Kann man Google Analytics datenschutzkonform einsetzen?
Die kurze Antwort vorweg: Ja, man kann Google Analytics datenschutzkonform einsetzen.
Es ist jedoch unbedingt zu beachten, dass viele EU-/EWR-Datenschutzbehörden die Betreiber von europäischen Websites dazu zwingen wollen, Google Analytics nicht mehr zu verwenden, egal wie es implementiert wird, und auf europäische Lösungen umzusteigen.
Aus diesem Grund sind die nachfolgenden Hinweise im Sinne einer Risikominimierung zu beachten.
Es ist zunächst wichtig, sich vor einer Entscheidung einen Überblick über die aktuellen rechtlichen Entwicklungen in Bezug auf Google Analytics zu verschaffen:
- Meinung der Datenschutzbehörden
Die österreichische und die französische Datenschutzbehörde hatte im vergangenen Jahr Google Analytics wegen des US-Datentransfers für unzulässig erklärt. Ähnliche Stellungnahmen zum Thema kamen auch von anderen Behörden. - Neuer Angemessenheitsbeschluss
Die Europäische Kommission erließ mit Datum vom 10. Juli 2023 einen neuen Angemessenheitsbeschluss in Bezug auf die Vereinigten Staaten (EU-US Data Privacy Framework). Die Kommission erklärt mit diesem Beschluss, dass die Änderungen der USA an ihren nationalen Gesetzen nun ein angemessenes Schutzniveau für personenbezogene Daten gewährleisten, die aus der EU an Organisationen in den USA übermittelt werden. Voraussetzung ist allerdings, dass sich die US-Unternehmen verpflichten, den neuen „Datenschutzrahmen“ einzuhalten. - Google ist nach dem Data Privacy Framework zertifiziert
Google LLC ist bereits für das EU-US Privacy Framework zertifiziert, von daher gilt die Erleichterung auch beim Einsatz von Google Analytics 4. Es sei jedoch bereits jetzt darauf hingewiesen, dass der neue Angemessenheitsbeschluss keinen „Freifahrtschein“ bezüglich der Nutzung von Google Analytics 4 darstellt. Das mangelnde Datenschutzniveau war nur einer der Kritikpunkte der Datenschutzaufsichtsbehörden. - Kritik am Data Privacy Framework
Der Europäische Datenschutzausschuss (EDSA) hatte am 28. Februar 2023 seine im Verfahren notwendige Stellungnahme zum Entwurf des Angemessenheitsbeschlusses zum EU-U.S. Data Privacy Framework abgegeben und die Änderungen begrüßt, gleichzeitig aber auch Kritik angebracht. Entsprechend ist damit zu rechnen, dass das neue Privacy Framework wie schon das (alte) Privacy Shield rechtlich angegriffen werden wird. Bis dahin sorgt der Angemessenheitsbeschluss aber für Rechtssicherheit beim Datenaustausch mit den USA, der damit deutlich einfacherer wird.
Was ist Google Analytics 4?
Google Analytics 4 (GA4) heißt die aktuelle Version von Googles Trackingtool. Es handelt sich um eine Weiterentwicklung von Google Analytics „App+Web“. GA4 löst Universal Analytics ab, welches auf Googles Website als „vorherige Generation von Google Analytics“ geführt wird. Google Analytics ändert damit seine Trackingtechnologie weg von sitzungsbasierten hin zu Nutzer- und Event-basierten Auswertungen. Eine Google Analytics 4-Property kann zudem für eine Website, eine App oder beides gleichzeitig verwendet werden.
Wer noch nicht gewechselt hat, sollte dies in daher in naher Zukunft tun und die Daten aus Universal Analytics zu GA4 migrieren.
Was ist zu tun?
Im Sinne einer Risikominimierung beim Einsatz von Google Analytics 4 ergeben sich folgende Handlungsempfehlungen, auf die wir in dieser Anleitung inkl. Muster eingehen:
- Vertrag zur Auftragsverarbeitung abschließen
- Aufbewahrungsdauer der Daten festlegen
- Empfohlene Standardeinstellungen anpassen
- Einwilligung einholen
- IP-Anonymisierung und ggf. Löschung von Altdaten
- Datenschutzerklärung anpassen
