Verpflichtende Umstellung bei Google Analytics

Geschrieben am 02.08.2022 von:

Kevin Kraus

Legal Consultant | Informationssicherheitsbeauftragter (IHK) & Datenschutzauditor (DSA-TÜV)
zum Profil

Kontaktiere mich:

+49 (0) 261 – 9886236 44
E-Mail senden

Nutzt du zur Webseitenanalyse Google Analytics? Falls ja, ist eine aktuelle Ankündigung von Google für dich besonders relevant! Denn ab dem 01.07.2023 wird der Umstieg auf Google Analytics 4 („GA4“) verpflichtend. Doch was bedeutet das überhaupt?

Aktuell haben Webseitenbetreiber noch die Wahl, Google Analytics als „altes“ Universal Analytics einzusetzen oder bereits jetzt auf GA4 umzusteigen. Das hat vor allen Dingen bei den erfassten Webseiteninteraktionen Konsequenzen. Während Universal Analytics sitzungsbezogen das Nutzerverhalten anhand sogenannter „Treffer“ erfasst und auswertet, werden bei GA4 einzelne Ereignisse getrackt, die weder eine Kategorie noch ein Label haben.

Datenschutzrechtlich hat dieser Umstieg allerdings keine Relevanz. Es gilt nach wie vor, dass für das Setzen der Cookies für Google Analytics eine Einwilligung über ein Cookie-Banner eingeholt werden muss, bevor du mit dem Tracking der Webseitenbesucher loslegen kannst. Diese Einwilligung muss dann auch die Auswertung der erhobenen Nutzerdaten umfassen. Vor allem muss aber nach wie vor beachtet werden, dass bei dem Einsatz von GA4 eine Übermittlung der Daten in die USA erfolgt. Das wird insbesondere von verschiedenen Aufsichtsbehörden als besonders kritisch angesehen, weil das Datenschutzniveau in den USA nicht mit dem bei uns in Europa vergleichbar ist.

Die Französische Datenschutzaufsichtsbehörde „Commission Nationale Informatique et Liberté“ (CNIL) hat in diesem Zusammenhang aufgrund diverser Abmahnungen vom 10. Februar 2022 wegen des Einsatzes von Google Analytics auch eine FAQ zu dem Vorgang sowie zum Einsatz von Google Analytics herausgegeben.

So ist die Aufsichtsbehörde CNIL der Ansicht, dass der bloße Abschluss von Standardvertragsklauseln mit Google nicht ausreichen, um vor Zugriffsanfragen ausländischer Behörden zu schützen. Das gilt insbesondere dann, wenn die lokalen Gesetze im Ausland den Zugriff im Drittland vorschreiben. Die zusätzlichen von Google ergriffenen Schutzmaßnahmen stufte die Aufsichtsbehörde als unzureichend ein.

Eine Konfiguration von Google Analytics ist auch beim Einsatz von GA4 nicht in der Form möglich, dass keine Daten die EU verlassen. Außerdem können die Daten auch nicht vollständig anonymisiert werden. Nur die standardmäßige Anonymisierung der IP-Adressen reiche nicht aus.

Alles in allem ist der Einsatz von Google Analytics auch mit GA4 alles andere als sicher – selbst wenn die deutschen Aufsichtsbehörden sich (noch) nicht so klar positioniert haben wie die französische. Es ist daher sinnvoll, nach alternativen Webanalysetools Ausschau zu halten, bei denen die Daten die EU erst gar nicht verlassen. Wenn du dabei Unterstützung brauchst, wende dich gerne an unsere Expert*innen!


Zurück zu den News