern. Dazu gehören Informationen über den Abschluss eines AV-Vertrags und die IP-Anonymisierung.

Es ist wichtig, dass die Datenschutzerklärung die Nutzung von GA4 gemäß den Anforderungen der Datenschutzgrundverordnung angibt. Wenn ein Consent-Tool (Cookie-Banner) mit einer entsprechenden Datenverbindung verwendet wird, muss auch dies in der Datenschutzerklärung erwähnt werden. Ebenso wie die Verwendung des Google Tag Managers. Eine transparente Datenschutzerklärung trägt nicht nur dazu bei, die gesetzlichen Anforderungen zu erfüllen, sondern auch das Vertrauen der Nutzer zu stärken.

Aufbewahrung und Löschung der Analytics Daten

Die Datenaufbewahrung in GA4 ist ein weiterer wichtiger Aspekt der DSGVO-Konformität. Google Analytics 4 bietet Steuerelemente zur Datenaufbewahrung, die es den Nutzern ermöglichen, die Speicherdauer selbst festzulegen. In GA4 kann die Aufbewahrungsdauer für Daten auf 2 Monate oder 14 Monate eingestellt werden.

Die Löschung von Nutzerdaten erfolgt, sobald sie für die angegebenen Verarbeitungszwecke nicht mehr benötigt werden. Änderungen an der Speicherdauer können unter „Dateneinstellungen“ vorgenommen werden. Die Änderungen werden innerhalb von 24 Stunden übernommen. Diese Maßnahme stellt sicher, dass nur die notwendigen Daten aufbewahrt werden und die Datenschutzanforderungen erfüllt werden.

Aufbewahrungsdauer festlegen

Die Aufbewahrungsdauer kann im Admin-Bereich unter „Data Settings“ eingestellt werden. Unter dem Abschnitt „Data Retention“ können verschiedene Zeiträume ausgewählt werden. Standardmäßig beträgt die Speicherdauer 14 Monate, kann aber auf 2 Monate reduziert werden. Wir empfehlen die geringste Speicherdauer auszuwählen.

In der Datenschutzerklärung sollte die Speicherdauer der Daten klar angegeben werden. Diese Transparenz hilft, das Vertrauen der Nutzer zu gewinnen und den gesetzlichen Anforderungen gerecht zu werden. Die automatische Löschung der Daten nach Ablauf der Aufbewahrungsfrist stellt sicher, dass keine unnötigen Daten gespeichert werden.

Rechtliche Unsicherheiten und Lösungen

Wie bereits angerissen, stellte das „Schrems II“ Urteil des Europäischen Gerichtshofs (EuGH) den rechtssicheren Datentransfer in die USA infrage, indem es den „Privacy Shield“ für ungültig erklärte. Diese Entscheidung führte zu erheblichen Unsicherheiten für Unternehmen, die Google Analytics nutzen. Um diese Unsicherheiten zu adressieren, unterzeichnete US-Präsident Joe Biden im Oktober 2022 ein Dekret für ein neues rechtssicheres Regelwerk für den Umgang mit Daten von EU-Bürgern.

Das neue EU-US Data Privacy Framework bietet einen rechtlichen Rahmen für den Datentransfer in die USA. Google LLC ist nach diesem Rahmen zertifiziert, was die Nutzung von GA4 erleichtert. Dennoch bleibt die Datenübermittlung in die USA ein heikles Thema, da es weiterhin Bedenken hinsichtlich des Zugriffs durch US-Behörden gibt.

Zurzeit besteht somit leider keine vollständige Rechtssicherheit. Unternehmen, die jede Ungewissheit vermeiden möchten, sollten einen EU-Anbieter statt Google einsetzen.

Alternativen zu Google Analytics 4

Angesichts der Datenschutzprobleme und rechtlichen Unsicherheiten suchen viele Unternehmen nach Alternativen zu Google Analytics 4. Es gibt zahlreiche Analysetools, die den Datenschutzanforderungen besser gerecht werden und eine DSGVO-konforme Nutzung ermöglichen. Ein solches Analysetool stammt aus der EU/EWR oder aus Staaten mit anerkanntem Datenschutzniveau wie der Schweiz oder Kanada.

Matomo ist eine beliebte Alternative, die Flexibilität durch Open Source und die Wahl zwischen Cloud und selbst gehostetem System bietet. Plausible Analytics ist eine weitere Option, die keine persönlichen Daten sammelt und auf dem eigenen Server gehostet werden kann. Simple Analytics bietet Tracking ohne Cookies und hat Server in Europa.

Server-Side Tracking ist eine datenschutzkonforme Alternative, die das Tracking über einen sicheren Server ermöglicht. AT Internet (Piano Analytics) und etracker sind weitere DSGVO-konforme Alternativen, die kleinere Webseiten und spezifische Anforderungen gut abdecken können. Diese Alternativen bieten verschiedene Vorteile und helfen Unternehmen, den Datenschutzanforderungen gerecht zu werden.

Fazit zum Datenschutz bei Google Analytics 4

Die Nutzung von Google Analytics 4 bietet zahlreiche Vorteile, erfordert jedoch eine sorgfältige Beachtung der Datenschutzanforderungen. Um GA4 so DSGVO-konform wie möglich einzusetzen, müssen Unternehmen einen AV-Vertrag abschließen, die Einwilligung der Nutzer einholen, die IP-Adressen anonymisieren und die Datenschutzerklärung anpassen.

Darüber hinaus sollten Unternehmen die Aufbewahrungsdauer der Nutzerdaten auf die geringstmögliche Zeit festlegen und Altdaten regelmäßig löschen, um die Datenmenge zu minimieren.

Für Unternehmen, die jede Unsicherheit vermeiden möchten, bieten sich Alternativen zu Google Analytics 4 wie Matomo an. Diese Tools helfen, den Datenschutzanforderungen besser gerecht zu werden. Mit diesen Maßnahmen und Alternativen können Unternehmen sicherstellen, dass sie die Anforderungen der Datenschutzbehörden erfüllen und weiterhin wertvolle Einblicke in das Nutzerverhalten gewinnen.

Häufig gestellte Fragen

Was ist Google Analytics 4 und wie unterscheidet es sich von Universal Analytics?

Google Analytics 4 (GA4) ist die Weiterentwicklung von Universal Analytics und ermöglicht die gemeinsame Analyse von Daten aus Websites und Apps. GA4 verwendet ein flexibles, eventbasiertes Datenmodell und ersetzt die Tracking-ID durch die Mess-ID. Es ermöglicht die Analyse von Daten aus verschiedenen Quellen.

Welche Datenschutzbestimmungen müssen bei der Nutzung von GA4 beachtet werden?

Bei der Nutzung von GA4 müssen die Datenschutzbestimmungen der DSGVO und des TDDDG beachtet werden, um die Erhebung, Verarbeitung und Übertragung personenbezogener Daten gemäß den Vorschriften zu gewährleisten. Denken Sie daran, Maßnahmen wie die Einholung der Einwilligung und die Aktivierung der IP-Anonymisierung zu ergreifen.

Wie kann ich Google Analytics 4 möglichst DSGVO-konform nutzen?

Um Google Analytics 4 DSGVO-konform zu nutzen, müssen Sie einen AV-Vertrag mit Google abschließen, die Einwilligung der Nutzer einholen, die IP-Anonymisierung aktivieren und die Datenschutzerklärung anpassen.

Welche Alternativen gibt es zu Google Analytics 4?

Der Einsatz von Google Analytics 4 ist nicht für jeden die beste Option. Es gibt andere Tracking-Tools, die den Datenschutzanforderungen besser gerecht werden. Als Alternativen zu Google Analytics sind hier Matomo, Plausible Analytics, Simple Analytics, AT Internet (Piano Analytics) und etracker zu nennen.

Ausformulierung in der Datenschutzerklärung

Bei der Nutzung von Google Analytics, ist es besonders wichtig die konkrete Nutzung rechtlich sauber in der Datenschutzerklärung abzubilden.

Gemeinsam mit unserer Partner-Kanzlei kümmern wir uns darum, dass Ihre Website rechtssicher wird. Hierbei erstellen wir auch die individuell passende Datenschutzerklärung für Ihre Website. Wenn Sie das rechtliche Thema professionell angehen wollen, freuen wir uns auf Ihre Nachricht.