Google Analytics 4 (GA4) und Datenschutz – Nutzerdaten tracken unter Beachtung der DSGVO

Die Datenschutzgrundverordnung (DSGVO), das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) sowie eine Vielzahl an Rechtsprechungen haben einen erheblichen Einfluss auf die rechtssichere Verwendung von Google Analytics. Deswegen zeige ich dir, wie du Google Analytics annähernd rechtskonform aufsetzen und verwenden kannst. Annähernd deswegen, weil es aktuell leider keine eindeutig rechtssichere Lösung gibt, wie wir Google Analytics 4 auf unseren Webseiten integrieren können.

Einen Überblick über die Funktionsvielfalt von Google Analytics 4 kannst du im Blogbeitrag von Alexander nachlesen.

Welche Auswirkungen hat die DSGVO auf Google Analytics 4?

Die Europäische Datenschutz-Grundverordnung (EU-DSGVO), die im Mai 2018 in Kraft getreten ist, hat große Auswirkungen auf die Verwendung von Web-Analyse-Systeme, inklusive GA4 und deren Datenerhebung. Mehr dazu kannst du in der entsprechenden Verordnung nachlesen.

Wenn du GA4 verwendest, setze dich daher bitte unbedingt mit den folgenden Themen auseinander:

• Rechtsgrundlage für die Verarbeitung von personenbezogenen Daten: Die DSGVO legt fest, dass die Verarbeitung von personenbezogenen Daten, einschließlich der Daten von Website-Besucher:innen, auf einer geeigneten Rechtsgrundlage erfolgen muss. Für die Verwendung von GA4 ist es wichtig sicherzustellen, dass eine geeignete Rechtsgrundlage vorhanden ist, wie beispielsweise die Einwilligung der User:innen oder ein berechtigtes Interesse gemäß Art. 6 Abs. 1 lit. a der DSGVO. Das heißt, du musst die Einwilligung deiner Nutzer:innen immer einholen und zwar, bevor das Tracking auf deiner Webseite aktiviert wird.
• Anonymisierung von IP-Adressen (oder generell von Informationen, die Personenbezug haben oder Personenbezug herstellen können): Die DSGVO betrachtet IP-Adressen als personenbezogene Daten. GA4 bietet Funktionen zur Anonymisierung von IP-Adressen, um die Erfassung vollständiger IP-Adressen zu verhindern, bevor diese auf den Google-Analytics-Servern gespeichert werden. Google hat sogar mitgeteilt, dass die IP-Adressen in GA4 nicht mehr anonymisiert werden müssten, da diese weder protokolliert noch gespeichert werden. Trotzdem wird die IP-Adresse in GA4 automatisch gekürzt. Meine IP Adresse lautet zum Beispiel wie folgt: 46.114.90.134. In GA4 oder in Universal Analytics, falls die IP-Adressen Anonymisierung in UA aktiviert ist, wird meine IP-Adresse wie folgt protokoliert: 46.114.90.0
• Datenschutzrechtliche Informationen: Wenn du als Website-Betreiber:in GA4 verwenden möchtest, dann musst du Informationen über die Verwendung von Google Analytics-Daten transparent bereitstellen. Dies sollte in Form einer Datenschutzerklärung und über den Consent-Banner auf deiner Website erfolgen, um sicherzustellen, dass deine Nutzer:innen umfangreich über die Datenerhebung (auf Grundlage der Einwilligung nach Art. 6 Abs. 1 S. 1 lit. a DSGVO) informiert werden.
• Betroffenenrechte: Gemäß der DSGVO haben Nutzer:innen deiner Webseite bestimmte Rechte, wie zum Beispiel das Recht auf Auskunft, Berichtigung, Löschung oder Widerspruch gegen die Verarbeitung ihrer personenbezogenen Daten. Wir als Webseitenbetreiber:innen müssen diese Rechte respektieren und entsprechende Mechanismen zur Verfügung stellen, um Nutzer:innen die Ausübung ihrer Rechte zu ermöglichen. Darüber informierst du deine Nutzer:innen natürlich auch ausreichend.
• Vertrag zur Auftragsverarbeitung (AV-Vertrag): Die DSGVO erfordert, dass Webseitenbetreiber:innen einen Auftragsverarbeitungsvertrag (AVV) mit Google abschließen. Der AV-Vertrag regelt die Verarbeitung personenbezogener Daten durch Google als Auftragsverarbeiter im Auftrag der Webseitenbetreiber:innen und enthält bestimmte vertragliche Verpflichtungen im Einklang mit den Anforderungen der DSGVO. Wie du diesen AV-Vertrag mit Google abschließt, erkläre ich dir später.

Google Analytics und die Verarbeitung personenbezogener Daten

Die DSGVO regelt in Europa den Umgang mit personenbezogenen Daten. Dort sind die personenbezogenen Daten nach Art. 4 Nr. 1 DSGVO wie folgt definiert: Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare lebende Person beziehen. Hierbei ist es wichtig zu wissen, wenn du personenbezogene Daten anonymisiert, verschlüsselt oder pseudonymisiert hast, aber diese Daten dennoch zur erneuten Identifizierung einer Person genutzt werden können, bleiben sie weiterhin personenbezogene Daten und unterliegen den Bestimmungen der Datenschutzgrundverordnung. Um also wirklich als anonymisiert zu gelten, muss die Anonymisierung unumkehrbar sein, sodass die betroffene Person nicht mehr identifiziert werden kann.

Somit stellt sich erst einmal die grundsätzliche Frage: Was sind personenbezogene Daten im Zusammenhang mit Google Analytics 4?

Abseits des unbeabsichtigten oder beabsichtigten Sammelns personenbezogener Daten, zum Beispiel wenn du in Google Analytics Kreditkarteninformationen sammelst oder versehentlich bei Kontaktformularen Daten über die URL übergibst und damit sammelst, sind die folgenden Bereiche personenbezogene Daten oder Daten, die in Verbindung mit weiteren Daten personenbezug herstellen können:

• IP-Adressen: GA4 erfasst standardmäßig die IP-Adressen von Besuchern, die auf eine Website mit Google Analytics-Tracking-Code zugreifen. Wie oben bereits beschrieben, gibt es sogar eine Aussage von Google, dass die IP-Adressen weder protokolliert noch gespeichert werden. Dies wage ich zu bezweifeln, da es in GA4 weiterhin die Funktion gibt, dass ich den internen Traffic mit Hilfe der IP Adresse ausschließen kann. Jedoch können wir festhalten, dass in jedem Fall die IP-Adresse anonymisiert werden. IP-Adressen können also als personenbezogene Daten betrachtet werden, da sie verwendet werden können, um eine Person zu identifizieren oder zumindest eine geografische Zuordnung zu ermöglichen.
• Geräteinformationen: Google Analytics 4 kann Informationen über das verwendete Gerät erfassen, wie beispielsweise den Gerätetyp, das Betriebssystem, den Browser-Typ und die Bildschirmauflösung. Diese Informationen können in einigen Fällen zur Identifizierung einer Person verwendet werden, insbesondere wenn sie mit anderen Datenquellen kombiniert werden.
• User-ID: Google Analytics 4 ermöglicht die Verwendung von User-IDs, um das Verhalten von Benutzer:innen über mehrere Geräte hinweg zu verfolgen. Wenn eine User-ID ebenfalls mit anderen Informationen kombiniert wird, kann diese dazu verwendet werden, eine Person zu identifizieren.
• Geografische Informationen: Google Analytics 4 kann geografische Informationen wie Standortdaten, Sprache und Land erfassen. Diese Informationen können verwendet werden, um eine Person geografisch zu identifizieren.
• Verhaltensdaten: Google Analytics 4 erfasst auch Informationen über das Verhalten von Website-Besucher:innen, wie zum Beispiel Seitenaufrufe, Interaktionen und Conversions. Obwohl diese Informationen an sich nicht unbedingt personenbezogene Daten sind, können sie auch in Kombination mit anderen Informationen zur Identifizierung von Personen verwendet werden.

Bitte beachte, dass die Verarbeitung personenbezogener Daten, wie hier in Verbindung mit Google Analytics 4, den geltenden Datenschutzgesetzen, wie beispielsweise der Datenschutz-Grundverordnung (DSGVO) der Europäischen Union oder anderen lokalen Datenschutzgesetzen unterliegt. Wenn du als Webseitenbetreiber:in GA4 verwendest, dann stelle bitte sicher, dass du die einschlägigen Datenschutzgesetze einhältst und die erforderlichen Einwilligungen von Benutzer:innen einholst. Das liegt in deiner Verantwortung.

Wer trägt die Verantwortung für die richtige Integration von GA4?

Du, als Betreiber:in einer Webseite bist verantwortlich dafür, dass

• Google Analytics datenschutzkonform in deine Webseite eingebunden wird,
• deine Nutzer:innen ausreichend über diesen Einsatz in einer Datenschutzerklärung informiert werden,
• Nutzer:innen eine Einwilligung für die Verwendung von Google Analytics erteilen können.

Bevor du dich für ein Webanalyse-Tool entscheidest, stelle dir die folgenden wichtigen Fragen:

• Wie stelle ich eine aktive und informierte Zustimmung der Nutzer:innen (Consent bzw. Einwilligung) zu GA4 sicher?
• Benötige ich einen besonderen Datenschutzvertrag mit Google?
• Wie muss ich meine Nutzer:innen über den Einsatz des Analyse-Tools informieren?
• Wie kann ich technisch den Datenschutzanforderungen gerecht werden und welche Einstellungen muss ich im Tool hinterlegen, damit die Verwendung rechtmäßig ist?
• Welche Datenschutzregelungen müssen sonst noch beachtet werden? Gibt es noch weitere Gesetze, die ich berücksichtigen muss?
• Wie gehe ich mit dem Export der Daten in die USA um und gibt es eine Möglichkeit, dass die Daten nicht in die USA exportiert werden?
• Was mache ich mit Daten, die ich nicht datenschutzkonform gesammelt habe?

Wie kann ich GA4 im Einklang mit der DSGVO verwenden?

Jetzt zeige ich dir Schritt für Schritt, welche Punkte du bei der Verwendung von Google Analytics beachten musst. Aber Achtung: Es ist aktuell nicht ganz klar, wie GA4 komplett rechtskonform eingesetzt werden kann, da wir hier u.a. ein großes Streitpotential haben. Vor allem geht es meistens um den Datenexport in die USA, weil wir dafür aktuell keine Rechtsgrundlage haben. Frage dich deswegen kritisch,  ob du den Einsatz von Google Analytics 4 rechtfertigen kannst. Eine Risikoanalyse kann dir dabei helfen.

Um GA4 überwiegend datenschutzkonform nutzen zu dürfen, ist es wichtig, bestimmte Richtlinien und bewährte Praktiken einzuhalten. Halte dich am besten an folgende Schritte:

1. Einholung der Einwilligung
2. Vertrag zur Auftragsverarbeitung mit Google abschließen
3. Rechtsgrundlage für den Datenexport in die USA
4. Aktualisierung der Datenschutzerklärung
5. Nachträgliche Opt-out Möglichkeit nach der Einwilligung zum Tracking
6. ​​Standardeinstellungen auf Kontoebene anpassen
7. Datenaufbewahrung in GA4 festlegen

1. Einholung der Einwilligung

Der EuGH hat am 29.07.2019 eine Entscheidung bezüglich der „Gefällt mir“-Schaltfläche innerhalb von Facebook getroffen und begründet, dass Websitebetreiber:innen neben Facebook mitverantwortlich für Datenschutzverstöße sind. Im Zuge dieser Entscheidung hat sich der EuGH ebenfalls mit dem Einsatz von Cookies beschäftigt. Das Fazit dieser Entscheidung ist, dass für Cookies, wie zum Beispiel von Tracking-Tools, die Einwilligung der Nutzer:innen eingeholt werden muss, bevor eine Datenerhebung durchgeführt wird. Das heißt für uns als Unternehmen, dass wir ein Consent-Banner auf der Website integrieren müssen und unsere Nutzer:innen eine Einwilligung geben müssen, bevor das Tracking aktiviert wird. Hierbei ist es besonders wichtig, dass die Nutzer:innen ebenfalls eine Einwilligung unterlassen können und die Website trotz Nicht- Einwilligung besuchen dürfen. Darüber hinaus musst du in Deutschland (aufgrund des TTDSG vom 01.12.2022) dafür sorgen, dass du dem Button für die Einwilligung einen gleichwertigen “Ablehnen-Button” zur Verfügung stellst.

Bei der Erhebung der Einwilligung musst du also bestimmte Wirksamkeitsvoraussetzungen einhalten und diese sehen wie folgt aus:

• Bevor die Einwilligung erfolgt, darfst du GA4 nicht aktivieren. Dies darf erst nach der aktiven Einwilligung erfolgen.
• Die Einwilligung der Nutzer:innen muss freiwillig erfolgen (Grundsatz der Freiwilligkeit) und diese darf nicht bereits per Default vorausgewählt sein.
• Die Einwilligung darf nicht gekoppelt sein: Es besteht aber kein ausdrückliches Kopplungsverbot.
• Informationspflicht: Stelle transparent dar, welche Tools du verwendest und welcher Zweck für die jeweilige Verwendung von Daten vorliegt; die Aufbewahrungsdauer; welche Art von Daten du erhebst; benenne ggf. die Rechtsgrundlage. Du darfst auch ähnliche Tools in Gruppen zusammenfassen, wie zum Beispiel unter “Marketing”.
• Vorabinformationen: Datenschutzinformationen, Widerrufsbelehrung und die Zweckbindung.
• Einen “Ablehnen-Button” anbieten

Die 121WATT arbeitet zum Beispiel mit dem Consent-Management-System von Usercentrics. Unser Consent-Banner ist so aufgebaut, dass Nutzer:innen eine Einstellung vornehmen müssen, bevor sie unsere Website nutzen. Das heißt, dass Nutzer:innen eine Einwilligung sowie eine Verneinung zur Datenerhebung geben können und danach die Website nutzen dürfen. Somit liegt auch keine Kopplung vor. Wie dies aussieht, kannst du hier sehen:

Ein weiteres Beispiel findest du auf der Webseite der Lufthansa. Dieses sieht wie folgt aus:

Natürlich gibt es neben Usercentrics noch weitere Consent-Management-Plattformen. Der Vorteil dieser Plattformen ist, dass du in der Regel auch einen Analysebereich hast, wo du die Opt-in Raten einsehen kannst und wodurch du einen Überblick erhältst, wie viele Daten dir vorliegen. Weitere Tools sind zum Beispiel:

• Cookiebot by Usercentrics
• Borlabs für WordPress
• OneTrust

Ich sehe auch viele Lösungen, die durch Webseitenbetreiber:innen selbst entwickelt werden. Wenn du dir selbst eine Lösung baust, beachte bitte die oben erwähnten Grundsätze.

Exkurs: Google Consent Mode und GA4

Was ist der Google Consent Mode (GCM)?
Der GCM ist eine offene Schnittstelle, welche die Zustimmungsentscheidungen der Website-User:innen speichert und für die Google Tools regelt. Sollten User:innen keine Einwilligung geben, trackt Google dennoch cookielos das Userverhalten mit und stellt die Daten über verschiedene Modellings (Conversion Modelling, Attribution Modelling, Behavioral Modelling, Offline-to-Online Modelling) in Google Ads und Google Analytics 4 zur Verfügung. Dadurch bekommst du mit, ob eine Conversion ausgelöst worden ist. Die Grauzone hierbei ist, dass der oder die Nutzer:in, obwohl sie oder er nicht dem Tracking zugestimmt hat, cookielos beobachtet wird.

Ist der GCM datenschutzkonform?
Die offizielle Sichtweise (Beschreibung durch die Plattform) versteht sich wie folgt:

Der Google Consent Mode ist eine Funktion, die von Google entwickelt wurde, um die Datenschutzanforderungen der Europäischen Union (EU) und des Europäischen Wirtschaftsraums (EWR) zu erfüllen. Er ermöglicht es Website-Betreibern, den Datenschutzanforderungen zu entsprechen und dennoch personalisierte Werbung für Nutzer zu ermöglichen. In Bezug auf die Datenschutzkonformität hängt die Einhaltung von Datenschutzanforderungen jedoch auch von der Art und Weise ab, wie der Google Consent Mode von Website-Betreibern implementiert und verwendet wird. Wenn der Google Consent Mode korrekt implementiert wird, kann er dazu beitragen, die Einhaltung von Datenschutzbestimmungen zu gewährleisten. Website-Betreiber sollten jedoch sicherstellen, dass sie den Google Consent Mode ordnungsgemäß implementieren und auf eine transparente Weise kommunizieren, wie die Daten der Benutzer erfasst und verwendet werden. Es ist auch wichtig, dass die Einwilligung der Benutzer für die Verwendung von Cookies und für die Verarbeitung personenbezogener Daten in Übereinstimmung mit den geltenden Datenschutzbestimmungen der EU und des EWR erfolgt.

Einschätzung: Ich kann dir leider nicht standardisiert sagen, dass der GCM datenschutzkonform ist. Hierzu gibt es auch noch keine eindeutige Entscheidung durch Behörden oder Gerichte. Allein dadurch, dass Daten in den USA gespeichert werden, benötigen wir die Einwilligung der Nutzer:innen. Der GCM ist nach DSGVO & TTDSG (gilt für Deutschland) noch unzulässig, da wir hier eine Datenübermittlung in die USA haben (hierzu gibt es aber bald das EU-U.S. Data Privacy Framework). Mehr zum Google Consent Modus findest du auch hier bei Google und hier im Blog der Analyticskiste

Exkurs zum EU-U.S. Data Privacy Framework:

Dieses Übereinkommen soll es ermöglichen, Tracking-, Analyse- und Marketing-Tools aus den USA wieder problemlos zu nutzen, ohne dass auf Standardvertragsklauseln zurückgegriffen werden muss. Wir können davon ausgehen, dass nach eigener Schätzung zur Mitte des Jahres 2023 das neue EU-U.S. Data Privacy Framework gilt.

Prüfe daher, ob es sich lohnt, den GCM zu aktivieren. Aus Marketingsicht lohnt es sich meistens, da du einen Einblick in die Conversions (vor allem für Google Ads) erhältst. Aus rechtlicher Perspektive bestehen allerdings Zweifel, dass der Einsatz des GCMs, ohne Einwilligung der Nutzer:innen, datenschutzkonform ist. Mit Hilfe des Server Side Taggings kannst du jedoch eine datenschutzfreundliche Lösung implementieren, da die Daten u.a. auf deinen Server gespeichert werden können.

👍🏻 Meine Empfehlung: Wir werden (aktuelle Rechtsmeinung) den GCM nicht zu 100% datenschutzkonform begründen können. Falls du zu dem Entschluss kommst, den GCM einzusetzen, solltest du alle Punkte aufführen, warum du das aus Marketingsicht benötigst und du solltest alle umgesetzten Privacy Einstellungen aufführen.

Die wichtigsten Vorteile für GCM:
✅ Conversion Modelling in Google Ads
✅ Tracken von Google Ads Conversion
✅ Bessere Auswertung deiner Google Ads Kampagnen

Der große Nachteil des GCM:
❌ Probleme mit der Rechtssicherheit

2. Vertrag zur Auftragsverarbeitung mit Google Abschließen

Zu allererst verlangen die Datenschutzbehörden, dass du einen Vertrag zur Auftragsverarbeitung mit Google abschließt. Mit dem Inkrafttreten der DSGVO am 25.05.2018 besteht nach Art. 28 DSGVO die Möglichkeit, eine Auftragsverarbeitungsvertrag (AV-Vertrag) auch im elektronischen Format abzuschließen. Den Abschluss des AV-Vertrags kannst du in Google Analytics durchführen. Hierfür gehst du wie folgt vor:

1. Öffne deinen Google Analytics Account
2. Unter Einstellung gelangst du zur Verwaltung. Dort navigierst du zu “Kontoeinstellung” und siehst, ob der Vertrag bereits akzeptiert worden ist oder ob du dies noch durchführen musst.
3. Unter „Änderungsvereinbarung ansehen” kannst du dir den Vertrag durchlesen und/oder deinem oder deiner Datenschutzbeauftragten vorlegen.
4. Zur Zustimmung kannst du die entsprechende Checkbox anklicken.
5. Im letzten Schritt klickst du bitte auf “Speichern”.

Danach kannst du in Google Analytics deinen Zusatz zur Auftragsdatenverarbeitung verwalten. Dazu musst du auf “Details zum Zusatz zur Datenverarbeitung verwalten“ gehen und kannst dort dann deinen Firmennamen, den Primären Kontakt (zum Beispiel einen oder eine Geschäftsführer:in) und den oder die Datenschutzbeauftragte:n hinterlegen. Wie das aussieht siehst du im nächsten Screenshot:

3. Rechtsgrundlage für den Datenexport in die USA

Welche Maßnahmen kann ich ergreifen und was wird kommen? Stichwort Server Side Tagging.

Im „Schrems II“-Urteil hat der Europäische Gerichtshof 2020 das Privacy-Shield für ungültig erklärt, da er feststellte, dass das US-Recht den Schutz der Rechte von EU-Bürgern nicht ausreichend gewährleistet. Dadurch gibt es derzeit keinen rechtssicheren Weg mehr, personenbezogene Daten in die USA zu übermitteln. Obwohl die EU-Kommission 2021 neue Standardvertragsklauseln verabschiedet hat, um die Datenübermittlung im Internet zu erleichtern, werden auch diese nicht als ausreichende Rechtsgrundlage angesehen (herrschende Meinung). Mit den 2021 veröffentlichten neuen Standardvertragsklauseln können sich US-Unternehmen verpflichten, die Rechte und die personenbezogenen Daten von EU-Bürgern zu schützen. Auch Google hat darauf reagiert und die neuen Standardvertragsklauseln in die eigenen AGB aufgenommen. Dies schafft aber eine zunehmend komplexe Situation und verunsichert sehr viele Unternehmen. Aber wir sehen zumindest Licht am Ende des Tunnels: Mit dem „EU-US Data Privacy Framework“ soll der Datenschutz von EU-Bürger:innen in den USA verbessert werden, insbesondere wenn personenbezogene Nutzerdaten von der EU in die USA übertragen werden. Meiner Schätzung zufolge könnte dies nach dem Treffen der G7-Datenschutzaufsichtsbehörden, welches im Juni 23 in Japan stattfindet, der Fall sein. Somit hätten wir dann einen Nachfolger des US-Privacy-Shields und auch eine Rechtsgrundlage für den Datenexport in die USA.

Jetzt stellt sich natürlich die Frage, ob du bis zum Inkrafttreten des neuen Frameworks überhaupt GA4 verwenden darfst? Schon einmal zur Entwarnung: Alle Webseitenbetreiber:innen können weiterhin Tracking-Tools wie Google Analytics 4 verwenden, auch wenn diese kontrovers diskutiert werden. Andernfalls würde es bedeuten, dass du im Internet überhaupt keine US-Dienste mehr nutzen darfst, wie Google Maps oder Google Ads. Es ist jedoch unabdingbar, dass du als Webseitenbetreiber:in die von mir bereits erwähnten Maßnahmen bzw. die noch folgenden Maßnahmen umsetzen solltest, um dem Datenschutz im Rahmen der Verwendung von GA4 zu genügen.

4. Aktualisierung der Datenschutzerklärung

Ein weiterer Schritt ist natürlich die Aktualisierung der Datenschutzerklärung auf deiner Webseite. Du bist verpflichtet deine User:innen über die Verwendung des Tracking-Tools zu informieren. Eine Datenschutzerklärung – auch der Passus für Google Analytics hat einige Mindestanforderungen. Diese sehen wie folgt aus:

1. Transparenz: Die Datenschutzerklärung muss klar, verständlich und leicht zugänglich sein. Sie sollte alle relevanten Informationen über die Verarbeitung personenbezogener Daten durch die Organisation enthalten.
2. Identität und Kontaktdaten des oder der Verantwortlichen: Die Datenschutzerklärung muss die Identität und die Kontaktdaten des für die Datenverarbeitung Verantwortlichen enthalten. Dies kann beispielsweise der Name der Organisation, ihre Adresse und ihre Kontaktdaten sein.
3. Zwecke und Rechtsgrundlagen der Datenverarbeitung: Die Datenschutzerklärung muss die Zwecke und die Rechtsgrundlagen für die Verarbeitung personenbezogener Daten angeben. Das bedeutet, dass du deutlich machen musst, warum und auf welcher rechtlichen Grundlage personenbezogene Daten verarbeitet werden.
4. Kategorien von personenbezogenen Daten: Die Datenschutzerklärung muss die Kategorien von personenbezogenen Daten angeben, die verarbeitet werden. Dies können beispielsweise Namen, Kontaktdaten, Zahlungsinformationen oder andere Arten von personenbezogenen Daten sein.
5. Empfänger von personenbezogenen Daten: Die Datenschutzerklärung muss angeben, ob personenbezogene Daten an Dritte übermittelt werden und gegebenenfalls an wenn, zum Beispiel an Dienstleister oder andere Empfänger.
6. Übermittlung von personenbezogenen Daten in Drittländer: Wenn personenbezogene Daten in Länder außerhalb der Europäischen Union (EU) oder des Europäischen Wirtschaftsraums (EWR) übermittelt werden, muss dies in der Datenschutzerklärung angegeben werden und gegebenenfalls auf geeignete Schutzmaßnahmen verwiesen werden.
7. Speicherdauer: Die Datenschutzerklärung muss die Dauer angeben, für die personenbezogene Daten gespeichert werden oder die Kriterien, die verwendet werden, um die Speicherdauer zu bestimmen.
8. Rechte der betroffenen Personen: Die Datenschutzerklärung muss auf die Rechte hinweisen, die betroffene Personen gemäß der DSGVO haben, wie zum Beispiel das Recht auf Auskunft, Berichtigung, Löschung oder Widerspruch gegen die Verarbeitung ihrer personenbezogenen Daten.
9. Widerruf von Einwilligungen: Falls die Organisation personenbezogene Daten aufgrund einer Einwilligung verarbeitet, muss die Datenschutzerklärung darauf hinweisen, dass Einwilligungen jederzeit widerrufen werden können.

Deine Datenschutzerklärung für Google Analytics sollte unbedingt eine Erklärung beinhalten, dass ein AV-Vertrag mit Google Ireland Ltd. abgeschlossen worden ist und dass – wie oben beschrieben – die IP-Adresse anonymisiert ist und zwar nach dem anonymizeIp Verfahren. Ein Beispiel für den Passus für die Verwendung von Google Analytics findest du in unserer Datenschutzerklärung.

121-Stunden Online-Marketing Newsletter:
Keine Google-Analytics- und Online-Marketing-News mehr verpassen!

• Aus 500 Quellen die besten Artikel übersichtlich zusammengefasst.
• Wir berichten regelmäßig über die wichtigsten Branchen-Events und aktuelle Seminare.
• Bereits mehr als 10.000 Online Marketers verfolgen mit uns die Branche.

5. Opt-out Möglichkeit

Wie du bereits weißt, musst du die Einwilligung der Nutzer:innen einholen, bevor du mit Google Analytics 4 arbeiten darfst. Du musst dennoch eine nachträgliche Möglichkeit anbieten, damit der oder die Nutzer:in seine bzw. ihre Einwilligung widerrufen kann. Hierfür gibt es diese drei Möglichkeiten:

• Über die Einstellungsmöglichkeit deines Consent-Management-Tools: Dein Consent-Tool bietet evtl. die Möglichkeit an, dass Nutzer:innen nach der Einwilligung diese widerrufen können. Dies sieht bei Usercentrics zum Beispiel so aus:
  
  In unserem Anwendungsfall können Nutzer:innen die Einstellung von Usercentrics aufrufen und ihre Einwilligung widerrufen. Diese Funktion steht allen Nutzer:innen zur Verfügung (sowohl Desktop, als auch mobile).

• Über ein Browser-Plugin: Ein Add-On, das für alle gängigen Browser verfügbar ist und die Datenerhebung durch Analytics unterbindet.
• Über das Opt-out-Cookie: Ein Opt-Out-Cookie, das den Nutzer:innen ermöglicht, durch einen einfachen Klick vom Analytics-Tracking ausgeschlossen zu werden. Letzteres wird insbesondere dann gefordert, wenn deine Webseite für mobile Endgeräte optimiert ist, da bei diesen das Add-On nicht funktioniert. Wie du das integrierst, ist bei Google beschrieben.

Solltest du ein Consent-Management-Tool besitzen, worüber alle Nutzer:innen die Einwilligung widerrufen können, musst du nicht noch zusätzlich einen Add-On und einen Opt-out-Cookie anbieten.

​​

6. Standardeinstellungen auf Kontoebene anpassen

Gemäß dem Grundsatz der Datenminimierung, erteilst du im Rahmen der Datenfreigabeeinstellungen am besten so wenig Freigaben wie möglich. Je weniger Freigaben du erteilst, desto weniger werden Google und der Webseitenbetreiber als gemeinsam Verantwortliche gemäß Art. 26 DSGVO betrachtet.

So änderst du die Standardeinstellungen:

1. Gehe auf „Verwaltung”
2. Navigiere nun zur Kontoebene und wähle „Kontoeinstellungen“ aus.
3. Entferne den Haken in der Checkbox „Google-Produkte & -Dienste“ und klicke auf „Speichern“.
4. Deaktiviere auch den Zugriff für “Technischer Support” & „Account Specialists“. Wenn du auf der sicheren Seite sein möchtest, entferne auch die Haken bei „Benchmarking“ und „Technischer Support“.

Alle Informationen zur Datenfreigabeeinstellungen findest du auf der Support Seite von Google.

7. Datenaufbewahrung in GA4

Lege bitte ebenfalls die Datenaufbewahrung in Google Analytics 4 fest. Mit der Einstellung kannst du bestimmen, wie lange Nutzer- und Ereignisdaten gespeichert werden sollen, bevor sie automatisch von den Analytics-Servern gelöscht werden. Diese Löschung gilt nach Google nur für Nutzer- und Ereignisdaten, die mit Cookies, Nutzerkennungen wie User-IDs und Werbe-IDs wie DoubleClick-Cookies, Werbe-IDs von Android (AAID oder Anzeigen-ID) oder IDFAs (Identifier for Advertisers) von Apple verknüpft sind. Dies kannst du direkt beim Google Support nachlesen. Deine ausgewählte Löschfrist hat keine Auswirkungen auf die meisten Standardberichte, da diese auf aggregierten Daten basieren.

Diese Einstellung für die Datenaufbewahrung findest du unter der Verwaltung. Dort wählst du im nächsten Schritt die gewünschte Property aus. Daraufhin klickst du auf “Dateneinstellungen”. Jetzt gelangst du zu der Funktion “Datenaufbewahrung”:

Google bietet für die Aufbewahrungsdauer verschiedene Zeiträume an, damit du die Speicherdauer der erhobenen Daten bestimmen kannst. Aktuell stehen dir folgende Optionen zur Verfügung:

• 2 Monate
• 14 Monate

Deine gewählte Einstellung wird dann durch Google aktiviert und die Aufbewahrungsfrist ist eingestellt. Die automatische Löschung der Daten wird dann einmal pro Monat durchgeführt, bei denen das Ende der gewählten Aufbewahrungsdauer erreicht ist. Wenn du eine Änderung an der Speicherdauer vornimmst, dann wird diese neu gewählte Dauer innerhalb von 24 Stunden durch Google Analytics übernommen.

Wichtiger Hinweis von Google: In diesen 24 Stunden kannst du diese Änderung wieder rückgängig machen und die Daten werden nicht gelöscht. Alle Informationen hierzu kannst du auch direkt auf der Support Seite von Google nachlesen.

Darüber hinaus besteht die Möglichkeit, dass du die Speicherungsdauer der Nutzer-ID bei jedem neuen Ereignis der jeweiligen Nutzer:innen zurücksetzten lassen kannst. Dadurch wird das Ablaufdatum wie folgt neu gesetzt: Aktuelle Zeit + die oben festgelegte Aufbewahrungsdauer.

Hast du die Datenspeicherung zum Beispiel auf 14 Monate festgelegt und der oder die Nutzer:in führt jeden Monat ein neues Ereignis durch, so wird seine bzw. ihre Nutzerkennung jeden Monat aktualisiert und die gewählte Ablaufdauer von 14 Monaten wird nicht erreicht. Führen Nutzer:innen keine neue Sitzung durch, werden ihre Daten nach Ablauf der 14 Monate gelöscht.

Nutzt du diese Option nicht, werden die Daten, die mit der Nutzer-ID verknüpft sind, automatisch nach Ablauf der gewählten Aufbewahrungsdauer gelöscht.

Tipp: Server Side Tagging

Außerdem empfehle ich dir das sogenannte Server Side Tagging. Mit dem Server Side Tagging kannst du den Datenschutz und die Datenqualität wahren und optimieren. Im traditionellen Ansatz des clientseitigen Taggings, wie es bei den meisten Analytics- und Marketing-Tracking-Tools üblich ist, werden Tracking-Tags im Browser oder auf dem Gerät deiner Nutzer:innen ausgeführt. Das bedeutet, dass Daten über die Nutzer:innen, einschließlich ihrer Aktivitäten und Verhalten, auf dem Gerät der jeweiligen Nutzer:innen verarbeitet werden.

Im Gegensatz dazu erfolgt beim serverseitigen Tagging die Ausführung von Tracking-Tags auf deinem Web Server, bevor die Daten an den Analytics- oder Marketing-Server gesendet werden. Der Server deiner Webseite verarbeitet die Daten und sendet dann nur die erforderlichen aggregierten oder anonymisierten Daten an den Analytics- oder Marketing-Dienst (siehe Schaubild).

Du hast somit die Möglichkeit, dass du die erhobenen Daten bearbeiteten bzw. anonymisieren kannst, bevor diese an den Server von Google weitergeleitet werden. Alles weitere zum Server Side Tagging und wie du es integrierst, erfährst du in dem Beitrag von unserer Referentin Michaela Linhart.

Fazit

Du möchtest jetzt sicher wissen: Kann oder sollte ich GA4 verwenden oder nicht? Dies hängt natürlich von deiner Zielsetzung ab und ob du auf Google Analytics angewiesen bist. Wir haben gelernt, dass es keine eindeutige Aussage gibt, ob wir unter den aktuellen Umständen Google Analytics 4 wirklich komplett datenschutzkonform verwenden dürfen. Wenn du GA4 trotz der aktuellen Rechtslage einsetzen möchtest, empfehle ich dir die oben genannten Maßnahmen, damit du alle besonderen Schutzvorkehrungen für die Verwendung von GA4 treffen kannst. Noch einmal zusammengefasst wären das die folgenden Maßnahmen:

• Die Einwilligung deiner Webseitenesucher:innen mit Hilfe eines Consent Management Systems einholen. Hier ist der große Vorteil, dass du eine dokumentierte Einwilligung bekommst und die meisten Systeme haben ebenfalls einen Analyse-Bereich, wo du u.a. die Opt-in Quote einsehen kannst.
• Vertrag zur Auftragsverarbeitung mit Google abschließen: Der AV-Vertrag mit Google ist die Grundlage für deine Arbeit mit Google Analytics 4. Beachte bitte auch, dass es hierzu in unregelmäßigen Abständen Aktualisierungen gibt, welche du ebenfalls akzeptieren solltest – natürlich nach einer Überprüfung mit deiner Rechts- bzw. Datenschutzabteilung.
• Beschäftige dich mit der Rechtsgrundlage für den Datentransport in die USA. Wie wir bereits geklärt haben, wird es höchstwahrscheinlich bald einen Nachfolger des US-Privacy-Shields geben. Solange solltest du auf jeden Fall auf die Standardvertragsklauseln verweisen.
• Aktualisiere deine Datenschutzerklärung: Der Einsatz von Google Analytics 4 sollte in deiner Datenschutzerklärung immer korrekt angepasst sein. Es haben sich nämlich höchstwahrscheinlich die Datenaufbewahrungsdauern geändert und du musst auch nicht mehr unbedingt alle Opt-out-Möglichkeiten anbieten, falls du ein Consent Management System hast.
• Opt-out Möglichkeit anbieten: Wir haben drei Möglichkeiten kennengelernt und falls dein Consent Management System keine nachträgliche Möglichkeit anbietet, wo du deine Consent Einstellung anpassen kannst, solltest du auf jeden Fall den sog. Opt-out-Cookie sowie das Add-on hinterlegen.
• Standardeinstellungen auf Kontoebene anpassen: Deaktiviere ebenfalls alle Freigabeeinstellungen in GA4.
• Datenaufbewahrung in GA4 festlegen: In den GA4-Properties musst du festlegen, wie lange die Daten abgespeichert werden sollen, bevor diese gelöscht werden. Falls du dir unsicher bist, welcher Zeitraum für dich der optimale ist, kannst du deine Customer Journey anschauen. Je nachdem wie lange es dauert, bis eine oder ein Interessent:in eine Conversion auslöst, kannst du eine entsprechende Dauer begründen. Zum Beispiel: Im Schnitt dauert es bei dir 8 Monate, bis ein Erstkontakt auf deiner Seite zu einem Kauf eines Produktes konvertiert ist. Somit kannst du ganz gut begründen, warum du dich dann für eine Dauer von 14 Monaten entscheidest und nicht für 2 Monate.

Außerdem empfehle ich dir das sogenannte Server Side Tagging. Damit kannst du nämlich den Datenschutz und die Datenqualität wahren und optimieren und die Gefahr eines Datenschutzverstoßes erheblich minimieren.

Meine Meinung: Wir bei der 121WATT nutzen nach wie vor Google Analytics und ich kann mir auch nicht vorstellen, ohne Google Analytics zu arbeiten. Wenn das auch dein Weg ist, ist es natürlich wichtig, dass du dich mit den Vor- und Nachteilen beschäftigst und alle Maßnahmen umsetzen solltest, die bei der Verwendung von Google Analytics nötig sind.

Außerdem werden wir alle höchstwahrscheinlich Mitte des Jahres eine Rechtsgrundlage (EU-US Data Privacy Framework) erhalten, womit wir wieder Tools aus den USA rechtmäßig verwenden dürfen und welche auch den Datenexport in die USA rechtfertigen. Solltest du neben den Maßnahmen auch noch Google Analytics mit dem Server Side Tagging eingerichtet haben, hast du alles mögliche getan, damit du Datenschutz in Verbindung mit Google Analytics wahren kannst. Aber wie gesagt, aktuell gibt es keine 100%ige Rechtssicherheit.

Mehr zum Thema Datenschutz und Online-Marketing-Recht erfährst du in unserem Seminar mit Dr. Martin Schirmbacher:

Stand: April 2023