Es wurde leider kein Ergebnis gefunden. Bitte versuchen Sie es erneut.

keine Ergebnisse
Affiliate-Marketing
Afterbuy
Amazon
BE Amazon BE
Apotheken-Online-Shop
Apps (Datenschutzerklärung)
Argato
Avocadostore
Azoo
BILD Marktplatz
Booklooker
Branchbob
Brick Owl
BrickLink
Cardmarket
Cdiscount.com
Check24
Chrono24
Coaching
commerce:seo
Conrad
Consulting
CosmoShop
Decathlon
Delcampe
Dienstleistungen
Discogs
Dropshipping
Dropshipping-Marktplatz
eBay
BE eBay BE
ecwid
eGun
Einkaufsbedingungen (B2B)
ePages
Etsy
Etsy (digitale Inhalte)
Facebook
Facebook (Warenverkauf)
Fairmondo
Fernunterricht
For-vegans
Fotografie und Bildbearbeitung
Freizeitkurse
Galaxus
Galeria
Gambio
Gambio-Cloud
Gastro-Lieferservice (Restaurants)
German Market
Germanized for WooCommerce
GTC for Shopify
GTC-Kaufland.de
Handmade at Amazon
home24
Homepage ohne Verkauf
CH Homepage ohne Verkauf CH
Hood
Hornbach
Hosting
Hosting B2B
Individuelle Kundenkommunikation (B2B)
Individuelle Kundenkommunikation (B2C)
Instagram
Instagram (Warenverkauf)
Jimdo
Joomla
JTL
Kasuwa
Kaufland
Kaufland - alle Marktplätze
Kaufland DE,CZ,SK
Kleinanzeigen.de
Kleinanzeigen.de (Vermietung)
Leroy Merlin
Lightspeed
LinkedIn
Lizenzo
Magento
Manomano
Mediamarkt
MeinOnlineLager
metro.de
modified eCommerce-Shops
Online-Shop
DE Online-Shop DE
BE Online-Shop BE
CH Online-Shop CH
Online-Shop (digitale Inhalte)
Online-Shop - B2B
DE Online-Shop - B2B DE
OnlyFans
OpenCart
Otto
Oxid-Shops
Palundu
Pinterest
plentymarkets
Praktiker
Prestashop
Printkataloge
Productswithlove
RAIDBOXES
Restposten
Restposten24
Ricardo.ch
Selbstbedienungsläden
Seminare
SHOMUGO
Shop - Online-Kurse (live oder on demand)
Shop - Verkauf von eigener Software
Shop - Verkauf von fremder Software
Shop - Vermietung von Waren
Shop Apotheke
Shopify
Shopware
Shpock
Shöpping
Smartvie
Snapchat
Spandooly
Squarespace
Stationärer Handel
STRATO
Teilehaber.de
Threads
TikTok
Tumblr
Twitch
TYPO3
Verkauf von Veranstaltungstickets
Vermietung Ferienwohnungen
Vermietung von Shops (inkl. Hosting)
VersaCommerce
VirtueMart
Voelkner
webador
Webdesign
Webflow
Webshop Factory
Werky
WhatsApp Business
WhatsApp Business (Warenverkauf)
Wix
WooCommerce
WordPress
Wordpress (Warenverkauf)
wpShopGermany
X (ehemals Twitter)
Xanario
XING
xt:Commerce
XXXLutz
YouTube
zalando
Zen-Cart
ZVAB

Google Analytics 4 möglichst datenschutzkonform nutzen: Handlungsanleitung der IT-Recht Kanzlei + neue Datenschutzklauseln

18.08.2021, 11:58 Uhr | Lesezeit: 14 min
von RA Dr. Daniel S. Huber
Google Analytics 4 möglichst datenschutzkonform nutzen: Handlungsanleitung der IT-Recht Kanzlei + neue Datenschutzklauseln

Seit Herbst 2020 kann Google Analytics 4 – Weiterentwicklung und Nachfolger von Google Universal Analytics – zumindest in Form von Beta-Versionen zur Analyse von Website- und App-Traffic genutzt werden. Google Analytics 4 soll es im Vergleich zum Vorgänger – jedenfalls perspektivisch – auch erleichtern, die Nutzerdaten in datenschutzkonformer Weise zu erfassen und zu analysieren. Wir haben uns die fortschreitende Entwicklung von Google Analytics 4 zum Anlass genommen, die Tracking-Möglichkeiten, Funktionen und Einstellungsoptionen datenschutzrechtlich näher zu beleuchten und eine Handlungsanleitung für die möglichst datenschutzkonforme Nutzung des Analytics-Nachfolgers zu erstellen.

Inhaltsverzeichnis

I. Erhebung und Verarbeitung von personenbezogenen Daten

Bei der Nutzung von Google Analytics 4 werden –unabhängig von der konkreten Konfiguration und den vorgenommenen Einstellungen – stets auch solche Informationen erhoben und verarbeitet, die aus der Perspektive der EU-Datenschutz-Grundverordnung („
DSGVO) als personenbezogene Daten anzusehen sind. Die Verarbeitung dieser Informationen unterfällt somit den europäischen Datenschutzregelungen, sodass die entsprechenden datenschutzrechtlichen Vorgaben einzuhalten sind.

Zwar sieht Google Analytics 4 standardmäßig eine automatische Anonymisierung der IP-Adressen der getrackten Website- und App-Nutzer schon bei der Erfassung der Nutzerdaten durch Google vor. Auch ist diese Anonymisierung im Unterschied zu Google Universal Analytics nicht bloß optional, sondern zwingend vorgegeben, und kann durch die Nutzer von Google Analytics 4 auch nicht ausgeschaltet werden.

Allerdings ist dadurch eine Identifizierung der betreffenden Website-/App-Nutzer nicht – jedenfalls nicht mit Sicherheit – vollständig ausgeschlossen.

Denn aus der Möglichkeit der Verknüpfung von sämtlichen Informationen, die via Google Analytics 4 zu einem bestimmten Pseudonym gesammelt werden, lassen sich möglicherweise Rückschlüsse auf die Identität der einzelnen Website-/App-Nutzer und deren Verhalten auf derselben Website bzw. App ziehen, und einzelne Website-/App-Nutzer können womöglich auch auf anderen Websites und in anderen Apps wiedererkannt werden.

Dies gilt vor allem für Google, den Anbieter von Google Analytics 4, der aufgrund von Informationen, die durch andere Nutzer dieses Tools und von anderen Google-Diensten an Google übermittelt werden, grundsätzlich hierzu in der Lage sein dürfte.

Wie die von Google bereitgestellten datenschutzrechtlichen Informationen und Vorkehrungen zu Google Analytics 4 zeigen, geht zudem auch Google selbst davon aus, dass bei der Nutzung von Google Analytics 4 jedenfalls auch personenbezogene Daten i.S.d. europäischen Datenschutzrechts verarbeitet werden, und somit die diesbezüglichen datenschutzrechtlichen Vorgaben zu beachten sind.

Banner Unlimited Paket

II. Keine völlig risikofreie Möglichkeit der datenschutzkonformen Nutzung von Google Analytics 4

Die Nutzung von Google Analytics 4 ist zum gegenwärtigen Zeitpunkt wegen gleich zwei noch ungeklärter datenschutzrechtlicher Probleme, die nicht nur mit Google Analytics 4 zusammenhängen, nicht ohne datenschutzrechtliche Risiken, und damit nicht vollkommen rechtssicher möglich.

Vielmehr ist aus Sicht der – insbesondere auch deutschen – Datenschutzbehörden eine vollkommen datenschutzkonforme Nutzung von Google Analytics 4 unabhängig von den einzelnen bei Google Analytics 4 vorgenommenen Konfigurations- und Einstellungsmöglichkeiten nicht möglich.

1.) Problematische Datenübermittlungen in die USA

Dies liegt zum einen daran, dass bei der Nutzung von Google Analytics 4 nach den bekannten Informationen Daten der Website-/App-Nutzer stets auch an die Google LLC mit Sitz in den USA, und damit – aus Sicht des EU-Datenschutzrechts – in einen nach Maßstab der DSGVO unsicheren Drittstaat außerhalb der EU/ des EWR übermittelt werden.

Datenübermittlungen in solche Drittstaaten dürfen nach den Vorgaben des EU-Datenschutzrechts nur erfolgen, wenn bestimmte Maßnahmen ergriffen werden, die für ein angemessenes, mit dem EU-Standard vergleichbares Datenschutzniveau sowohl bei der Übermittlung als auch bei der weiteren Verarbeitung der Daten außerhalb der EU sorgen.

Es ist unklar, ob gegenwärtig überhaupt eine Möglichkeit besteht, diese Vorgaben bei der Nutzung von Diensten wie Google Analytics 4 zu erfüllen, etwa durch den Abschluss sog. EU-Standardvertragsklauseln und der Ergreifung zusätzlicher Schutzmaßnahmen.

Zwar geht Google selbst davon aus, dass dies möglich ist. Die europäischen und auch die deutschen Datenschutzbehörden sehen dies allerdings anders, sodass Nutzer von Google Analytics 4 dem Risiko ausgesetzt sind, durch die Nutzung des Tools gegen das Datenschutzrecht zu verstoßen und Datenschutzverletzungen zu begehen.

Dies könnte zu Sanktionen durch Behörden führen, wie etwa zum Verbot der Datenübermittlungen an Google, gegenwärtig gleichzusetzen mit einem Verbot der Nutzung von Google Analytics 4, und zu empfindlichen Geldbußen.

2.) Mögliche gemeinsame Verantwortlichkeit von Google und Google Analytics 4-Nutzern für die Nutzerdaten

Zum anderen besteht nach Ansicht der deutschen Datenschutzbehörden eine sog. gemeinsame Verantwortlichkeit von Google und den einzelnen Nutzern von Google Analytics 4 hinsichtlich der Verarbeitung der getrackten und analysierten Nutzerdaten.

Eine gemeinsame Verantwortlichkeit bedeutet, dass die datenschutzrechtlichen Verantwortlichkeiten zwischen den gemeinsamen Verantwortlichen, hier also Google und dem einzelnen Google Analytics 4-Nutzer, in einer dokumentierten Vereinbarung geregelt werden muss, die nach Art. 26 DSGVO einen bestimmten Inhalt hat.

Da Google für die Nutzung von Google Analytics 4 eine solche Vereinbarung standardmäßig nicht vorsieht, und eine solche Vereinbarung nach derzeitigem Kenntnisstand auch nicht im Einzelfall akzeptiert, wenn sie von den Nutzern vorgelegt würde, kann Google Analytics 4 auch aus diesem Grund – jedenfalls nach Ansicht von europäischen Datenschutzbehörden – gegenwärtig nicht in datenschutzkonformer Weise genutzt werden.

Den von Google für die Nutzung von Google Analytics 4 stattdessen vorgesehenen sog. Auftragsverarbeitungsvertrag, die ein Google Analytics 4-Nutzer bei der Einrichtung von Google Analytics 4 mit Google abschließen muss, ist hierfür nicht ausreichend.
Vor dem Hintergrund dieser beiden Datenschutzprobleme ist eine sichere datenschutzkonforme Nutzung von Google Analytics 4 gegenwärtig nicht möglich.

Die IT-Recht Kanzlei weist daher ausdrücklich darauf hin, dass auch bei Einhaltung sämtlicher, in unserer nachfolgenden Anleitung enthaltenen Hinweise ein Risiko besteht, dass die Nutzung von Google Analytics 4 gegen geltendes europäisches Datenschutzrecht verstößt und es zu Sanktionen durch Datenschutzbehörden kommen könnte.

Aktuell untersuchen deutsche Datenschutzbehörden intensiv und umfassend die Rechtmäßigkeit des Einsatzes von Webtracking- und -analyse-Tools.

III. Handlungsanleitung für eine möglichst datenschutzkonforme Einbindung von Google Analytics 4

IT-Recht Kanzlei

Exklusiv-Inhalt für Mandanten

Noch kein Mandant?

Ihre Vorteile im Überblick
  • Wissensvorsprung
    Zugriff auf exklusive Beiträge, Muster und Leitfäden
  • Schutz vor Abmahnungen
    Professionelle Rechtstexte – ständig aktualisiert
  • Monatlich kündbar
    Schutzpakete mit flexibler Laufzeit
Laptop
Ab
5,90 €
mtl.
Jetzt Mandant werden

V. Fazit

Der Umstieg von Google Universal Analytics auf Google Analytics 4 (aktuell noch in der Beta-Version) ist– jedenfalls aus datenschutzrechtlicher Sicht – zumindest zum gegenwärtigen Zeitpunkt für die Nutzer mit keinen größeren Veränderungen verbunden. Dies gilt unabhängig davon, ob bei der Nutzung von Google Analytics 4 Cookies eingesetzt werden oder im Rahmen des sog. Einwilligungsmodus ein cookieloser Betrieb erfolgt.

Auch wenn aus datenschutzrechtlicher Sicht aus Datensparsamkeitsgründen die cookielose GA4-Variante zu bevorzugen ist, bedarf es nach Einschätzung der IT-Recht Kanzlei weiterhin der Einwilligung der Website-/App-Nutzer, die getrackt und analysiert werden sollen, um wenigstens eine weitestgehend datenschutzkonforme Nutzung von Google Analytics 4 zu ermöglichen.

Allerdings erfolgt die Nutzung des Tools selbst dann nicht ohne jedes datenschutzrechtliche Risiko, da sich die allgemeinen datenschutzrechtlichen Probleme im Zusammenhang mit der Rechtmäßigkeit der Weitergabe von personenbezogenen Daten an Google USA und der etwaigen gemeinsamen Verantwortlichkeit von Seitenbetreibern und Google aktuell leider nicht mit Rechtssicherheit lösen lassen.

Wer trotz dieser Risiken Google Analytics 4 für das Tracking und die Analyse seiner Website oder App-Nutzer zumindest weitestmöglich im Einklang mit dem Datenschutzrecht einsetzen möchte, sollte die vorstehende Handlungsanleitung beachten, vor allem auch die Datenschutzhinweise der betreffenden Website/App um entsprechende Abschnitte ergänzen.

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.

Link kopieren

Als PDF exportieren

Drucken
|

Per E-Mail verschicken

Zum Facebook-Account der Kanzlei

Zum Instagram-Account der Kanzlei

0 Kommentare

weitere News

Österreichische Datenschutzbehörde: Die Verwendung von Google Analytics ist unzulässig
(31.05.2022, 16:13 Uhr)
Österreichische Datenschutzbehörde: Die Verwendung von Google Analytics ist unzulässig
Österreichische Datenschutzbehörde: Nutzung von Google Analytics ist datenschutzwidrig
(14.01.2022, 11:49 Uhr)
Österreichische Datenschutzbehörde: Nutzung von Google Analytics ist datenschutzwidrig
Zahlreiche Anhörungsverfahren wegen Google Analytics: Rechtsfehlerhafte Verwendung im Visier der Datenschutzbehörden
(10.08.2020, 13:59 Uhr)
Zahlreiche Anhörungsverfahren wegen Google Analytics: Rechtsfehlerhafte Verwendung im Visier der Datenschutzbehörden
LfDI Rheinland-Pfalz: Google Analytics nur mit Einwilligung zulässig, Untersagungsanordnungen wurden bereits erlassen!
(08.04.2020, 09:16 Uhr)
LfDI Rheinland-Pfalz: Google Analytics nur mit Einwilligung zulässig, Untersagungsanordnungen wurden bereits erlassen!
Google Analytics ohne Cookies nutzen: Handlungsanleitung und Risikoanalyse
(25.10.2019, 08:24 Uhr)
Google Analytics ohne Cookies nutzen: Handlungsanleitung und Risikoanalyse
LG Dresden: Betrieb von Google Analytics ohne "anonymizeIP" ist datenschutzrechtswidrig
(04.07.2019, 11:54 Uhr)
LG Dresden: Betrieb von Google Analytics ohne "anonymizeIP" ist datenschutzrechtswidrig
Kommentar
verfassen
Ihre Meinung zu unserem Beitrag.
* mit Sternchen gekennzeichnete Felder sind Pflichtfelder
speichern

Vielen Dank für Ihren Kommentar

Wir werden diesen nach einer kurzen Prüfung
so schnell wie möglich freigeben.
Ihre IT-Recht Kanzlei
Vielen Dank!

Ihr Kommentar konnte nicht gespeichert werden!

Bitte versuchen Sie es zu einem späteren Zeitpunkt noch einmal.
Ihre IT-Recht Kanzlei
Vielen Dank!
© 2004-2024 · IT-Recht Kanzlei