Ist Google Analytics DSGVO konform? Technische Informationen im Umgang mit Google Analytics in Bezug auf den Datenschutz

Website-Betreiber zwischen den Fronten – in etwa so lässt sich der aktuelle Sachverhalt (Stand: 1. Quartal 2022) in Bezug auf den Umgang mit Google Analytics auf europäischen Boden bezeichnen. Auf der einen Seite der Datenschutz-Front ist der US-amerikanische Konzern Alphabet Inc., die andere Seite besetzt in diesem Fall die Europäische Union, mit Österreich an der Spitze. Warum gerade Österreich? Weil sich hier in Österreich die NOYB – Europäisches Zentrum für digitale Rechte (mit Sitz in 1140 Wien) befindet. Das österreichische Medium derStandard hat im Jänner 2022 darüber berichtet, wie gefährlich die Nutzung von Google Analytics in Bezug auf den Datenschutz sein kann und es wird dazu geraten, Google Analytics-Anbindungen zu Websites zu entfernen, um nicht selbst rechtliche Konsequenzen zu erleiden. Kann dies als eine Drohung der Datenschützer zu verstehen sein? Ob das wirklich so ist und wie man sich als Unternehmer und Website-Inhaber technisch (nicht rechtlich) vor rechtlichen Konsequenzen schützen kann, das behandle ich in diesem Beitrag.

google analytics dsgvo
Abbildung: Der europäische Datenschutz platziert sich als zentrales Thema in der technischen Welt des Internets

Vorweg: Ich bin kein Jurist / Datenschutzexperte und kann daher meine hier erwähnten persönlichen Erfahrungen nur auf Grundlage eigener Recherchen mit Ihnen teilen. Nehmen Sie bitte diese Erfahrungen lediglich als Hilfe zur Selbsthilfe. Als Website-Betreiber / Inhaber einer Website liegt es in Ihrer eigenen Verantwortung, wie Sie mit der hier erwähnten Datenschutz-Thematik umgehen. Da wo ich Ihnen helfen kann, ist bei der technischen (nicht rechtlichen) Umsetzung der EU-konformen Gestaltung Ihrer Website.

Der Unterschied zwischen rechtlicher und technischer rechtskonformer Gestaltung der Website:

  1. Bei der rechtlichen Gestaltung der Website handelt es sich um die korrekte Ausformulierung der Datenschutzerklärung, Widerrufsbelehrung im E-Commercebereich, Impressum, und dergleichen), sowie die rechtskonforme Überprüfung der technischen Umsetzung.
  2. Bei der technisch rechtskonformen Gestaltung der Website handelt es sich um jene Maßnahmen, die eine korrekte Darstellung und Funktionalität der inhaltlichen datenschutzrelevanten Aspekte ermöglicht. Dabei handelt es sich im Wesentlichen um die Integration eines rechtskonformen Cookie-Banners mit CMP-System (Consent Management Plattform), die rechtskonforme Verlinkung der datenschutzrelevanten Seiten (zB im Footer der Website) sowie die Entfernung von verdächtigen Code / Scripts / Plugins / Modulen / Einbindungen auf der Website, die den Datenschutz für Website-Besucher gefährden könnten. Welche Einbindungen das sind / sein können, diese Entscheidung obliegt der rechtlichen Gestaltung (Punkt 1).

Als kleines mittelständiges österreichisches Unternehmen fühlt man sich in der Tat zwischen den Fronten gefangen. So stellen sich einige Unternehmer die Frage wer den wirklich der Feind in diesem Datenschutz-Konflikt sei. Laut dem Bericht des derStandard vom 13. Jänner 2022 (Behörde: Google Analytics verstößt gegen die Datenschutzverordnung) weist Google jegliche Schuld von sich und bleibt somit unbelangt. Auch jenes Urteil gegen ein österreichisches Unternehmen sei bis dato ohne wirkliche Konsquenzen. Insofern stellt sich für Viele die Frage, ob hier nicht wieder viel Rauch um defakto Nichts in der EU produziert wird. Ein riesiger Graubereich mit zahlreichen ungeklärten Fragen und Unsicherheit in der Online-Community macht sich breit. Insofern wird es nun so dargestellt, als seien auch die kleinen Unternehmen und Website-Betreiber die Schuldigen / zu Belangenden in diesem Konflikt der Datenschutz-Giganten.

In einem weiteren derStandard-Artikel vom 28. Jänner 2022 wurde die Thematik weiter behandelt, wenn gleich einige Behauptungen darin nicht mehr aktuell oder irreführend dargestellt werden. Beispielsweise sind die verlinkten Stellungnahmen von Google nicht erreichbar (https://blog.google/intl/de-de/unternehmen/datenaustausch-zwischen-eu-und-usa/ und https://blog.google/intl/de-de/unternehmen/fakten-zu-google-analytics/). Immerhin wird zumindest eine Kritik an möglichen Konsequenzen für die Website-Betreiber erwähnt und es werden „Tipps“ gegeben, wie man sich vor datenschutzrechtlichen Konsequenzen schützen kann. Das Problem dabei ist nur, dass derStandard dies in einer Form macht, die für die meisten Website-Betreiber als völlig unverständlich zu bezeichnen ist.

Frage:

Wenn Sie die derStandard-Artikel lesen: Wissen Sie was zu tun ist, um sich vor dem Datenschutzgesetz zu schützen?

Wenn Sie diese Frage für sich mit Nein beantworten müssen, dann lesen Sie einfach diesen Artikel weiter um möglicherweise Antworten dafür zu erhalten. Aber bevor wir in die zentrale Thematik einsteigen, möchte ich noch einen wesentlichen Aspekt einbringen: Auch Website-Anbindungen zum Meta-Konzern (Facebook, Instagram, WhatsApp) können zu rechtlichen Konsequenzen (zumindest EU-US-Transfer-Beschwerden) führen. Aktuell sind drei österreichische Unternehmen von solchen Beschwerden betroffen: geizhals.at, netdoktor.at und oe24.at. Im Falle von oe24.at beispielsweise ist in der Beschwerde angeführt, dass auf der Website der Verantwortliche den HTMLCode für FacebookDienste (einschließlich Facebook Connect) eingebettet hat. Insofern zeigt sich, dass es bei diesem Konflikt bei Weitem nicht nur um Google geht. Der von europäischen Datenschützern dadurch ausgeübte Druck auf heimische Unternehmen sei unangemessen, sind sich viele KMU’s einig. Ist ein heimisches Unternehmen gezwungen, seine Leitungen zu Google, Facebook & Co zu kappen, so kann sich das gravierend auf seine gesamte jahrelange aufgebaute Werbestategie auswirken und damit getätigte Investments ruinieren. Andere Medien teilen mit, dass sinngemäß alles nicht so heiß gegessen wird, als es gekocht wird – so zum Beispiel jener Artikel von trendingtopics.eu, der Tipps zur vermeintlich datenschutzkonformen Nutzung von Google Analytics gibt. Ob dies letztendlich so wasserdicht ist, kann nur vermutet werden. Insofern bleibt auch hier ein hohes Maß an Unsicherheit weiterhin gegeben.

Wie bereits erwähnt, bin ich kein Datenschutzexperte und auch kein Jurist, der Ihnen rechtliche Fragen dazu, speziell wenn es um Ihr Unternehmen geht, beantworten kann. Jedenfalls kann ich Ihnen folgende Tipps geben, wie Sie Ihre eigene Website im technischen Kontext auf die aktuelle Situation anpassen können.

Google Analytics weitestgehend DSGVO-konform gestalten mit der IP-Adressenanonymisierung

Eigentlich muss ich Ihnen Aufgrund des datenschutzrechtlichen Drucks in Europa dringend dazu raten, sich umgehend von Google Analytics zu verabschieden. Aber es liegt in Ihrer eigenen Entscheidung und Verantwortung, dieser Empfehlung zu folgen, oder nicht. Sollten Sie sich dazu entscheiden, weiterhin Google Analytics verwenden zu wollen, dann sollten Sie sich jedenfalls darum kümmern, dass die IP-Adressenanonymisierung in Ihrer Google Analytics-Property (Universal Analytics UA-xxxxxxx) auch wirklich aktiv ist.

Sollte Ihnen die Aufzeichnung und Datensammlung über die Performance Ihrer Website nicht wichtig sein, so rate ich Ihnen wirklich dringlich dazu, Google Analytics von Ihrer Website zu entfernen / entfernen zu lassen, da es keinen Sinn macht, sich diesem Risiko auszusetzen. Das gleiche gilt übrigens auch für jegliche andere Anbindungen zu US-amerikanischen Tech-Giganten.

Diese Einstellung der IP-Adressenanonymisierung kann man leider nicht direkt in Google Analytics vornehmen. Diese Einstellung erfolgt über den sogenannten Google Tag Manager in welchem diese in Folge beschriebene Einstellung mit ein und dem selben Google-Konto vorgenommen werden muss.

Einrichtung der IP-Adressenanonymisierung im Google Tag Manager

Schritt 1: Rufen Sie die Startseite des Google Tag Manager auf und klicken Sie auf „Konto erstellen“

Google Tag Manager Konto erstellen

Schritt 2: Fügen Sie ein neues Konto hinzu, wie in der folgenden Grafik beispielhaft dargestellt:

Google Tag Manager - Neues Konto hinzufügen

Schritt 3: Nachdem Sie die Nutzungsbedingungen von Google akzeptiert haben, folgt die Installation des Google Tag Managers auf Ihrer Website, sofern Sie das nicht schon gemacht haben:

Google Tag Manager installieren

Schritt 4: Wenn Sie nun den Google Tag Manager erfolgreich installiert haben gelangen Sie zum Arbeitsbereich des Google Tag Mangers, in welchem Sie unter den „Variablen“ eine neue Variable erstellen und konfigurieren:

Google Tag Manager Variable

Schritt 5: Mit Klick auf das Bleistift-Symbol öffnen Sie die Auswahlmöglichkeiten der Variablen.

Google Tag Manager Neue Variable konfigurieren

Schritt 6: Wählen Sie „Google Analytics-Einstellungen“:

Google Tag Manager Neue Variable auswählen

Schritt 7: Dies ist der letzte Schritt. Geben Sie hier Ihre Universal Analytics-ID (UA-xxxxxxx, G4-Analytics ist hier nicht zulässig) an und erzeugen Sie weiter unten ein festzulegendes Feld mit dem Befehl „anonymizeIp“ und em Wert „true“. Klicken Sie noch auf „Speichern“ und Sie sind fertig.

Google Tag Manager anonymizeip

Empfehlung im Umgang mit Google Analytics G4-Poperties

Datenerfassung durch Google Signale unterbinden und nicht bestätigen

Eine vorbeugende Maßnahme könnte sein, alle Einstellungen in neuen GA4-Properties so vorzunehmen, dass ein Datenmissbrauch weitestgehend unterbunden werden kann. Ob und wenn ja, in wie fern dies hilft, bleibt weiterhin unbeantwortet.

Standardmäßige Identität für die Berichterstellung nur nach Gerät auswählen

Eine weitere Empfehlug ist es bei den neuen GA4-Properties auch die Berichterstattung für User-IDs zu unterbinden, sodass nur über Geräte berichtet wird.

Technische Überprüfung der Google Analytics IP-Anonymisierung

Um sicher zu stellen, dass die Google Analytics IP-Adressenanonymisierung auch wirklich aktiv ist, benötigt man ein wenig technisches Fachwissen. Sobald die IP-Adressenanonymiserung im Google Tag Manager eingerichtet ist, sollte man im Quellcode (Netzwerkanalyse) bereits einen wichtigen Hinweis finden, der die IP-Adressenanonymisierung auslöst. Am besten kann man das mit dem Google Analytics Debugger überprüfen. Installieren Sie in Google Chrome den GA Debugger und klicken Sie mit der rechten Maustaste auf die geöffnete Website und wähle Sie „Untersuchen“. Es öffnet sich auf Ihrem Bildschirm ein weiteres Fenster, was in etwa so aussieht:

Diese Abbildung zeigt meine Website und rechts davon den Pfad in der Konsole zum Befehl: anonymizIp

In der Konsole suchen Sie einfach dem Befehl „anonymizeIp“ und überprüfen Sie ob dieser den Wert „(&aip) 1“ ausgibt, denn nur dann ist die IP-Adressenanonymisierung auch wirklich aktiv. Ist das nicht der Fall, dann stimmt etwas nicht mir ihren Einstellungen. Achten Sie darauf, dass für diesen Test der AdBlocker nicht aktiv ist.

Wenn Google Analytics für Sie überhaupt nicht mehr in Frage kommt und Sie eine Alternative brauchen

Die Verbindung zwischen Ihrer Website und Google Analytics zu trennen, ist einfach und dauert nur wenige Minuten. Die Konsequenzen daraus müssen Sie natürlich auch in Ihre Entscheidung miteinbeziehen und akzeptieren. Es gibt auch zahlreiche Alternativen zu Google Analytics, die u.a. auch im oben verlinkten Beitrag von derStandard promotet werden.

Welchem Analysetool Sie in Zukunft Ihr Vertrauen schenken, dass bleibt Ihnen überlassen. Ich kann Ihnen leider keinen rechtlichen Rat geben, welches Analysetool für Sie die beste Entscheidung ist. Ich kann Ihnen gerne meine technischen Dienste zu preiswerten Konditionen anbieten, welches die Analysesoftware Ihrer Wahl mit Ihrer Website verbindet und gegebenenfalls, wenn vorhanden, die Consent Management Plattform (CMP) inklusive Cookie-Banner entsprechend der Vorgaben einrichtet. Senden Sie mir dazu einfach Ihre unverbindliche Anfrage.

Sind Sie immer noch rat- und hilflos?

Ich kann Ihnen gerne in technischer Sicht weiterhelfen. Senden Sie mir dazu Ihre unverbindliche Anfrage:

Für Website-Betreiber und Website-Inhaber, die ihre Website nicht selbst erstellt haben, empfehle ich jedenfalls, sich an ihren Webmaster zu wenden um rechtskonform mit der Situation umzugehen. Die Verantwortung liegt jedenfalls stets beim Inhaber der Website, nicht beim Ersteller / Webmaster, sofern dies nicht die gleiche Person ist.

Für Marketing-Unternehmen und Agenturen empfehle ich jedenfalls so rasch wie möglich mit einer alternativen rechtskonformen Datensammlung auf eigenen oder Kunden-Websites zu beginnen und Bestandskunden zu informieren.