18.04. 2023, Ines Carina Enzenberger

Google Analytics 4 – Wie verträgt es sich mit der DSGVO?

Hält sich der Google Analytics Nachfolger an die EU-Datenschutzrichtlinie?

Im Juli 2023 ist es soweit: Google Analytics 4 (GA4) löst endgültig den Vorgänger Universal Analytics (UA oder auch GA3) ab. In der Vergangenheit wurde bereits von Datenschutzbehörden entschieden, dass das “herkömmliche” Google Analytics gegen die DSGVO verstößt. Wir haben darüber und über mögliche Alternativen zu Google Analytics berichtet – siehe Blog zum DSB Entscheid.

Für das neue Google Analytics 4 kündigt Google nun wesentliche Verbesserungen im Bereich Datenschutz an. Aber es stellt sich die Frage: Kann Google Analytics 4 die Anforderungen der DSGVO tatsächlich zur Gänze erfüllen?

GA4 – Die Tendenz ist gut, das Datenschutz-Ziel ist noch nicht erreicht!

Positiv anzumerken ist: Google scheint einen Schritt in die richtige Richtung zu gehen und hat mit Google Analytics 4 auch einige datenschutzrechtlich-relevante Änderungen umgesetzt. Auf der Google Support Seite werden die Anpassungen für GA 4 unter “EU-focused data and privacy” angeführt.

IP Adresse: Die erhobenen IP-Adressen werden nur noch für die Geo-Lokalisierung genutzt und im Anschluss anonymisiert.
Google Signal: Bei Deaktivierung von Google Signals wird die Zuordnung zu einem Google-Konto unterbunden.
Datenverarbeitung: Für alle Daten von Endgeräten in der EU erfolgt die Speicherung und Verarbeitung auf Servern – laut Google – innerhalb der EU.
Geo- und Gerätedaten: Einstellungen zur Genauigkeit der erhobenen Geo- und Gerätedaten können konfiguriert werden.

Die Realität ist: Google hat mit GA4 datenschutzrechtliche Verbesserungen eingeführt, kann aber die Anforderungen der DSGVO nicht zur Gänze erfüllen.

Datentransfer zwischen US und EU
US Behörden haben Zugriff auf alle Daten von US-Unternehmen, auch wenn diese auf europäischen Servern liegen. Somit sind Daten von europäischen Nutzer:innen, die mit GA4 erhoben werden und auf EU Servern liegen, nicht vor einem Zugriff von amerikanischen Behörden sicher.

Zeitlich-versetzte Anonymisierung der IP Adresse
Es findet zwar eine automatische Anonymisierung der IP Adresse statt, jedoch erst nach Durchführung einer GEO-Lokalisierung. Die Anonymisierung greift demnach einen Schritt zu spät.

Keine Verschlüsselung von Gerätedaten
Die Gerätedaten sowie die Onlinekennung werden mit GA 4 weiterhin unverschlüsselt übertragen. Das bedeutet, Google sammelt immer noch Nutzerdaten, die nicht DSGVO-konform anonymisiert werden.

GA 4 – Es ist keine Post-Cookie Ära in Sicht

Die Post Cookie Ära wurde ausgerufen und dennoch stützt sich GA4 auch weiterhin auf die Verwendung von Cookies, zumindest wenn diese für das Tracking verfügbar sind. Somit wird auch weiterhin die ausdrückliche Zustimmung der Websitenutzer:innen benötigt. Dafür muss auch in Zukunft ein Cookie Banner auf der Website angezeigt werden, um GA4 Tags auszulösen und Nutzerdaten zu erfassen. Wird die Einwilligung nicht erteilt, werden die Daten ohne Identifikatoren erfasst. GA4 wertet z.B. dennoch standardmäßig Daten wie die Bildschirmauflösung des Endgeräts aus. Ist die Auswertung der Bildschirm-Auflösung nicht erwünscht, muss sie gezielt deaktiviert werden.

GA 4 & der Einsatz von KI

Google Analytics 4 arbeitet mit Künstlicher Intelligenz (KI oder auf engl. AI). Mittels maschinellem Lernen werten Algorithmen z.B. das Nutzungsverhalten anhand von Ereignisdaten aus. Das bedeutet: GA 4 arbeitet also auch mit modellierten Daten.

Auch für das Cross-Device Tracking wird die KI eingesetzt, um nutzer-typisches Verhalten zu erkennen und zusammenzuführen. Nutzungsverhalten auf der Website (z.B. Scroll, Page Views, Klicks auf Links, Downloads…) wird auf anderen Geräten wiedererkannt und die Interaktion mit Marketingkampagnen lässt sich mit Hilfe der KI geräteübergreifend auswerten. Damit kann zukünftiges Verhalten von Zielgruppen oder Prognosen zu Einzelnutzer:innen vorhergesagt werden.

GA 4 HAT AUCH DATENSCHUTZFREUNDLICHE KONKURRENZ AUS EUROPA!

Nur weil das herkömmliche Google Analytics (UA) mit 1. Juli 2023 von Google Analytics 4 abgelöst wird, befindet man sich als Websitebetreiber:in nicht gleich in einer Tracking-Sackgasse. In der EU stehen durchaus datenschutzfreundliche Alternativen zum US Tool Google Analytics 4 zur Verfügung. Die gängigen Beispiele hierfür sind eTracker, Piwik PRO und Matomo.

Wer aber dennoch Google Analytics 4 verwenden möchte oder muss, dem sei geraten:

vorab eine umfangreiche Risikoabwägung durchzuführen. Denn mit einem Einsatz von GA 4 wird bis zu einem gewissen Grad gegen die DSGVO verstoßen.
auf eine möglichst datenschutzkonforme Einbindung zu achten. Immerhin bietet GA 4 nun etwas mehr Möglichkeiten als sein Vorgänger UA.

UNTERSTÜTZUNG BEIM UMSTIEG DURCH EXPERTEN-WEBINAR

Armin Larndorfer von Klickimpuls bietet ein 45minütiges Webinar zum Thema “Umstieg auf Google Analytics 4 oder alternative Tracking Lösungen?” an.

Darin erfährt man wie der Umstieg von UA auf GA4 noch vor dem 1. Juli 2023 erfolgreich gelingt. Und selbstverständlich wird auch auf Alternativen zu Google Analytics hingewiesen.

Wer sich zu dem Thema informieren möchte, kann ihn gerne per E-Mail kontaktieren: armin@klickimpuls.at und gleich einen Termin vereinbaren.

Unser Fazit zu Google Analytics 4

Google Analytics 4 erfüllt als US Tool nicht alle Anforderungen der DSGVO und es befinden sich mittlerweile auch datenschutzfreundliche Alternativen am Markt.

Generell kann festgehalten werden: wer User Tracking im Einklang mit dem Datenschutz in Europa betreiben möchte, sollte neben dem Einsatz eines DSGVO-konformen Tracking Tools zusätzlich auch auf das richtige Consent Management System setzen.

WebCare von DataReporter ist hierfür eine ideale Softwarelösung. Der WebCare Tag Manager ermöglicht den Start des Tracking Tools und das Schreiben von Cookies nur nach erteilter Einwilligung. Die Legal Technology von DataReporter setzt auch Consent Management datenschutzkonform um.

WebCare ist eine Komplettlösung, mit der man vollautomatisch die datenschutzrechtliche Einwilligung der Websitenutzer:innen verwalten, die Datenschutzerklärung stets up-to-date und das Impressum vollständig halten kann. WebCare bietet ein einzigartiges “Rundum-sorglos-Paket” → erfahre mehr und vereinbare deine persönliche Online-Demo.

Bildquelle:

Pexels.com, Mikael Blomkvist
Pexels.com, Nataliya Vaitkevich
Pexels.com, Oriana Polito
Portrait Armin Larndorfer: https://www.klickimpuls.at/ueber-uns

Sonja Seirlehner, MBA MSc,
Head of Business Development DataReporter GmbH

Neugierig geworden?

Sie haben noch Fragen?

Gerne nehmen wir uns Zeit für Sie und beraten Sie unverbindlich.
Wir freuen uns auf Ihre Kontaktaufnahme!

KONTAKTIEREN SIE UNS