Google Analytics 4 – Wie verträgt es sich mit der DSGVO?

  • von

Hält sich der Google Analytics Nachfolger an die EU-Datenschutzrichtlinie?

Google Analytics 4 Visitenkarte am Klemmboard eines Analysten, der Statistiken ansieht

Im Juli 2023 ist es soweit: Google Analytics 4 (GA4) löst endgültig den Vorgänger Universal Analytics (UA oder auch GA3) ab. In der Vergangenheit wurde bereits von Datenschutzbehörden entschieden, dass das “herkömmliche” Google Analytics gegen die DSGVO verstößt. Wir haben darüber und über mögliche Alternativen zu Google Analytics berichtet – siehe Blog zum DSB Entscheid.

Für das neue Google Analytics 4 kündigt Google nun wesentliche Verbesserungen im Bereich Datenschutz an. Aber es stellt sich die Frage: Kann Google Analytics 4 die Anforderungen der DSGVO tatsächlich zur Gänze erfüllen?

GA4 – Die Tendenz ist gut, das Datenschutz-Ziel ist noch nicht erreicht!

Positiv anzumerken ist: Google scheint einen Schritt in die richtige Richtung zu gehen und hat mit Google Analytics 4 auch einige datenschutzrechtlich-relevante Änderungen umgesetzt. Auf der Google Support Seite werden die Anpassungen für GA 4 unter “EU-focused data and privacy” angeführt.

  • IP Adresse: Die erhobenen IP-Adressen werden nur noch für die Geo-Lokalisierung genutzt und im Anschluss anonymisiert.
  • Google Signal: Bei Deaktivierung von Google Signals wird die  Zuordnung zu einem Google-Konto unterbunden.
  • Datenverarbeitung: Für alle Daten von Endgeräten in der EU erfolgt die  Speicherung und Verarbeitung auf Servern – laut Google – innerhalb der EU.
  • Geo- und Gerätedaten: Einstellungen zur Genauigkeit der erhobenen Geo- und Gerätedaten können konfiguriert werden.
Google Analytics 4 - Frau zeichnet Pfeile auf Whiteboard zu Analysezwecken

Die Realität ist: Google hat mit GA4 datenschutzrechtliche Verbesserungen eingeführt, kann aber die Anforderungen der DSGVO nicht zur Gänze erfüllen.

Datentransfer zwischen US und EU
US Behörden haben Zugriff auf alle Daten von US-Unternehmen, auch wenn diese auf europäischen Servern liegen. Somit sind Daten von europäischen Nutzer:innen, die mit GA4 erhoben werden und auf EU Servern liegen, nicht vor einem Zugriff von amerikanischen Behörden sicher.

Zeitlich-versetzte Anonymisierung der IP Adresse
Es findet zwar eine automatische Anonymisierung der IP Adresse statt, jedoch erst nach Durchführung einer GEO-Lokalisierung. Die Anonymisierung greift demnach einen Schritt zu spät.

Keine Verschlüsselung von Gerätedaten
Die Gerätedaten sowie die Onlinekennung werden mit GA 4 weiterhin unverschlüsselt übertragen. Das bedeutet, Google sammelt immer noch Nutzerdaten, die nicht DSGVO-konform anonymisiert werden.

GA 4 – Es ist keine Post-Cookie Ära in Sicht

Die Post Cookie Ära wurde ausgerufen und dennoch stützt sich GA4 auch weiterhin auf die Verwendung von Cookies, zumindest wenn diese für das Tracking verfügbar sind. Somit wird auch weiterhin die ausdrückliche Zustimmung der Websitenutzer:innen benötigt. Dafür muss auch in Zukunft ein Cookie Banner auf der Website angezeigt werden, um GA4 Tags auszulösen und Nutzerdaten zu erfassen. Wird die Einwilligung nicht erteilt, werden die Daten ohne Identifikatoren erfasst. GA4 wertet z.B. dennoch standardmäßig Daten wie die Bildschirmauflösung des Endgeräts aus. Ist die Auswertung der Bildschirm-Auflösung nicht erwünscht, muss sie gezielt deaktiviert werden.

Google Analytics 4 - Frau mit zwei Cookies vor den Augen um Ausblicke auf Post Cookie Ära zu erlangen

GA 4 & der Einsatz von KI

Google Analytics 4 arbeitet mit Künstlicher Intelligenz (KI oder auf engl. AI). Mittels maschinellem Lernen werten Algorithmen z.B. das Nutzungsverhalten anhand von Ereignisdaten aus. Das bedeutet: GA 4 arbeitet also auch mit modellierten Daten.

Auch für das Cross-Device Tracking wird die KI eingesetzt, um nutzer-typisches Verhalten zu erkennen und zusammenzuführen. Nutzungsverhalten auf der Website (z.B. Scroll, Page Views, Klicks auf Links, Downloads…) wird auf anderen Geräten wiedererkannt und die Interaktion mit Marketingkampagnen lässt sich mit Hilfe der KI geräteübergreifend auswerten. Damit kann zukünftiges Verhalten von Zielgruppen oder Prognosen zu Einzelnutzer:innen vorhergesagt werden.

GA 4 hat auch datenschutzfreundliche Konkurrenz aus Europa!

Nur weil das herkömmliche Google Analytics (UA) mit 1. Juli 2023 von Google Analytics 4 abgelöst wird, befindet man sich als Websitebetreiber:in nicht gleich in einer Tracking-Sackgasse. In der EU stehen durchaus datenschutzfreundliche Alternativen zum US Tool Google Analytics 4 zur Verfügung. Die gängigen Beispiele hierfür sind eTracker, Piwik PRO und Matomo.

Wer aber dennoch Google Analytics 4 verwenden möchte oder muss, dem sei geraten:

  1. vorab eine umfangreiche Risikoabwägung durchzuführen. Denn mit einem Einsatz von GA 4 wird bis zu einem gewissen Grad gegen die DSGVO verstoßen.
  2. auf eine möglichst datenschutzkonforme Einbindung zu achten. Immerhin bietet GA 4 nun etwas mehr Möglichkeiten als sein Vorgänger UA.

Unterstützung beim Umstieg durch Experten-Webinar

Unser Partner Armin Larndorfer von Klickimpuls bietet ein 45minütiges Webinar zum Thema “Umstieg auf Google Analytics 4 oder alternative Tracking Lösungen?” an.

Darin erfährt man wie der Umstieg von UA auf GA4 noch vor dem 1. Juli 2023 erfolgreich gelingt. Und selbstverständlich wird auch auf Alternativen zu Google Analytics hingewiesen.

Wer sich zu dem Thema informieren möchte, kann ihn gerne per E-Mail kontaktieren: armin@klickimpuls.at und gleich einen Termin vereinbaren.

Google Analtytics 4- Profilbild von Armin Larndrorfer mit KlickImpuls Logo im Hintergrund

Unser Fazit zu Google Analytics 4

Google Analytics 4 erfüllt als US Tool nicht alle Anforderungen der DSGVO und es befinden sich mittlerweile auch datenschutzfreundliche Alternativen am Markt.

Generell kann festgehalten werden: wer User Tracking im Einklang mit dem Datenschutz in Europa betreiben möchte, sollte neben dem Einsatz eines DSGVO-konformen Tracking Tools zusätzlich auch auf das richtige Consent Management System setzen.

WebCare ist hierfür die ideale Softwarelösung. Unser WebCare Tag Manager ermöglicht den Start des Tracking Tools und das Schreiben von Cookies nur nach erteilter Einwilligung. Die Legal Technology von DataReporter setzt auch Consent Management datenschutzkonform um.

Vertraue auch in Zukunft auf WebCare!

WebCare ist eine Komplettlösung, mit der du vollautomatisch die datenschutzrechtliche Einwilligung deiner Websitenutzer:innen verwaltest, deine Datenschutzerklärung stets up-to-date und das Impressum vollständig hältst. WebCare bietet dir ein einzigartiges “Rundum-sorglos-Paket” → erfahre mehr, leg gleich los und vereinbare deine persönliche Online-Demo

Bildquelle:

Zurück