Web Analytics Auslese Q1 2022
Die Webanalyse ist dank zahlreicher Veränderungen bei Google und in der Gesetzgebung gerade ein besonders dynamischer Teil des Online Marketings – um es mal positiv auszudrücken! Damit ihr euch auch hier schnell und unkompliziert auf den aktuellsten Stand bringen könnt, wird es ab jetzt einmal im Quartal zusätzlich eine Web Analytics Auslese von uns geben. Los geht es mit der Zusammenfassung der Ereignisse aus dem ersten Quartal 2022.
Anfang Januar hat die Österreichische Datenschutzbehörde (DSB) den Einsatz von Google Analytics (GA) in einem konkreten Fall als Verstoß gegen die Datenschutz-Grundverordnung (DSGVO) gewertet. Das Problem: Tracking ohne vorherige Zustimmung der NutzerInnen (Stichwort Cookie Banner) und fehlerhafte IP-Anonymisierung (Stichwort anonymizeIP). Soweit die offensichtliche und vermeidbare Nichtbeachtung von Datenschutzrichtlinien (mehr dazu weiter unten). Das eigentliche Problem geht aber tiefer, nämlich die Datenübermittlung von personenbezogenen Daten aus der EU an die USA. Letztere schützen die Daten nicht ausreichend im Sinne der DSGVO (Schrems II-Urteil), weshalb für die USA ein Exportverbot gilt. Anders ausgedrückt: Die Google Analytics Daten dürfen – sofern sie personenbezogene Daten enthalten – nicht an Server in den USA gesendet werden. Das passiert faktisch aber mit jedem Hit an www.google-analytics.com/r/collect?
Kurz darauf schloss sich die Französische Datenschutzbehörde (CNIL) der Sichtweise der DSB an – und erklärte den Einsatz von Google Analytics in einem weiteren konkreten Fall ebenfalls für nicht DSGVO-konform. Der Grund erneut: das Senden der Daten an die USA, wo sie ungenügend geschützt sind.
Google Analytics: nicht datenschutzkonform einsetzbar?
Das ist die große Frage, die im Raum steht und derzeit nicht abschließend beantwortet werden kann. Die beiden Beschlüsse durch die DSB und CNIL stehen nämlich im Kontext von insgesamt 101 Beschwerden gegen Website-BetreiberInnen durch die Nichtregierungsorganisation NOYB (none of your business) und sind damit erst der Anfang.
Wenn es um die Datenübermittlung in die USA geht, gibt es beim Einsatz von Google Analytics zwei Möglichkeiten zu reagieren: einen Umstieg auf ein europäisches und damit DSGVO-konformes Tool planen (z. B. Matomo) oder die Sache zunächst aussitzen und auf eine Reaktion seitens Google und der Politik warten. Letzteres scheint aktuell die vorherrschende Strategie zu sein. Und wenn man den Gedanken der Datenübermittlung mal zu Ende denkt, dann hat diese Strategie auch ihre Daseinsberechtigung. Denn es geht gar nicht nur um Google Analytics, sondern um eine Neuregelung des Datentransfers zwischen EU und USA, sozusagen ein neues Privacy Shield 2.0. Das Problem betrifft nämlich sämtliche Plattformen und Tracking Pixel mit Unternehmenssitz in den USA, also natürlich auch Google Ads und Facebook, sowie viele weitere Internetdienste.
People increasingly rely on data flows for everything from online shopping, travel, and shipping, to office collaboration, customer management, and security operations. For these to continue, the European Union and the U.S. government must soon agree on a new data framework.
Google, 4. Februar 2022
Google nahm damit zunächst eine bequeme und abwartende Haltung ein. In der Zwischenzeit hat Google zumindest neue Datenschutzmaßnahmen für Google Analytics 4 (GA4) angekündigt – im Kern die Möglichkeit, GA4 so zu konfigurieren, dass IP-Adressen ausschließlich auf EU-Servern verarbeitet werden. Das allein wird vermutlich nicht ausreichen, um Google Analytics auch langfristig DSGVO-konform einzusetzen.
Newsletter abonnieren
1x im Monat die aktuellsten Infos kompakt zusammengefasst!
Zeit für eine Tasse Tee und das Thema Datenschutz
Nach dem Treffen von Joe Biden und Ursula von der Leyen am 25. März gibt es zumindest ein „agreement in principle on a new framework for transatlantic data flows“. Hinsichtlich einer politischen Entscheidung bleibt leider aktuell nichts weiter zu tun als abzuwarten und Tee zu trinken. Dennoch ist jetzt der richtige Zeitpunkt, um das Thema Datenschutz auf der eigenen Website mal wieder unter die Lupe zu nehmen und ggf. nachzubessern.
Es reicht nicht, ein im besten Fall optisch ansprechendes Cookie Banner auf der eigenen Website zu haben – die Auswahl des Nutzers muss auch technisch korrekt ins Tracking eingebunden werden. Das ist die wohl häufigste Fehlerquelle, die uns aktuell begegnet. Und diese Einbindung lässt sich für jede Website ganz einfach im Network Tab der Console auf Korrektheit überprüfen (natürlich auch von jedem Anwalt).
Deshalb gilt beim Einsatz von Google Analytics: Eine Interaktion mit der Website sollte erst nach Auswahl im Cookie Banner möglich sein, da laut TTDSG ohne Nutzerzustimmung keine nicht notwendigen Cookies gesetzt oder Tracking Pixel gefeuert werden dürfen.
Disclaimer: Der folgende Check bietet eine einfache Möglichkeit, die Grundfunktionalität des eigenen Consent Management Tools zu testen, sprich: Tut es, was es soll. Der Test ersetzt keine Rechtsberatung und ist hinsichtlich aller Auswahlmöglichkeiten des Nutzers sowie weiterer Dienste (z. B. Google Ads, Facebook, etc.) nicht erschöpfend.
Check im Network Tab der Console
- Gast Browser Fenster öffnen.
- Rechtsklick, „Untersuchen“, Network Tab auswählen und im Filter „collect“ eingeben, um nur die GA Hits zu sehen.
- Eigene Website aufrufen.
- Vor der Auswahl im Cookie Banner sollten keine Hits herausgehen, selbiges gilt für die Auswahl essentieller Cookies. Außerdem dürfen in beiden Fällen keine GA Cookies gesetzt werden.
IP-Anonymisierung
Wenn ihr Universal Analytics (UA) im Einsatz habt, könnt ihr im Google Tag Manager in der Google Analytics Settings Variable unter „Fields to set“ ganz einfach „anonymizeIP: true“ setzen.
Falls ihr den UA Tracking Code direkt im Quelltext der Website implementiert habt, müsst ihr zusätzlich diese Zeile im Code einbinden (mehr Infos dazu findet ihr hier):
Bei GA4 ist die IP-Anonymisierung übrigens Standard und ihr braucht nichts weiter zu tun.
Datenschutzerklärung
Die Datenschutzerklärung auf eurer Website sollte vollständig sein und alle Dienste enthalten, für die Tracking Pixel geladen und Cookies gesetzt werden. Die NutzerInnen sollten möglichst vollumfänglich über die Verarbeitung ihrer Daten aufgeklärt werden (Stichwort informed consent) – was im Rahmen eines Cookie Banners schwierig ist.
Vertrag zur Datenverarbeitung mit Google
Natürlich solltet ihr auch auf elektronischem Wege dem Auftrag zur Datenverarbeitung zugestimmt haben. Unter „Verwaltung“, „Kontoeinstellungen“ und „Datenverarbeitungsbedingungen“ könnt ihr prüfen, ob und wann ihr dem Zusatz zur Datenverarbeitung zugestimmt habt, das gilt für UA und GA4.
Und wenn wir schon beim Thema sind …
Let’s change zu GA4
Da wir zu dem Thema schon einen eigenen Blogartikel verfasst haben, hier noch mal das Wichtigste in aller Kürze. Zum 1. Juli 2023 stellt Google die Verarbeitung von Hits an die kostenfreie Variante für Universal Analytics ein (kurz darauf folgt aber auch UA 360). Damit ist genug Zeit, um geplant – bitte nicht hektisch über’n Ecktisch – zu GA4 umzuziehen, falls ihr nicht ohnehin schon GA4 parallel im Einsatz habt. Dabei solltet ihr euch über die wesentlichen Unterschiede zwischen UA und GA4 im Klaren sein.
Überlegungen, die jetzt sinnvoll sind
- Auseinandersetzung mit serverseitigem Tagging im Google Tag Manager: Allerdings landen die Daten dann aktuell noch in der Google Cloud Platform und damit letzten Endes immer noch bei Google.
- Google Analytics Alternativen in Betracht ziehen: Matomo bietet die Möglichkeit, die Daten auf einem deutschen Server (entweder bei Matomo oder auf einem eigenen Server) zu speichern.
- GA4 aufsetzen (falls noch nicht geschehen) und mögliche Tracking Lücken zwischen UA und GA4 schließen:
- Du willst wissen, wie du GA4 richtig einrichtest? Dann schau mal hier.
- So richtest du Events für GA4 richtig ein.
- So richtest du Conversions für GA4 richtig ein.
Bei weiteren Fragen zu GA4, dem Umgang mit Daten sowie der Migration kannst du dich gerne an uns wenden!
