Google Analytics & Datenschutz: Website konform analysieren?

Wie genau kommen Interessenten auf Ihre Website? Was tun sie dort? Wo verweilen sie lange und wo brechen sie den Besuch auf der Seite ab? So viele spannende Fragen – und Google Analytics liefert alle Antworten. Das Analyse-Tool  bietet kostenfrei detaillierte Einblicke in das Nutzerverhalten von Website-Besuchern und ist damit natürlich bei Unternehmen sehr beliebt.

Was dabei leider oftmals vergessen wird, ist der Datenschutz. Wie immer, wenn Daten verarbeitet werden, ist es unerlässlich, alle Tools und Prozesse DSGVO-konform einzurichten. Wie Sie es schaffen, wertvolle Einblicke in das Nutzerverhalten auf Ihrer Seite zu gewinnen, ohne die Privatsphäre der Website-Besucher zu verletzen, ob das mit Google Analytics überhaupt möglich ist und welche Alternativen es dazu gibt, schauen wir uns in diesem Beitrag an.

Hier müssen wir zunächst Klarheit bei den Begriffen schaffen: Cookies sind kleine Textdateien, die beim Surfen im Internet von einer Webseite über Ihren Browser auf Ihrem Gerät gespeichert werden. Besuchen Sie eine Seite erneut, wird der Cookie wieder ausgelesen und die Seite erkennt Sie. Google Analytics ist kein Cookie, sondern verwendet Cookies, um Daten über das Nutzerverhalten zu sammeln. Bei der Verwendung von Google Analytics ist es daher wichtig, von den Website-Besuchern gleich zu Beginn eine aktive Einwilligung dafür einzuholen.

Laut Google selbst werden folgende Informationen  gespeichert:

• Anzahl der Nutzer
• Statistiken zur Sitzung
• Ungefähre Standortbestimmung
• Browser- und Geräteinformationen

Wer sich in Google Analytics umschaut, wird jedoch schnell feststellen, dass gerade der Bereich „Statistiken zur Sitzung“ extrem umfangreich ausfällt. Die Punkte, die Google hier selbst angibt, sind also eher als Oberthemen zu verstehen, unter denen viele weitere Unterthemen gesammelt werden.

Wenn wir von Google Analytics sprechen, ist damit mittlerweile tatsächlich „GA4“ gemeint: Google Analytics 4. Die neue Version ersetzt seit Juli 2023 endgültig das bisherige „Universal Analytics“ und bringt einige große Änderungen mit sich.

Zu den umfangreichen Neuerungen gehört, dass jetzt nicht mehr nur Websites, sondern auch Apps in einem Tool getrackt werden können. Zudem basiert das Datenmodell nun nicht mehr auf einzelnen Sitzungen und Seitenaufrufen, sondern auf Ereignissen, auch Events genannt. Das heißt also, dass dieselben Daten unterschiedlich erfasst und verarbeitet werden.

Egal ob Universal Analytics oder GA4: Die Nutzung von Google Analytics ist, wenn wir zunächst in der Theorie bleiben, datenschutzkonform möglich. Es gibt allerdings einige Punkte, die Sie dafür beachten müssen.

Ein zentraler Schritt besteht darin, eine Vereinbarung zur Auftragsverarbeitung (AV-Vertrag) mit Google abzuschließen. Ein solcher Vertrag regelt die Verarbeitung personenbezogener Daten im Auftrag des Website-Betreibers und stellt sicher, dass Google die Daten nur gemäß diesen Anweisungen verarbeitet.

Darüber hinaus bietet Google die Möglichkeit, die IP-Adressen der Website-Besucher zu anonymisieren, bevor sie in Google Analytics gespeichert werden. Die Anonymisierung der IP-Adressen ist eine essenzielle Maßnahme, um sicherzustellen, dass keine personenbezogenen Daten erfasst werden, die Rückschlüsse auf einzelne Besucher zulassen. Indem die letzten Ziffern der IP-Adressen entfernt werden, bleibt die erhobene Datenmenge zwar aussagekräftig, aber die Privatsphäre der Nutzer wird geschützt.

Ein weiterer wichtiger Aspekt: Eine transparente Datenschutzerklärung auf Ihrer Website, in der Sie erläutern, welche Daten erhoben werden, wie sie verwendet werden und wie Besucher ihre Datenschutzrechte ausüben können. Eine klare und verständliche Datenschutzerklärung ist nicht nur rechtlich ein Muss, sondern schafft auch Vertrauen bei Ihren Website-Besuchern und zeigt, dass Ihnen der Datenschutz am Herzen liegt. Das gilt übrigens nicht nur für Google Analytics, sondern generell für alle Daten, die Sie verarbeiten.

Ebenso wie die Datenschutzerklärung ist ein korrekt eingerichtetes Cookie Consent Tool unerlässlich – so auch für Google Analytics. Die Zustimmung der Besucher, dass sie getrackt werden dürfen, muss über dieses Tool eingeholt werden. Achten Sie hier darauf, dass die Buttons „Alles ablehnen“ und „Alles akzeptieren“ gleichwertig sind – sprich, dass sie die gleiche Größe, Farbe usw. haben, damit die Website-Besucher nicht beeinflusst werden, welchen Button sie wählen. Hier gilt es auch, explizit darauf hinzuweisen, dass die erhobenen Daten in die USA übermittelt werden. So informieren Sie Ihre Website-Besucher umfänglich und diese können selbst entscheiden, ob sie das Tracken und Übermitteln ihrer Daten zulassen.

Zu guter Letzt sollten Sie regelmäßig die Datenschutzeinstellungen von Google Analytics überprüfen und die aktuellen „Data Processing Terms“, zu Deutsch die „Datenverarbeitungsbedingungen“, akzeptieren.

Dies alles kann allerdings nur als Risikominimierung verstanden werden. Einen komplett rechtssicheren Einsatz von Google Analytics können wir – auch in der neuen GA4-Version und mit dem neuen Angemessenheitsbeschluss – tatsächlich nicht garantieren.

Wenn wir in unsere Nachbarländer schauen, sehen wir, dass Google Analytics dort teilweise schon als rechtswidrig eingestuft wird. Die österreichische Datenschutzbehörde hat Google Analytics bereits in einem Fall für unzulässig erklärt und in den Niederlanden wird derzeit geprüft, ob die Verwendung von Google Analytics erlaubt bleiben soll.

Auch in Frankreich und Italien wurden bereits Urteile gefällt, die es Website-Betreibern untersagen, Google Analytics weiterhin in der gewohnten Form einzusetzen.

Der Hauptgrund hierfür: In den USA, Googles Hauptsitz, gab es nach dem Wegfall des Privacy Shields kein gesichertes Datenschutzniveau für EU-Bürger mehr. Eine neue Entwicklung stellt hier zwar der Angemessenheitsbeschluss dar, der am 11. Juli 2023 erlassen wurde und als Nachfolge des Privacy Shields gesehen werden kann – doch es ist noch unklar, welche Änderungen dies im konkreten Fall von Google Analytics nach sich ziehen wird. Der Knackpunkt: Die Übermittlung von Daten an US-Unternehmen ist mit dieser neuen Gesetzesregelung möglich, wenn diese sich zur Einhaltung der Datenschutzstandards verpflichten und die entsprechenden Datenschutzrichtlinien vorlegen. Ob Google dies tun wird und ob der neue Angemessenheitsbeschluss generell langfristig bestehen kann, bleibt aber noch abzuwarten.

Das alles bedeutet also nicht zwangsläufig, dass Google Analytics auch in Deutschland eingeschränkt oder verboten wird, jedoch deuten die Zeichen stark in diese Richtung. Im März 2023 gab es hierzulande bereits ein Urteil zu Google Analytics: Das Landgericht Köln hat der Telekom Deutschland untersagt, personenbezogene Daten zu Google und damit in die USA zu übermitteln. Der Knackpunkt hier: Eine einfache Zustimmung über den Cookie-Banner reiche nicht aus, um der DSGVO gerecht zu werden. Es müssten weitere Maßnahmen ergriffen werden, um wirklich datenschutzkonform zu handeln, über die wir auch in diesem Artikel gesprochen haben – zum Beispiel Pseudonymisierung oder Verschlüsselung.

Auch wenn Google Analytics bei uns derzeit noch nicht generell verboten ist, macht es durchaus Sinn, nicht erst die nächsten Urteile abzuwarten, sondern bereits jetzt die aktuellen Alternativen zu kennen, um proaktiv eine informierte Entscheidung zu treffen.

Ein Webanalyse-Tool, das ebenfalls eine breite Funktionsauswahl zur Verfügung stellt und dabei datenschutzfreundlicher ist als Google Analytics, ist beispielsweise die Open-Source-Analytics-Plattform Matomo (ehemals Piwik).

Als Self-Hosted-Lösung bietet Matomo deutlich mehr Flexibilität und Anpassungsmöglichkeiten als andere Anbieter. Sie haben hier die volle Kontrolle über die erhobenen Daten und können diese nach Ihren eigenen Anforderungen analysieren und interpretieren. Zudem sind bei Matomo auch die Erfassung und Analyse von Logdateien möglich, die bei der Überwachung der Website-Sicherheit hilfreich sein können. Durch die Verwendung von Matomo können Sie somit sicherstellen, dass Ihre Analyse-Daten im Einklang mit den Datenschutzbestimmungen verarbeitet werden.

Wenn wir alles zusammenführen, was wir bisher erfahren haben, bedeutet das vor allem eines: Eine datenschutzkonforme Nutzung von Google Analytics ist rein theoretisch möglich, wenn die richtigen Maßnahmen ergriffen werden – in der Praxis zeigt sich aber, dass immer mehr Probleme auftauchen, die den DSGVO-gerechten Einsatz nahezu unmöglich gestalten. Da es zusätzlich sein kann, dass Google Analytics in der Zukunft auch in Deutschland als rechtswidrig eingestuft wird, macht es durchaus Sinn, über den Wechsel zu einem unbedenklicheren Tool wie Matomo nachzudenken.

Sie haben Fragen zu diesem Thema oder wollen Ihr Unternehmen generell DSGVO-fit machen? Nehmen Sie einfach hier Kontakt mit uns auf!