Drücke „Enter”, um zum Inhalt zu springen.
Ausprobieren
Online Webseiten-Check
sofort das Ergebnis sehen
Auf meiner Webseite sind externe Links mit dem Symbol gekennzeichnet. Datenschutzhinweise · Wissensartikel

Google Analytics rechtskonform nutzbar? Aktueller Stand und Empfehlungen für das Tracking

4

Frankreich hat Google Analytics für generell verboten erklärt. Ein bekannter deutscher Datenschützer sieht keine Möglichkeit des rechtskonformen Einsatzes. In einem Interview bei MEEDIA und hier vertrete ich eine andere Position, empfehle aber datenschutzfreundliche Alternativen.

Einleitung

Die französische Datenschutzbehörde CNIL hat Google Analytics für verboten erklärt. Zuvor hatte die österreichische Datenschutzaufsicht festgestellt, dass das Tracking Tool ohne gültige Einwilligung nach Art. 49 DSGVO rechtswidrig ist. Dieser Artikel handelt vom Datentransfer in unsichere Drittländer wie die USA.

Google hatte vor ca. einem Jahr selbst offiziell festgestellt, dass Google Analytics sämtliche Analysedaten immer in den USA verarbeitet. Diese Erkenntnis wurde damals der österreichischen Behörden aufgrund einer Beschwerde durch die Datenschutzorganisation noyb mitgeteilt.

In einem Interview erklärte Christian Bennefeld gegenüber MEEDIA, dass ihm keine Methode bekannt sei, wie Google Analytics legal genutzt werden könnte. Er ist Gründer von eTracker. Ich stehe mit ihm in konstruktivem Austausch bzw. stand, seit ich eine Meinung vertreten habe, die ihm nicht gefallen hat bzw. die objektiv zeigt, dass eine seiner Aussagen nicht in Einklang mit der DSGVO zu bringen ist (er hatte ein falsches Verständnis dessen, was der Begriff Datenverarbeitung bedeutet. Nach meiner Richtigstellung hatte er mich auf LinkedIn blockiert).

Google Analytics kann direkt im Client nicht rechtskonform eingesetzt werden.

Direkt im Client bedeutet, durch Einbinden eines Google Analytics Standard Scripts, das im Browser des Users geladen wird und Daten an Google sendet.

MEEDIA interviewte kurze Zeit später auch mich. Meine Aussage war und ist: Google Analytics kann unter bestimmten Bedingungen rechtskonform eingesetzt werden. Ich stimme Herrn Bennefeld in diesem Punkt also nicht zu. Er und ich sind allerdings nah beieinander. Denn die Frage, um die es geht, bezieht sich zwischen uns beiden darauf, ob Google Analytics einen ausreichend hohen Nutzen hat, wenn Datensalat dort hingeschickt wird.

Direkter Einsatz von Google Analytics rechtswidrig

Wir beide sind uns einige, dass ein direkter Einsatz von Google Analytics im Browser des Nutzers nicht rechtskonform möglich ist. Auch Google selbst ist anscheinend dieser Meinung (siehe Aussage unten aus dem Analytics Measurement Protocol). Ich bin sogar der Meinung, dass sämtliche Plugins, von denen niemand weiß, welche Datenverarbeitungen beim Anbieter stattfinden, nicht rechtskonform eingesetzt werden können. Das ergibt sich alleine schon aus Art. 13 DSGVO, um hier nur einen Hinweis zur Begründung zu geben. Wer weitere Hinweise braucht, sollte sich Art. 5 DSGVO und Art. 25 DSGVO einmal durchlesen. Auch das Urteil des EuGH zu Planet 49 enthält wichtige Informationen.

Mit direktem Einsatz ist also das Einbinden des Google (Universal) Analytics Standard-Scripts gemeint, so dass Daten direkt vom Nutzer zu Google geschickt werden.

You must not upload any data that allows Google to personally identify an individual…

Quelle: Google Measurement Protocol, https://developers.google.com/analytics/devguides/collection/protocol/policy.

Der menschenverachtende Google Consent Mode ändert daran übrigens rein gar nichts. Google verblödet und veräppelt damit nicht nur Sie und mich als Besucher von Webseiten. Auch Verantwortliche, die Google Analytics auf ihrer Webseite einbinden, werden für dumm verkauft. Verantwortlich bedeutet verantwortlich. Schön für Google, dass andere verantwortlich sind dafür, dass Google Daten von Ihnen und mir erhält und diese selber nutzen darf, der Verantwortliche aber nicht. Genau das passiert beim Consent Mode. Google gibt dem Verantwortlichen im Analytics Dashboard gnädigerweise eine angeblich durch künstliche Intelligenz gebildete Mischung aus Vorhersagen, Halbwahrheiten und Annahmen. Dieser Statistikbrei wird dann mit echten Daten vermischt, für die eine (anzunehmenderweise rechtswidrige) Nutzereinwilligung vorlag. Heraus kommen bis zur Unkenntlichkeit verstümmelte Echtdaten beim Website-Betreiber und ein rechtswidrig erworbener Datenschatz bei Google.

Server Side Tagging

Der rechtskonforme Einsatz von Google Analytics basiert auf einem Mechanismus, der Server Side Tagging genannt wird. Dabei werden Daten von Ihrer Webseite nicht direkt zu Google geschickt, sondern zunächst zu Ihrem Web-Server. Auf Ihrem Server werden diese Daten dann so aufbereitet, dass kein Personenbezug mehr herstellbar ist. Diese pseudonymisierten Daten schicken Sie dann an Google Analytics weiter. Dieses Konzept bezeichne ich als Privacy Hub. Der Begriff stammt nicht von mir. Ich habe ihn irgendwo vorher schon mal gehört oder gelesen.

In einem früheren Artikel bin ich ausführlich auf Server Side Tracking und Tagging eingegangen.

Das serverseitige Senden der Daten von Ihnen an Google geschickt über das Meaurement Protocol. Das ist eine Schnittstelle, mit der Daten an den Google Analytics Datenpool geschickt werden können. Übrigens fordert Google sogar, dass keinerlei Daten über dieses Protokoll an Analytics geschickt werden dürfen, die einen Personenbezug zulassen. Im Endeffekt basiert mein im folgenden beschriebener Ansatz also darauf, nur das zu tun, was schon immer hätte getan werden müssen (Quelle: https://developers.google.com/analytics/devguides/collection/protocol/policy).

Das Grundprinzip ist also: Sie erhalten Daten, die personenbezogen sind. Sie sind aber nicht das böse Google und wohnen nicht im bösen USA.

Die datenschutzkonforme Google Analytics Lösung basiert darauf, dass Sie nicht so böse wie Google sind und nicht im bösen USA wohnen.

Google ist natürlich nicht böse, nur wir alle sind vielleicht ein bisschen weniger böse. Falls Sie doch in den USA wohnen, ignorieren Sie bitte diesen Artikel.

Im Endeffekt sammeln Sie also möglicherweise dieselben Daten wie Google, dürfen das aber. Der Standpunkt ist nämlich, dass

  1. niemand weiß, welche Daten Google wie verarbeitet,
  2. das Auftragswerk von Google zur Datenverarbeitung nicht wirklich transparent ist,
  3. welche Daten Google an wen zu welchem Zweck weitergibt,
  4. Google weltweite Datenverarbeitung betreibt (siehe Serverstandorte von Google und Datenschutzhinweise von Google),
  5. ob Daten ausreichend gut vor dem Zugriff durch amerikanische Geheimdienste schützt.

Wenn Sie Daten zu Tracking-Zwecken erheben, benötigen Sie dafür die Einwilligung des Besuchers Ihrer Webseite. Tracking bedeutet hier, das einwilligungspflichtige Nachverfolgen des Nutzers. Tracking ist ein undefinierter Begriff und geht über das rein statistische Zählen von Besuchern hinaus.

Angenommen, Sie haben also die Einwilligung Ihres Besuchers. Dann dürfen Sie die so erhaltenen Daten gemäß DSGVO und TTDSG verarbeiten.

Verschlüsselung von Daten

Die Rohdaten dürfen Sie nicht an Google weitergeben. Das sagen alle möglichen Stellen und Personen. Es ist auch meine Auffassung. Allerdings dürfen Sie sehr wohl Daten an Google weitergeben, die bei Google als anonyme Daten anzusehen sind. Denn Google kennt den Schlüssel nicht. Verschlüsselte Daten, die nicht entschlüsselt werden können und nicht auf eine Person rückführbar sind, sind bei Google als anonym anzusehen. Die DSGVO kümmert sich nicht um anonyme Daten. Die DSGVO gilt nicht für anonyme Daten. Beim Verantwortlichen, der den Schlüssel hat, sind die Daten natürlich nicht anonymisiert, solange die Originaldaten vorliegen. Der Verantwortliche hat die Daten gemäß DSGVO zu verarbeiten.

Die DSGVO bietet in Art. 32 DGSVO wichtige Richtlinien für die Handhabung von Daten und deren Absicherung. Dort ist auch von Verschlüsselung die Rede. Der aktuelle Stand der Technik ist entscheidend.

Die DSGVO findet auf anonyme Daten keine Anwendung.

Siehe Art. 2 Abs. 1 DSGVO

Im Idealfall für das Marketing müssen nicht alle Daten verschlüsselt werden, die an Google geschickt werden. Folgende Informationen sollten aber sehr wohl mindestens verschlüsselt oder verfremdet werden:

  • IP-Adresse des Nutzers
  • User Agent des Nutzers
  • Zeitpunkt des Besuchs der Webseite durch den Nutzer
  • Referrer (Verweisquelle)
  • URL-Parameter, die eine Personenbeziehbarkeit erlauben
  • Client ID von Google

Statt der Google Client ID muss natürlich eine eigene verwendet werden.

Der Zeitpunkt des Besuchs einer Webseite sollte nicht unverfälscht an Google übermittelt werden. Denn Google könnte aufgrund anderweitig bekannter Daten nachvollziehen, um welchen Nutzer es sich handelt. Beispielweise könnte der Nutzer zuvor die Google Suchmaschine, den Chrome Browser oder ein Android Handy benutzt haben.

Die IP-Adresse des Nutzers sollte nie am Google weitergegeben werden. Leider lässt sich das bei direkter Einbindung von Google Plugins nicht vermeiden. So bedeutete etwa der Einsatz von Google Fonts einen Schadenersatzanspruch für eine betroffene Person. Hier sei angemerkt, dass der Kläger eine Privatperson ist. Er meldete sich nämlich von sich aus bei mir, weil er meinen Artikel zu Google Fonts gelesen hatte.

Der User-Agent enthält detaillierte Angaben zum Browser des Nutzers und zum Betriebssystem. Mein Vorschlag ist, mit bijektiven Ersetzungen zu arbeiten. Aus “Chrome” wird so “Firefox” und aus “Firefox” wird “Safari”. Alternativ könnten die Versionsnummern der Browser ersetzt werden. So entstehen im Google Analytics Dashboard lesbare Daten, ohne das Wesen der Datenzusammenhänge zu verfälschen.

Der Referrer ist die Quelladresse, von der aus ein Besucher auf die gerade besuchte Webseite kam. Auch hier sind Ersetzungen möglich. Für populäre Quellen etwa kann ein Ersetzungswörterbuch angelegt werden.

Ansonsten ist natürlich immer eine beliebige Verschlüsselung möglich. Wichtig ist nur, dass Sie den Schlüssel haben, nicht aber Google. Außerdem sollten die Daten so verschlüsselt sein, dass Sie nicht leicht wieder entschlüsselt werden können. Hierfür gibt es Standards. Die Verfahren für die SSL-Verschlüsselung sind heutzutage anerkannt, wenn sie eine ausreichende Verschlüsselungstiefe haben.

Ich möchte anmerken, dass vor allem kurze Datenhäppchen sehr sicher verschlüsselt werden können. Ein Ersetzen von Texten auf eine nach außen hin unbekannte Weise kann von Dritten nicht einfach so entschlüsselt werden. Da nützen auch keine Quantencomputer. Vielmehr müsste das semantische Gefüge entschlüsselt werden, was in Einzelfall schwierig bis unmöglich ist.

Nutzen von Google Analytics

Der wahrscheinlichste Fall ist, dass gerade Sie keinen echten Nutzen von Google Analytics haben. Sie haben sogar einen Schaden daraus. Denn Sie haften für die rechtswidrigen Datenverarbeitungen, die mit diesem Analytics-Tool stattfinden. Viele schauen nicht mal auf die gesammelten Daten. Manche rufen das Google Analytics Dashboard nur alle paar Jahre auf, wenn Sie wieder einen Artikel zu dem Thema gelesen haben.

Für die prozentual sehr wenigen, die Google Analytics unbedingt nutzen wollen, bietet der serverseitige Ansatz eine datenschutzkonforme Möglichkeit. Nur zur Sicherheit seit erwähnt, dass Google Analytics mit Cookies aus objektiven Gründen einwilligungspflichtig ist. Auch ohne Cookies ist das Tool in Standardausprägung einwilligungspflichtig. Als wäre das nicht genug, kann Google Analytics als Einfallstor für Hacker dienen, um Daten zu klauen.

Für manche ist Google Analytics aber immer noch unbedingt ganz toll. Ich denke, dass selbst mit verschlüsselt an Google geschickten Daten der Nutzen des Tools für die prozentual wenigen Profiteure gegeben sein kann.

Daten, die über Google Analytics gesammelt wurden, können in Ihre voll lesbare Form zurückgeführt werden. Dafür muss derjenige, der den Schlüssel besitzt, die Daten von Google über die Analytics Reporting API abfragen und entschlüsseln.

Viele sehen auch alleine darin einen Nutzen, das Dashboard von Analytics mitsamt des Reportings nutzen zu können. Andere schätzen die Konnektoren von Analytics sehr. Immerhin können einige Daten unverfälscht an Google geschickt werden, ohne dass Datenschützer normalerweise Alarm schlagen würden. Zu diesen Daten könnte die Bildschirmauflösung oder der Viewport gehören. Der Viewport ist die Größe des Browserfensters. Allerdings sind mir Personen bekannt, die auch die Bildschirmauflösung als Zugriff auf das Endgerät und somit als nicht einwilligungsfrei nach § 25 TTDSG ansehen. Als Informatiker argumentiere ich hier, dass die Bildschirmauflösung gar nicht im Endgerät abgespeichert ist (und falls doch, dann unnötigerweise, etwa aus reinen Komfortzwecken des Betriebssystems). Lesen Sie meinen Artikel, den ich eben verlinkt habe, wenn Sie tiefer einsteigen wollen. Rückmeldungen sind willkommen. Übrigens wird (auch) die IP-Adresse nicht im Endgerät gespeichert, jedenfalls nicht in meinem Windows Desktop PC. Vielmehr wird diese im Router gehalten, etwa der Fritz!Box. Das Endgerät kennt in zahlreichen Netzwerkkonstellationen die externe IP-Adresse gar nicht.

Verschlüsselte Daten an Google Analytics zu senden bedeutet, dass einige Analysen, die Google über die normalerweise echten Daten fährt, nicht mehr möglich sind. Das ist offensichtlich. Jedoch behaupte ich, dass alleine der Mehrwert des Dashboards und der Schnittstellen für einige Google Kunden wichtig und nützlich sind. Für mich allerdings hat das Google Tool keinerlei Nutzen.

Webseiten ohne Cookie Popups

Sehen Sie auf meiner Webseite ein Cookie Popup? Für alle, die meinen, ein Cookie Popup ist vorgeschrieben: Das ist grober Unfug. Der Begriff des Cookie Popups ist schon falsch. Ich verwende ihn nur andauernd, damit mehr Menschen mich verstehen. Der richtige Begriff müsste Einwilligungsabfrage für Webseiten oder ähnlich heißen.

Wussten Sie, dass Sie Ihre Webseite ganz schnell rechtswidrig machen können? Hier die Anleitung: Binden Sie ein Cookie Popup auf Ihrer Webseite ein. Wer es nicht glaubt, findet eine Begründung in meinem ausführlichen Praxistest und objektive Gründe für das Versagen zahlreicher Einwilligungslösungen. Wenn Sie schon eine Consent Management Platform (CMP) einsetzen, dann doch wenigstens eine eines rein europäischen Anbieters. UserCentrics und Cookiebot hatten im September 2021 fusioniert. Schlecht für UserCentrics, weil Cookiebot wegen der Nutzung von Akamai-Servern als rechtswidrig eingestuft wurde. Damit Cookiebot weiterhin Geschäfte machen kann, wurde die Eilbedürftigkeit des Verfahrens angegriffen und wird jetzt eine Instanz höher entschieden. UserCentrics verwendet nach meiner Information die Google Cloud. Google führt zu USA, das führt zu amerikanischen Behörden und Geheimdiensten. Wollen Sie, dass Donald Trump demnächst wieder das ganze Internet mitlesen und nach Russland schicken kann? Stichworte sind: Privacy Shield, Schrems II, Cloud Act, EO 12333, FISA 702. Wenn Sie lieber Borlabs Cookie nutzen wollen, halte ich das ebenfalls für eine schlechte Idee. Sämtliche Tools, die sich auf Cookies zentrieren, sind eine schlechte Idee.

Eine Webseite ganz ohne nerviges Cookie Popup ist schon was Feines. Wenn Sie auf den § 26 TTDSG hoffen, dann muss ich Sie enttäuschen. Dort geht es um eine zentrale Einwilligungsabfrage. Nutzer sollen also in einer noch nicht existenten Zentrale in diverses Zeugs einwilligen oder ablehnen. Besucht ein Nutzer dann Ihre Webseite, dürfen Sie nach dem Willen des Gesetzgebers die Zentrale nach dem Nutzerwunsch fragen. So soll angeblich die Anzahl der Cookie Popup deutlich reduziert werden. Das ist Bullshit. Objektive Gründe sprechen gegen diesen Ansatz, der ein gutes Ziel verfolgt, aber von mangelnder Kenntnis über Fakten geprägt ist. Wenn Sie unbedingt eine CMP brauchen, hier ist eine. Bitte beachten Sie, dass es wie mit der Steuererklärung ist. Wenn Sie nichts davon verstehen, müssen Sie sich einen Experten suchen und bezahlen.

Ohne Cookie Popup dürfen Sie aber Ihre Besucher in datenschutzfreundlicher Weise zählen. Hierfür bietet sich beispielsweise Matomo an. Sie sollten Matomo entsprechend konfigurieren. Wenn Ihnen das zu kompliziert ist und Sie etwas Geld ausgeben möchten, nutzen Sie Trackboxx. Der Anbieter stammt aus Deutschland und ist mir persönlich bekannt. WordPress-Webseiten können auf WP Statistics zurückgreifen. Auch hier ist die Konfiguration zu prüfen.

Wer schreibt hier?
Mein Name ist Klaus Meffert. Ich bin promovierter Informatiker und beschäftige mich seit über 30 Jahren professionell und praxisbezogen mit Informationstechnologie. Im Jahr 2017 bin ich zum Datenschutz gekommen. Mir sind juristische Gegebenheiten nicht fremd. Ich versuche, meine Ergebnisse durch Betrachtung von Technik und Recht zu gewinnen. Das scheint mir jedenfalls absolut notwendig, wenn es um digitalen Datenschutz geht. Über neue Beiträge werden Sie informiert, wenn Sie meinen Newsletter abonnieren. Über Ihre Unterstützung für meine unabhängige Berichterstattung würde ich mich besonders freuen.
Bitte nutzen Sie bei Verwendung meiner Ergebnisse die Quellenangabe oder verlinken Sie gut wahrnehmbar auf diesen Artikel:
Einen Kurzlink oder eine Bestätigung für Ihre Quellenangabe erhalten Sie kurzfristig auf Anfrage. Ein Teilen oder Verteilen dieses Beitrags ist natürlich ohne weiteres möglich und gewünscht.

Kommentare von Lesern

Die Kommentare drücken die Meinungen der jeweiligen Kommentargeber aus
  1. Reinhold Csakli

    Hallo Herr Dr. Meffert,
    Ihre Empfehlung für den Einsatz von Trackboxx finde ich sehr hilfreich – das Tool kannte ich vorher nicht. Wie schätzen Sie die Erfordernis des Einsatzes eines “Cookie-Popups” aus Sicht des § 25 TTDSG ein? Der Hersteller selbst sieht dieses Erfordernis nicht – ich bin da skeptisch.
    Danke!

    • Dr. DSGVO

      Wenn es um Cookie geht: Trackboxx kann ohne diese genutzt werden, genauso wie Matomo.
      Wenn es um die Weiternutzung von Daten wie dem User Agent in Form eines Hashwertes geht: Da bin ich, mit vielen anderen, der Meinung, dass eine Weiterverwertung gemäß DSGVO erlaubt ist. Hardliner verbieten das. Ich halte diese harte Haltung aber für kontraproduktiv. Kein Nutzer nimmt Schaden, wenn ein Kombi-Hashwert, der nur 24 Stunden lang auf den Nutzer rückführbar wäre, aber effektiv nicht rückgeführt wird, verwendet wird, um rein statistische Auswertungen zu machen.

  2. Kurt

    Google Analytics ist also auch nach Zustimmung des Besuchers nicht direkt (via JS) einsetzbar. Grund dafür ist, dass nicht überprüft werden kann welche Daten erhoben und wie diese verarbeitet werden, richtig?
    Aber was ist dann mit YouTube? Dort wird ja ebenfalls fremder JS Code geladen (der sich jederzeit ändern kann) und ich bin mir sicher, dass Google das ebenfalls über Analytics trackt. Ich meine hier natürlich die Nutzung von YouTube nach Zustimmung im Cookie-Banner bzw. nach Zustimmung im Content Blocker direkt bei der Einbindung von YouTube.

    • Dr. DSGVO

      Ein Unterschied von GA zu YT ist, dass GA “offensichtlich” und “gewollt” Nutzerprofile in erheblichem Maße bildet. Wenn YT ohne Google Ads/DoubleClick geladen wird, ist der fall zumindest aus oberflächlicher Sicht anders.
      Man könnte m.E. sämtliche Google Plugins, auch das von YT, verbietet. Das wäre besser für uns alle. Manche verstehen nur nicht, dass Google auf lange Sicht keine Vorteil für Deutschland und Europa bringt. Gleiches Thema mit der Abhängigkeit von russischen Rohstoffen.

Schreiben Sie einen Kommentar

Ihre Mail-Adresse wird nicht veröffentlicht.

Nächster Beitrag

Datenschutz-Schulung: Kostenfreies online Training des Netzwerks 4.0