Google Analytics 4: So nutzen Sie es DSGVO-konform weiter

Alternativen zu Google Analytics liegen im Trend. Die vergangenen Jahre im europäischen Datenschutz einige einschneidende Erkenntnisse gebracht, insbesondere die Schrems II-Entscheidung des EuGH. Im Zentrum stand vielfach die Frage nach der Zulässigkeit von Transfers personenbezogener Daten in Drittländer, etwa in die USA. Dazu zählen etwa Transfers, die im Rahmen der Nutzung von Marketing und Analyse-Tools, wie Google Analytics, anfallen. 

Datenschutzbehörden legten die Datenschutz-Grundverordnung (DSGVO) und Entscheidungen des EuGH streng aus und verhängten bereits empfindliche Strafen aufgrund der Verwendung von Google Analytics. 

Viele der gängigen Marketing- und Analysetool erfüllten mit Schrems II die Voraussetzungen nicht mehr. Wer sie weiterhin nutzte, riskierte neben Anwaltskosten und Image-Schäden auch hohe Strafen. Im schlimmsten Fall können sie bis zu 4 % des weltweiten Konzernumsatzes betragen. 

Deshalb haben sich viele Marketer dazu entschlossen, sich nach Alternativen für Google Analytics umzusehen. Aber erfolgte dieser Schritt zu früh? Ist es möglich, Google Analytics 4 weiter zu nutzen und auf Alternativen zu verzichten – auch langfristig datenschutzkonform?

In diesem Artikel erfahren Sie, wie es zu der aktuellen Situation gekommen ist und welche Optionen Marketer und Webseiteneigentümer haben, wenn sie ihr Analytics auf zukunftssichere, datenschutzkonforme Beine stellen wollen.

Das neue Data Privacy Framework – Problem gelöst?

Doch die Rechtslage hat sich geändert. Im Juli 2023 genehmigte die EU-Kommission das neue EU-US-Datenschutzabkommen (DPF), das viele der Einschränkungen von Schrems II aufhebt und es für Organisationen wesentlich einfacher macht, personenbezogene Daten aus der EU in die USA zu übermitteln.

Das bedeutet, dass auch die Nutzung von Google Analytics wieder auf rechtlich sicheren Beinen stehen könnte.

Doch wie lange das sein wird, kann aktuell niemand abschätzen. Denn die NGO des Datenschutz-Aktivisten Max Schrems plant, das neue Abkommen gerichtlich anzufechten. Daher wird wohl die Rechtsunsicherheit für Unternehmen bis zu einer neuerlichen Entscheidung des Europäischen Gerichtshofs (EuGH) bestehen bleiben. 

In dieser komplexen Situation ist es für Website-Betreiber wesentlich, den Überblick zu behalten und den Handlungsspielraum zu kennen. 

In diesem Artikel erfahren Sie, wie auch bei einer möglichen Aufhebung des Data Privacy Frameworks ihr Google Analytics datenschutzkonform nutzen können.

Schrems II einfach erklärt

Wann und wie personenbezogene Daten in Drittländer übermittelt werden dürfen, ist eines der zentralen Themen der DSGVO. Zwar ist es laut DSGVO nicht verboten, Userdaten in Drittländer zu übermitteln und Tools aus Drittländern, wie Google Analytics, zu verwenden. Allerdings sind die Auflagen dafür beträchtlich. So muss der Webseitenbetreiber prüfen, ob die Datensicherheit auch im Drittland ein “angemessenes Datenschutzniveau” bietet. 

Im Fall der USA war diese Überprüfung vor Einführung des DPF einfach: Nein, das Schutzniveau reichte nicht aus. Zu diesem Schluss kam der EuGH im Schrems-II-Urteil, in dem er ein diesbezügliches Abkommen (Privacy Shield) zwischen den USA und EU für nichtig erklärte.

Grund dafür war das US-Bundesgesetz Foreign Intelligence Surveillance Act, kurz: FISA. Die Ausweitung dieses Gesetzes nach den Terroranschlägen vom 11. September ermöglichte es der US-Regierung und den US-Nachrichtendiensten wie der NSA, Überwachungen im Internet im großen Stil durchzuführen. 

Tech-Konzerne können nach wie vor im Rahmen von geheimen Gerichtsbeschlüssen (“FISA-Court”) gezwungen werden, Userdaten herauszugeben. Das zeigten auch die brisanten Snowden-Enthüllungen.

Die Daten von EU-Bürgern sind in den USA also nicht sicher. Website-Betreiber tragen im Sinne der DSGVO aber die Verantwortung dafür, dass sie nicht ohne Weiteres dorthin gelangen. 

Das Problem mit Google Analytics

Die Konsequenz daraus: Die österreichische Datenschutzbehörde erklärte den Einsatz des US-Tools Google Analytics Ende 2021 für rechtswidrig – eine bahnbrechende Entscheidung. Danach schlossen sich zahlreiche EU-Behörden der Ansicht an, unter ihnen jene von Italien, Frankreich, Schweden und Dänemark.

Google versuchte nach der österreichischen Entscheidung noch gegenzusteuern, indem es neue Datenschutz-Funktionen in Google Analytics implementierte. Doch auch diese reichen nicht aus, um Rechtmäßigkeit herzustellen, wie die dänische Datenschutzbehörde 2022 beschied. 

Und auch dem Lösungsansatz, Server in der EU zu betreiben oder Tochterfirmen die Datenverarbeitung zu überlassen, war kein Glück beschieden. Laut Datenschutzbehörden haben US-Regierungsbehörden und Nachrichtendienste auch auf Server und US-Tochterfirmen Zugriff, egal wo diese ihren offiziellen Standort haben. Möglich macht’s das US-Gesetz “CLOUD Act”. 

Nutzer der Analytics-Lösung mussten demnach die Nutzung einstellen, wenn man auf der richtigen Seite des Rechts stehen wolle. Oder zusätzliche Maßnahmen treffen, um die Daten von EU-Bürgern zu schützen. 

Zwar prüften die Datenschutzbehörden zielgerichtet Google Analytics. Ihre Entscheidungen hatten aber Implikationen für alle Tools und Services von US-Anbietern, die mit personenbezogenen Daten arbeiten. 

Analytics sicher datenschutzkonform nutzen

Es ist schwierig, personenbezogene Daten legal in Drittländer ohne gültiges Datenschutzabkommen zu senden. Laut DSGVO muss der betroffene User ausdrücklich in einzelne Transfers einwilligen und auch über mögliche Risiken unterrichtet werden. Dieser Consent darf auch nur in Ausnahmefällen als Rechtsgrundlage dienen, und “nicht die Regel werden”, wie der Europäische Datenschutzausschuss hervorgehoben hat. 

In der Praxis ist die Einholung von Consent also nur schwer umzusetzen. Und ob praktische Lösungen vor Gericht halten werden, ist auch noch völlig unklar. 

Daher bleibt als einzige Alternative der Abschluss von Standardvertragsklauseln, die laut EuGH den Datentransfer – mit zusätzlichen Maßnahmen – ermöglichen können. Eine solche Maßnahme ist die Pseudonymisierung von personenbezogenen Daten, bevor sie via eines Proxy-Servers in die USA gesendet werden.

Welche Handlungsmöglichkeiten haben Website-Betreiber also realistischerweise?

Von Google Analytics bis zu den Alternativen: Drei Optionen

1. Abwarten

Eine mögliche Strategie ist es, vorerst nichts zu tun und abzuwarten, ob der EuGH das Data Privacy Framework mit den USA akzeptiert – oder erneut kippt. 

Vorteile: Sie müssen nichts an Ihrem MarTech-Stack ändern und sparen sich den Umstieg auf andere Tools und Tracking-Lösungen. 

Nachteile: Es ist fraglich, ob es den Anforderungen des EuGH genügt und einer Prüfung standhält. Klar ist, dass das neue Abkommen gerichtlich angefochten werden wird, sobald es inkraft tritt. Diese Variante ist also mit dem strategischen Risiko verbunden, auf dem falschen Fuß erwischt zu werden, sollte das DPF fallen. 

2. Auf eine europäische Google Analytics-Alternative umsteigen

Sie könnten auf eine europäische Google Analytics-Alternative umstellen. Wenn es sich dabei um eine Firma mit Sitz im Europäischen Wirtschaftsraum handelt, sowie nicht um eine Tochter einer Drittländer-Firma, vermeiden Sie die Problematik rund um internationale Datentransfers. 

Vorteile: Diese Vorgangsweise ermöglicht es Ihnen leichter, datenschutzkonform zu tracken, wenn die Tool-Anbieter in der EU sitzen. 

Nachteile: Ihre Infrastruktur ist auf ihr bestehendes Tracking- und Analytics-Setup eingestellt. Der Umstieg ist mit einem größeren Aufwand verbunden.

Die Auswahl an europäischen Lösungen ist zudem noch begrenzt. Viele reichen im Hinblick auf Leistungsfähigkeit noch nicht an etablierte (US-)Tools heran.

3. Auf eine Proxy-Lösung umsteigen (Server-Side-Tracking)

Aus den bisherigen Entscheidungen der Datenschutzbehörden der EU-Mitgliedsländer kristallisierte sich eine Empfehlung dafür heraus, wie US-Tools DSGVO-konform genutzt werden können. Nämlich via Proxy. 

Die Lösung ist denkbar einfach: Anstatt Daten direkt in die USA zu übertragen (oder an US-Server in der EU) schalten Website-Betreiber einfach einen Server dazwischen. Dort werden die Daten pseudonymisiert, um den Personenbezug zu entfernen. Dann erst werden die Daten an die US-Tools wie Google Analytics weitergeleitet. Wichtig ist, dass sowohl Server als auch die Tracking-Software von EU-Unternehmen in der EU betrieben werden. 

So können Webseitenbetreiber ihre Tools wie gewohnt weiter nutzen. Diese Technik wird auch Server-Side-Tracking genannt. 

Vorteile: Sie können Ihre gewohnten Tools wie Google Analytics einfach weiterverwenden und bleiben trotzdem DSGVO-konform. Sie erhalten dann in der Regel First-Party-Daten, die oft eine bessere Qualität und Tiefe haben als Third-Party-Daten. 

Nachteile: Das Grundprinzip von Server-Side-Tracking ist zwar recht einfach, die Umsetzung ist jedoch mit technischem Aufwand und Kosten verbunden, wenn man es selbst aufbauen will.

Allerdings ist Server-Side-Tracking als Komplettlösung inklusive Hosting eine zukunftssichere Variante, die von den Entwicklungen rund um das Data Privacy Framework und möglichen Anfechtungen unabhängig macht bzw., die Flexibilität bietet, schnell auf regulatorische Entwicklungen reagieren zu können. 

Case Study: Google Analytics 4 erstmals voll serverseitig nutzen

Erfahren Sie in unserer Case Study, wie Sie Google Analytics 4 mit JENTIS erstmals vollständig serverseitig nutzen können – etwas, das selbst mit Google-Lösungen nicht möglich ist – und damit zukunftssicher datenschutzkonform bleiben, egal, was kommt.

Jetzt Case Study lesen