Google Analytics DSGVO konform nutzen: Ein Ratgeber

Viele Webseiten setzen Google Analytics ein, um ihre Besucher besser kennenzulernen oder um Werbung zu optimieren. Der rechtssichere Einsatz des Tracking Tools von Google scheint kaum möglich. Durch die richtige Konfiguration lässt sich das Risiko zumindest reduzieren.

Dieser Artikel bezieht sich auf Google Universal Analytics. Es gibt weitere Varianten von Google Analytics. Die neueste Version ist Google Analytics 4, die aktuell am meisten verwendete Version Google Universal Analytics ist die in diesem Artikel beschriebene.

Die Komplexität von Google Analytics übersteigt das Vermögen nahezu aller Verantwortlichen erheblich und sorgt alleine deswegen flächendeckend für Datenschutzverstöße.

Quelle: IT Logic GmbH, Analyse der Konfigurationen von Google Analytics

Mit Einwilligung am sichersten

Aufgrund seiner Flexibilität kann Google Analytics auf unterschiedlichste Arten eingesetzt werden. Je nach Konfiguration ist eine Einwilligung vor dem Laden des Tools entweder in jedem Fall erforderlich oder möglicherweise nicht notwendig.

Eine Einwilligungsabfrage, auch Consent Abfrage genannt, reduziert jedenfalls das rechtliche Risiko von Google Analytics auf das mögliche Mindestmaß. Der Nachteil: Eine rechtssichere Einwilligung einzuholen ist erstens aufwändig und zweitens lehnen die meisten Besucher der Website den Einsatz von Analytics ab, wenn sie eine echte Wahl haben.

Ohne Einwilligung nicht rechtssicher

Bekanntlich sammelt Google gerne Daten und vor allem in sehr großem Umfang. Zuletzt konnte das Unternehmen mit verkaufter Werbung einen dreistelligen Milliardenumsatz in Euro pro Jahr erwirtschaften.

Es kann also unterstellt werden, dass Google Daten nicht nur zu verwendet, wie man im Idealfall annehmen könnte. Die Google Nutzungsbedingungen, die Google Datenschutzbedingungen und die Ausprägung des Google Analytics Dashboards legen nahe, dass Google es mit dem Datenschutz nicht ganz so ernst nimmt. Zudem glänzen die Datenschutzerklärungen von Google durch Intransparenz.

Google Tag Manager vermeiden

Wer Google Analytics ohne Einwilligung einsetzen möchte, sollte unbedingt darauf verzichten, den Google Tag Manager (GTM) zu verwenden. Mit dem GTM kann Google Analytics zur Laufzeit dynamisch geladen werden. Allerdings würde für den Tag Manager selbst eine Einwilligung benötigt werden, da beim Laden des GTM potentiell ein Datentransfer in ein unsicheres Drittland stattfindet. Vergleiche hierzu das Urteil zum Privacy Shield.

Auf Cookies verzichten

Google Analytics kann so konfiguriert werden, dann keine Cookies gesetzt werden. In der Standardausprägung verwendet das Tool sogenannte First-Party Cookies. Diese sind zwar unkritischer als Third-Party Cookies, weil ein direkt ersichtlicher Datentransfer an Dritte unterbleibt.

Google Analytics Cookies früher und heute. Quelle: IT Logic GmbH

Jedoch kann das von der Webseite geladene Script für Google Analytics die First-Party Cookies nach Belieben setzen und auslesen. Somit sind die technischen First-Party Cookies fachlich Drittpartei-Cookies, weil sie von Google verwertet werden.

Fallback: Standardkonfiguration

Wer nicht weiß, welche Einstellungen im Google Analytics Code oder Dashboard welche Auswirkungen hat, sollte die Standardkonfiguration nutzen. Dabei muss allerdings sichergestellt sein, dass keine Cookies gesetzt werden. Dies ist nach aktuellem Stand in der Standardkonfiguration nicht gegeben und muss vom Betreiber des Tools auf jeden Fall angepasst werden.

Auf keinen Fall sollte die Datenfreigabe angepasst werden, so dass Google Produkte & Services die Daten aus Ihrem Google Analytics Account erhalten. Dnan nämlich entsteht eine Gemeinsame verantwortlichkeit von Google und Ihnen. Die Pflicht, eine Einwilligung der Besucher Ihrer Webseite vor dem Laden des Tools einzuholen, wäre die Folge.

Restrisiko Client-ID

Google Analytics vergibt für jeden als neu erkannten Nutzer eine sogenannte Client-ID. Diese Identifikation ist eine längere Zeichenkette, die weltweit einmalig ist. Das Führen einer solchen Nutzeridentifikation ist per se unnötig, vor allem, wenn eine DSGVO-konforme Statistik von Webseitenbesuchern aufgezeichnet werden soll.

Google-Analytics: Automatisch erzeugte Client-IDs für erkannte Nutzer

Mit Hilfe der Client-ID gelingt es aber, jedem Nutzer eine IP-Adresse zuzuordnen. Die IP-Adresse wiederum ist ein personenbezogenes Datum.

Durch ein Matching von Client-IDs mit IP-Adressen kann ein Nutzer sogar über mehrere Browser und Endgeräte hinweg verfolgt werden. Dies wiederum ist der Einwilligungspflicht unterworfen. Dieses Matching wird auch als Deduplikation bezeichnet, weil mehrere verschiedene Client-IDs auf denselben Nutzer zurückgeführt werden können.

Empfehlung

Aufgrund der enormen rechtlichen Risiken beim Einsatz von Google Analytics empfiehlt sich das Tool nur für Webseiten, die enorm von diesem Google Tool profitieren. Die technische Komplexität durch die zahlreichen Möglichkeiten der Konfiguration sorgen für zusätzliche Aufwände, die kleinere Firmen kaum leisten können.

Wer eine leistungsfähige Möglichkeit sucht, datenschutzkonforme Analysen für seine Webseite durchzuführen, sollte beispielsweise zu Matomo greifen. Die kostenfreie Version kann direkt auf dem eigenen Server betrieben werden. Mit der richtigen Konfiguration muss nicht einmal ein Consent Popup verwendet werden.

Wer eine einfachere Möglichkeit sucht und sich nicht mit Konfigurationen rumschlagen möchte, sollte sich Trackboxx ansehen. Diese Lösung einer deutschen Firma ist von Hause aus DSGVO-konform ausgerichtet. Für wenig Geld spart man viel Zeit und erhält eine hohe Rechtssicherheit, weil Datenschutz das Hauptanliegen des Tools ist.

2020-12-17T16:52:43+01:00