Web Analytics Auslese Q2 2022
Was die Themen Google Analytics und Datenschutz angeht, könnte man deren Beziehung fast mit „Es ist kompliziert“ beschreiben: Auch im zweiten Quartal des Jahres hat der Datenschutz die Themenagenda im Bereich Web Analytics dominiert. Was ihr dazu jetzt wissen solltet, auch bezogen auf den Google Consent Mode, ob ein Umstieg auf Matomo die Lösung sein könnte und welche Neuigkeiten es noch gab, lest ihr in unserer aktuellen Web Analytics Auslese.
Google Analytics
Google Analytics und der Datenschutz: Italien zieht nach
Nach Österreich und Frankreich hat nun auch die italienische Datenschutzbehörde den Einsatz von Google Analytics in Europa für nicht zulässig erklärt. Auch diesmal wird dies mit dem Senden von personenbezogenen Daten in die USA begründet, denn dort sind die Daten nicht ausreichend im Sinne der DSGVO (Schrems II-Urteil) geschützt.
Ganz konkret geht es um die IP-Adressen der NutzerInnen. Zwar können diese in Google Analytics pseudo-anonymisiert werden – das letzte Oktett wird dann zu einer Null zusammengefasst – jedoch erfasst GA noch jede Menge weitere Daten, mit denen die IP-Adressen seitens Google in Zusammenhang gebracht werden können. Dementsprechend handelt es sich am Ende letztlich eben doch um Daten, die theoretisch einen Personenbezug möglich machen. Und mit eben diesem Argument hat Italien seine Entscheidung begründet:
The Italian SA reiterated that an IP address is a personal data and would not be anonymised even if it were truncated – given Google’s capabilities to enrich such data through additional information it holds.
gpdp.it
Matomo
Ist Matomo die Lösung?
Diese Frage stellen sich immer mehr unserer KundInnen. Wie so oft lautet die Antwort: Es kommt darauf an. Der Vorteil von Matomo liegt beim Speicherort der Daten. Je nach dem, wie die Plattform eingerichtet ist, liegen die Daten entweder auf dem eigenen Server oder auf Servern in der EU (Matomo Cloud). Je nach Traffic und Erweiterungen, die man dazu bucht, entstehen hierbei Kosten ab 19 Euro pro Monat. Dafür ist der Einsatz des Tools DSGVO-konform.
Jetzt kommt das Aber: Wer beim Thema Datenschutz konsequent sein möchte, dürfte dann aber auch weder einen Google Ads Tracking Code (insbesondere ist hier das dynamische Remarketing gemeint) noch einen Facebook Pixel auf der Seite implementiert haben. Denn sonst werden an dieser Stelle möglicherweise personenbezogene Daten an Unternehmen mit Sitz in den USA geschickt.
Newsletter abonnieren
1x im Monat die aktuellsten Infos kompakt zusammengefasst!
Und was sagt Google dazu?
In der Zwischenzeit versucht Google, mit dem Wechsel von Universal Analytics auf Google Analytics 4 (GA4) auch eine Zeitenwende in die Richtung einer Datenschutz-freundlicheren Verarbeitung von Informationen einzuleiten:
Bei der Datenerhebung in Google Analytics 4 werden keine IP-Adressen protokolliert oder gespeichert. In Analytics werden alle IP-Adressen gelöscht, die von Nutzern in der EU erhoben werden, bevor sie über EU-Domains und -Server aufgezeichnet werden.
Google
Das mag ein Anfang sein, wird aber sicherlich nicht ausreichen, um Google Analytics auch langfristig DSGVO-konform einzusetzen. Denn was nicht vergessen werden darf: Google Analytics übermittelt, wie schon erwähnt, viele verschiedene Informationen. Jede von diesen könnte in Kombination mit den anderen eventuell einen Personenbezug ermöglichen und damit letztlich wieder gegen die DSGVO verstoßen.
Consent Mode
Noch mehr Datenschutz: der Google Consent Mode
Es gibt ihn zwar schon länger, aber wir haben uns den Consent Mode für euch noch einmal genauer angeschaut und unsere Erkenntnisse hier für euch zusammengefasst. Vereinfacht ausgedrückt ermöglicht dieser, dass Google den Status der Zustimmungen aus den Consent Management Tools („Ja“ oder „Nein“) nutzen kann, um Conversions und Umsätze hochzurechnen und in Google Ads einzuspielen. So sollen statistisch plausible Daten zur Verfügung gestellt werden, die eine bessere Aussteuerung der Kampagnen ermöglichen. Google versucht, damit die wachsende Datenlücke zu füllen, die durch Consent Management Tools oder auch Intelligent Tracking Prevention entsteht.
Es gibt verschiedene Möglichkeiten, den Consent Mode einzubauen, u. a. im Google Tag Manager:
- Wird der Consent Mode nicht implementiert, so können nur die mittels Tracking erfassten Conversions oder auch „observed conversions“ an Google Ads übermittelt werden. Das führt zu einer Unterschätzung der tatsächlichen Performance, da diejenigen BesucherInnen, die dem Tracking im Cookie Banner nicht zugestimmt haben, nicht getrackt werden. Ihre Conversions werden folglich nicht erfasst und fehlen bei der Messung der Performance. Diese BesucherInnen generieren zwar Kosten, allerdings können keine Umsätze attribuiert werden.
- Der Consent Mode ist implementiert, allerdings sind die korrespondierenden Tags auf „fully blocked“ gesetzt. Wenn NutzerInnen keinen Consent geben, werden keine weiteren Datenpunkte gesammelt. Es werden also keine „cookieless pings“ an Google gesendet. Gegebenenfalls kann dennoch eine Modellierung stattfinden, sie hat in diesem Szenario aber weniger Signale zur Verfügung, was die Präzision beeinträchtigen kann. Trotz der Einschränkung in der Modellierung ist es laut Google dennoch besser, diese Form zu implementieren als gar keinen Consent Mode.
- Der Consent Mode ist implementiert und Google Tags sind auf „unblock tags“ eingestellt. Was bedeutet das? Die Consent-Entscheidung des Users wird respektiert, Google erhält aber „cookieless consent pings“ auf jeder Seite und einen „cookieless conversion ping“, wenn eine Conversion auftritt. Diese „cookieless pings“ sind notwendig, um eine Advertiser-spezifische Kalibrierung der Modellierung und damit die akkuratesten Ergebnisse zu erhalten. Sie werden laut Google allerdings nie dazu eingesetzt, um individuelle User über Websites oder Apps hinweg zu tracken, und auch nicht, um Remarketing-Listen oder Nutzerprofile zu erstellen.
Der zuletzt genannte Fall geht unserer Meinung nach in der aktuellen Datenschutzentwicklung einen Schritt zu weit, weshalb wir unseren KundInnen den Einbau des Consent Mode unter Berücksichtigung des Consent Status – also die Lösung unter Punkt 2 – empfehlen. Mehr zum Thema findet ihr auch in der Google-Analytics-Hilfe. Wie sooft: Eine Rechtsberatung können wir nicht geben. Wir raten, wie auch beim Einsatz des Google Tag Managers oder von Google Analytics, zur Konsultation der DatenschutzexpertInnen im eigenen Unternehmen. Am Ende ist es ein Abwägen: mehr Daten zur besseren Aussteuerung verfügbar machen vs. Datenschutz-konform handeln.
Google Analytics 4
Kardinalität in GA4
Während wir uns bei Testbestellungen weiterhin über den Debug-Mode freuen, der eine präzise Analyse der eigenen Interaktionen mit der Website ermöglicht, gibt es nach wie vor auch die ein oder andere Kinderkrankheit zu bemängeln. So hat im vergangenen Quartal das Thema Kardinalität in GA4 für Kopfschmerzen in der Branche gesorgt. Kurz zusammengefasst führt das Problem zur Zeile „Sonstiges“ in den Standardberichten und dazu, dass nicht mehr alle Daten im Bericht angezeigt werden. In der Google-Analytics-Hilfe wird das Problem folgendermaßen erklärt:
Betroffen sind allerdings „nur“ die Standard-Berichte. Eine einfache Lösung besteht also darin, zur explorativen Datenanalyse zu wechseln, wenn die Zeile „Sonstiges“ auftaucht. Und wer ohnehin schon in BigQuery unterwegs ist, für den gibt es ebenfalls die gute Nachricht, dass diese Software hiervon nicht betroffen ist.
Google Analytics oder Matomo? Die optimale Lösung gibt es nicht
Wie auch in dieser Auslese wieder deutlich wurde, ist das Thema Datenschutz beim Einsatz von Google Analytics weiterhin ein schwieriges Thema. Wenn man die komplexe Debatte herunterbricht, stellt sich im Kern eine Risiko-Nutzen-Frage, ob die gesammelten Daten das Risiko rechtfertigen bzw. wert sind. Und diese Frage stellt sich eben nicht nur bei Google Analytics, sondern auch bei Google Ads und Facebook Ads.
Aber mal Butter bei die Fische: die genannten Dienstleistungen gehören im Online Marketing quasi zum Standardrepertoire. Daher besteht also fast schon grundsätzlich die Gefahr, dass personenbezogene Daten in unsichere Drittländer, wie die USA, übermittelt werden. Hier kann nur ein konsequenter Verzicht bzw Umstieg auf Datenschutz-freundlichere Dienste mit Unternehmenssitz in der EU – Stichwort Matomo – Abhilfe schaffen.
Aber auch diese Entscheidung birgt ihr eigenes Risiko: Sind die erforderlichen Ressourcen vorhanden – gibt es z. B. einen eigenen Server oder Kapital für die Matomo-Cloud-Lösung? Kann die aktuelle Datenqualität gewahrt werden? Am Ende muss hier jeder für sich selbst entscheiden. Angesichts der aktuellen Entwicklungen sollte sich jedes Unternehmen diese Fragen aus unserer Sicht aber zumindest einmal stellen.
