Drücke „Enter”, um zum Inhalt zu springen.
Ausprobieren
Online Webseiten-Check
Ergebnis in wenigen Sekunden sehen
Auf meiner Webseite sind externe Links mit dem Symbol gekennzeichnet. Datenschutzhinweise · Wissensartikel

Google Analytics Grundlagen zur DSGVO

4

Google Analytics ist ein Tracking Tool, welches sich immer noch großer Beliebtheit erfreut. Das Tool ist datenschutzrechtlich kaum beherrschbar, weil nicht bekannt ist, ob und wie Google die von einer Webseite mit Analytics erhobenene Daten selbst verwendet.

Die Komplexität von Google Analytics übersteigt das Vermögen nahezu aller Verantwortlichen erheblich und sorgt alleine deswegen flächendeckend für Datenschutzverstöße.

Meine These

Für Google Analytics gibt es diverse Versionen:

  • Google Analytics 4 (ganz neu)[1]
  • Global Site Tag für Google Analytics 4
  • Google Universal Analytics (aktuell), hierauf beziehen sich die Ausführungen in diesem Dokument, sofern nicht anders angegeben
  • Global Site Tag für Google Universal Analytics
  • Legacy Analytics (alt)
  • Urchin Analytics (uralt)
  • Google Tag Manager als Container für die obigen Stand-Alone Analytics Ausprägungen

Wird eine Einwilligung für Google Analytics benötigt?

Für die aktuelle Standardausprägung von Google (Universal) Analytics, die First Party Cookies einsetzt, ist alleine schon gemäß § 15 Abs. 3 TMG in Verbindung mit ePrivacy Richtlinie, Art. 5 Abs. 3 eine Einwilligung für den rechtskonformen Einsatz erforderlich. Dass die ePrivacy Richtlinie in Deutschland zu berücksichtigen ist, hat der BGH in einem Urteil am 28.05.2020 – I ZR 7/16 (“Planet49”) festgestellt.

Je nach Ausprägung und Konfiguration zeichnet Google Analytics mehr oder weniger Daten von Nutzern auf, immer aber viele. Einige Konfigurationen, wie etwa die Datenweitergabe für Google-Produkte & -Dienste, sind einwilligungspflichtig. Andere Konfigurationen sind nicht ganz so eindeutig zu behandeln, sofern man Google glaubt, Daten anderer nicht für eigene Zwecke zu verwenden. Genau dieser Eindruck entsteht aber beim Lesen der Vertragsdokumente (wie Datenschutzerklärung, Nutzungsbedingungen etc.) von Google.

Google speichert zu jedem Nutzer – zur Reduzierung der Anonymität von Nutzern – eine für die Dimensionen Browser und Endgerät eindeutige Identifikation, die in Google Analytics die Client ID genannt wird. Mit dieser kann eine Person nicht direkt identifiziert werden. Allerdings kann man leicht die IP-Adresse des Nutzers zusammen mit der Client ID von Google auf dem eigenen Server speichern und vorhalten. Bei Bedarf exportiert man mit der praktischen Export-Funktion in Google Analytics die Client IDs und gleicht sie einfach mit den selbst aufgezeichneten IP-Adressen ab. So gelingt auch eine De-Duplikation von Nutzern.

In der Cookie-freien Variante und mit einer maximal datenschutzfreundlichen Konfiguration könnte Google Analytics – ohne Client ID und ohne das komische Gefühl, dass Google selbst die von anderen gesammelten Daten heimlich ausnutzt – ohne Einwilligung funktionieren (sofern nicht auch noch der Serverstandort ein Problem wäre). Allerdings stellt sich dann die Frage, welchen Vorteil dieses Tool gegenüber anderen, deutlich rechtssichereren und mit weniger Absicherungsaufwand nutzbaren Tools hat. In Cookie-freier Variante und mit DSGVO-freundlicher Konfiguration zeigt Google Analytics im Dashboard für zwei direkt aufeinander folgende Neuaufrufe einer Seite zwei Nutzer an. Andere Tools können das besser, ohne Datenschutzfragen aufzuwerfen. Dies jedenfalls ist in Summe ohne erkennbaren Nutzen für die meisten Webseitenbetreiber[4], womöglich aber für Google.

Vormals verwendete Google Analytics Third-Party Cookies und wurde alleine deswegen als einwilligungspflichtig angesehen. Aktuell setzt Google Analytics First-Party Cookies, verwendet diese aber exakt analog zu den vorigen Cookies:

Third-Party CookiesFirst-Party Cookies
Speichern Nutzer-IdentifikationenSpeichern Nutzer-Identifikationen
Google Analytics hat Zugriff über DomäneGoogle Analytics hat Zugriff über JavaScript
Einbindende Webseite hat keinen Zugriff auf CookiesEinbindende Webseite hat Zugriff auf Cookies
Einbindende Webseite kann Nutzer über JavaScript kennenEinbindende Webseite kennt Nutzer-Identifikationen über Cookie-Zugriff
Google hat über Cookies und potentiell über Google Server Zugriff auf Daten anderer Analytics-KontenGoogle hat generell Zugriff auf Daten anderer Analytics-Konten
Google Analytics mit Third-Party Cookies (vormals) und First-Party-Cookies

Wie zu sehen, hat die Webseite, die Google Analytics einbindet, über First-Party Google Cookies Zugriff auf nicht weniger Informationen als bei Verwendung von Third-Party Google Cookies. Auch Google hat potentiell die gleichen Zugriffsmöglichkeiten – hier muss man dies allerdings aufgrund der Ausführungen (Datenschutzbestimmung, Nutzungsbedingungen etc.) von Google unterstellen, sofern Google Analytics in einer mit Cookies und ansonsten maximal datenschutzfreundlichen Konfiguration betrieben wird. Allerdings liegt es beim Verantwortlichen – dem Betreiber der Webseite, die Google Analytics einbindet – die Rechtmäßigkeit der Verarbeitung nachzuweisen.[2]

Mein Praxistest zeigte, dass die Einstellungen für die Datenfreigabe in Google Analytics für bereits erfasste Nutzerdaten nachträglich problemlos ausgeweitet werden konnten. Das bedeutet übersetzt, dass folgender Ablauf möglich ist:

  1. Google Analytics wird maximal DSGVO-konform konfiguriert
  2. Nutzerdaten werden mit Google Analytics erhoben
  3. Die Datenfreigabe für Google Analytics hin zu anderen Google Diensten wird erweitert, etwa auf Google-Produkte & -Dienste (dadurch entsteht gemäß Googles Vorgaben eine Gemeinsame Verantwortlichkeit, zuvor war es ein AVV)
  4. Die unter 2. genannten, vor der Datenfreigabe erhobenen Nutzerdaten werden nun potentiell entgegen ihrer bisherigen Zweckbestimmung missbraucht
  5. Bei Bedarf kann Google Analytics mit einem Mausklick wieder strikter konfiguriert werden (aus der Gemeinsamen Verantwortlichkeit entsteht auf einmal wieder ein AVV)

Das ganz neue Google Analytics 4 hat die folgenden Datenerhebungen voreingestellt [3]:

  • Seitenaufrufe
  • Datei-Downloads
  • Scrolls
  • Klicks auf externe Links
  • Engagement mit dem Video

Diese Voreinstellung führt mit größter Wahrscheinlichkeit zu einem einwilligungspflichtigen Tracking.

Das LDA Bayern vertritt die etwas undifferenzierte Behördenmeinung, dass Google Analytics ohne Einwilligung unzulässig ist:

Unabhängig davon, ob die IP-Adresse gekürzt wird oder nicht, muss eine Einwilligung eingeholt werden.

Quelle: https://www.lda.bayern.de/de/faq.html

Auf meine Anfrage beim LDA Bayern diesbezüglich hat es schnell geantwortet und gefragt, ob es besser sei, dies differenzierter auszudrücken. Ich bestätigte dies und würde mich freuen, wenn die FAQ des BayLDA entsprechend verbessert werden würde. Positiv sind auf jeden Fall die schnelle Rückmeldung sowie die konstruktive Rückfrage der Behörde!

In einer Untersuchung[5] wurde die durch eingeschaltete IP-Anonymisierung entstehende Unschärfe bei der Datenerfassung festgestellt. Für 81% der Nutzer wurden trotz eingeschalteter Anonymisierung deren Standort mit vergleichbar hoher Genauigkeit erfasst wie bei ausgeschalteter Anonymisierung.

Gemäß Informationen von Google[6] übermittelt Google die mit Google Analytics erhobenen Daten an zahlreiche Dritte in zahlreiche Drittländer, auch in unsichere Drittländer.

Weiterhin führt Google aus, wie Google Daten von Webseiten oder Apps von Google nutzt, die Google Tools einbinden (Verlinkungen aus der Quelle entfernt):

Wenn Sie eine Website besuchen, auf der Werbedienste wie AdSense oder Analysetools wie Google Analytics verwendet werden oder Videoinhalte von YouTube eingebettet sind, sendet Ihr Webbrowser automatisch bestimmte Informationen an Google. Hierzu gehören auch die URL der besuchten Seite und Ihre IP-Adresse. Unter Umständen setzen wir auch Cookies in Ihrem Browser oder lesen die bereits vorhandenen Cookies. Auch durch Apps, in denen Werbedienste von Google zum Einsatz kommen, werden Daten an Google übermittelt, zum Beispiel der Name der App und eine spezifische Kennziffer für Werbezwecke.

Die durch Websites und Apps übermittelten Informationen verwenden wir zur Bereitstellung, Betreuung und Verbesserung unserer bestehenden Dienste, zur Entwicklung neuer Dienste, zur Messung der Effektivität bestimmter Werbung, zum Schutz vor Betrug und Missbrauch sowie zur Personalisierung von Inhalten und Werbeanzeigen, die Sie sowohl bei Google als auch auf unseren Partnerwebsites und ‑apps sehen.

Quelle: https://policies.google.com/technologies/partner-sites?hl=de

Google Analytics sammelt u.a. Daten aus folgenden Quellen über Nutzer:

  • HTTP Anfrage
  • Browser- und Systeminformationen
  • Cookies (inklusive DoubleClick Cookies)

Mit „Google“ ist in den deutschen Datenschutzbestimmungen von „Google“ die Firma „Google Ireland Limited“ sowie deren „verbundene Unternehmen“ gemeint. „Verbundene Unternehmen“ bezeichnet gemäß dieser Quelle (Fettdruck selbst hinzugefügt)

Ein Unternehmen, das zur Google-Unternehmensgruppe gehört, also der Google LLC und deren Tochtergesellschaften, einschließlich der folgenden Unternehmen, die Verbraucherdienstleistungen in der EU anbieten: Google Ireland Limited, Google Commerce Ltd und Google Dialer Inc.

Quelle: https://policies.google.com/terms?hl=de&gl=de

Google LLC ist ein Unternehmen mit Firmensitz in den USA. Damit ist das Laden von Google Analytics bereits ein datenschutzrechtlich kritischer Vorgang, weil Daten potentiell an ein amerikanisches Unternehmen oder an Server in den USA oder an Dritte geschickt werden.

Die Bereitstellung von Google Analytics durch Google als Auftragsverarbeiter ist nicht möglich, weil Google die durch Dritte (nämlich andere Webseiten) mit Google Analytics erhobenen Daten selbst nutzt [7] und gemäß Datenschutzerklärung an (zahlreiche, potentiell beliebige, oder solche mit unsicheren Datenstandards) Dritte weitergibt[8].

Aus einem der folgenden Gründe ist der Einsatz von Google Analytics aus meiner Sicht einwilligungspflichtig:

  • die Konfiguration ist offensichtlich einwilligungspflichtig oder
  • die Konfiguration trackt unabsichtlich mehr als gewollt oder
  • die Datenlage erlaubt potentiell ein Nachverfolgen von Nutzern oder
  • die Datenfreigabe hin zu anderen Google Diensten kann für bereits erfasste Nutzer nachträglich ausgeweitet werden oder
  • Nutzeraktionen können potentiell mit dem Measurement Protocol erfasst werden oder
  • Google kann unterstellt werden, die Daten für eigene Zwecke auszunutzen ode
  • der Serverstandort befindet sich in einem unsicheren Drittland.

Anonymisierung von IP-Adressen beim Tracking Event

Beim Abruf des Google Analytics Scripts wird bereits zwangsweise die IP-Adresse vom Nutzer zu einem Google Server übertragen. Dies schreibt das Internet Protokoll vor. Auch bei Tracking Events, die das Tool sendet, wird natürlich die Netzwerkadresse des Nutzers übertragen.

Mit IP-Adressenanonymisierung für Google Maps ist gemeint, dass bei Tracking Events als Event Parameter die IP-Adresse des Nutzer nicht übertragen wird (zwangsweise aber über die Verkehrsdaten des Tracking Events). Diese Anonymisierung sollte unbedingt vorgenommen werden bzw. ist in der aktuellen Standardkonfiguration von Analytics schon aktiviert. Man kann das nachprüfen, indem man sich den Quellcode einer Seite ansieht, die Google Analytics einbindet Dort sollte die Angabe anonymizeIp zu sehen sein. Falsch ist allerdings folgendes:

Hier wird die Anonymisierung erst eingeschaltet, nachdem Google Analytics über den send-Befehl gestartet wurde. Wichtig ist, die Anweisung anonymizeIp vor dem send-Befehl zu haben.

Wurde das Tool über den Google Tag Manager oder ähnliches eingebunden, sieht der Code anders aus. In dem Fall öffnet man im Firefox Browser (oder in anderen Browsern) die Entwicklerkonsole mit der Taste F12 und öffnet den Karteireiter Netzwerkanalyse. Dann öffnet man die Webseite, auf der Google Analytics eingebunden ist. Man sucht nun nach einem collect Aufruf über de Domäne google-analytics.com:

Aufruf von Google Analytics mit eingeschalteter Anonymisierung der IP-Adresse

Der Parameter aip=1 zeigt, dass die Anonymisierung der IP-Adresse eingeschaltet ist.

Messung der Effektivität von Google Ads mit Google Analytics

Google Analytics kann dazu verwendet werden, die Effektivität von auf Google Plattformen geschalteten Werbeanzeigen zu messen. Manche argumentieren, dass dies (inkl. der Verwendung von Tracking Cookies) für manche Unternehmen essentiell sei, da diese ansonsten nicht wirtschaftlich arbeiten könnten. Dem ist entgegenzuhalten:

  • In den Google Nutzungsbedingungen für Werbeprodukte ist explizit erwähnt, dass keine personenbezogenen Daten zu Werbezwecken an Google übermittelt werden dürfen3. Gemeint sind damit für Google Analytics explizit „Online-Kennzeichnungen (einschließlich Cookie-Kennungen), Internet-Protokoll-Adressen und Gerätekennungen, vom Kunden vergebene Kennzeichnungen“3.
  • Google Ads kann auch ohne Google Analytics mit anderen Google Bordmitteln optimiert werden. Google schreibt hierzu: “Conversion tracking can help you see how effectively your ad clicks lead to valuable customer activity on your website, such as purchases, sign-ups, and form submissions.”
  • Die Optimierung von Landing Pages oder die Erkennung wiederkehrender Besucher kann auch anders als mit Google Analytics stattfinden, beispielsweise durch Logiken, die auf dem eigenen Server ablaufen. Dabei kann sogar die Werbeanzeige, von der ein Besucher kann, berücksichtigt werden – ganz ohne Google Tools.
  • Remarketing-Funktionen durch Tools Dritter unterliegen der Einwilligungserfordernis noch mehr als andere Tracking-Mechanismen (vgl. Urteil des VG Bayreuth zu Facebook Custom Audiences vom 08.05.2018 – B 1 S 18.105 oder Urteil des EuGH zu Fashion ID vom 29.07.2019 – C‑40/17)
  • Google Ads kann mit Google Analytics nur optimiert werden, wenn die Datenfreigabe für Google-Produkte & -Dienste im Google Analytics Konto aktiviert wurde. Dies erfordert aber grundsätzlich eine Einwilligung, zumal Google als Gemeinsamer Verantwortlicher auftritt, damit die Google Nutzungsbedingungen gelten (die eine Einwilligung bei Einsatz von Cookies oder vergleichbaren Technologien quasi fordern) und seine Kunden (Webseitenbetreiber) sogar selbst prüft.
  • These: Werbung kann mit den durch Google bereitgestellten Mitteln nur bedingt effektiver gestaltet werden und ist an sich schon relativ effektiv (oder uneffektiv, je nach dem, wie man die an sich „immer“ ziemlich niedrigen Konvertierungsraten sehen mag). Das berechtigte Interesse rückt also alleine schon deshalb in den Hintergrund. Eine Befragung von Online Marketing Agenturen durch den Autor brachte zutage, dass keine einzige der beliebig ausgewählten, fünfzehn Befragten behaupten konnte, Werbung mit Google Analytics effektiver gestalten zu können.

Fazit: Google Analytics darf ohne Einwilligung nicht verwendet werden, um bei der Optimierung von Google Ads zu unterstützen. In einem eigenen Artikel beschreibe ich die Erfordernis einer Einwilligung genauer.

In einem gesonderten Beitrag werden Alternativen für verschiedene Google Tools beschrieben.


[1] Für einen Vergleich zwischen Google Analytics 4 und Google Universal Analytics siehe https://support.google.com/analytics/answer/9964640?hl=de

[2] Vgl. auch das Urteil des EuGH vom 11.11.2020 – C‑61/19, etwa Ziffer 42. Eine gemeinsame Verantwortlichkeit mit Google liegt nach Untersuchung und Kenntnis des Autors nur vor, wenn die Datenfreigabe in Google Analytics für Google-Produkte & -Dienste aktiviert ist – dann wäre allerdings eine Einwilligung durch den Nutzer in jedem Fall erforderlich.

[3] Siehe https://support.google.com/analytics/answer/9216061?hl=de&utm_id=ad sowie Google Analytics Dashboard

[4] Lediglich als Signal an Google, wie lange ein Nutzer auf der Webseite verweilte, könnte ein Nutzen vorliegen.

[5] Siehe https://www.conversionworks.co.uk/blog/2018/04/16/ip-anonymization-ga-impact-assessment/

[6] In https://support.google.com/analytics/answer/3379636?hl=de bestätigt Google, dass der bisherige AVV für Google Analytics nicht mehr gilt (sofern ein solcher – wahrscheinlich in englischer Sprache – abgeschlossen wurde und dieser überhaupt rechtsgültig war) und stattdessen dieser AVV gilt: https://privacy.google.com/businesses/processorterms/. Siehe dort insb. Abschnitte 10 (Datenübermittlungen) sowie 11 (Unterauftragsverarbeiter). Siehe auch Fußnote 27 und zugehörigen Abschnitt, die nahelegt, dass mit Google kein AVV zu Google Analytics zustande kommen kann

[7] Vgl. auch Ausführungen auf https://www.datenschutz-praxis.de/fachnews/google-analytics-erfordert-eine-einwilligung-der-nutzer/ und Googles Aussage auf https://marketingplatform.google.com/about/analytics/terms/de/ („Sie erklären sich damit einverstanden, dass Google oder seine verbundenen Unternehmen Informationen über Ihre Benutzung des Service (einschließlich und ohne Einschränkung auch von Kundendaten) speichert und für die Zwecke der Bereitstellung des Webanalyse- und Trackingdienstes nutzt…“)

[8] Siehe https://policies.google.com/privacy?hl=de, wo Google zugibt, Daten u.a. aus Google Analytics mit Daten Dritter zu verknüpfen und Dritte (wie Werbepartner) davon profitieren zu lassen. Sofern diese Bedingungen wegen eines AVV (siehe https://privacy.google.com/businesses/processorterms/, Abschnitt 4.2) nicht gelten, besagen Abschnitte 10 und 11 des genannten AVV, dass Google Daten an die amerikanische Mutter, Google LLC, übertragen kann, was mit der DSGVO ohne Einwilligung nicht vereinbar ist (vgl. FISA Gesetz, Fußnote 39).

Wer schreibt hier?
Mein Name ist Klaus Meffert. Ich bin promovierter Informatiker und beschäftige mich seit über 30 Jahren professionell und praxisbezogen mit Informationstechnologie. Im Jahr 2017 bin ich zum Datenschutz gekommen. Mir sind juristische Gegebenheiten nicht fremd. Ich versuche, meine Ergebnisse durch Betrachtung von Technik und Recht zu gewinnen. Das scheint mir jedenfalls absolut notwendig, wenn es um digitalen Datenschutz geht. Ich würde mich freuen, wenn Sie meinen Newsletter abonnieren.
Bitte nutzen Sie bei Verwendung meiner Ergebnissen die Quellenangabe oder verlinken Sie gut wahrnehmbar auf diesen Artikel:
Quelle: Klaus Meffert, Dr. DSGVO Blog, Link: https://dr-dsgvo.de/google-analytics
Einen Kurzlink oder eine Bestätigung für Ihre Quellenangabe erhalten Sie kurzfristig auf Anfrage. Ein Teilen oder Verteilen dieses Beitrags ist natürlich ohne weiteres möglich und gewünscht.

Dieser Beitrag wird in anderen Beiträgen erwähnt

Schreiben Sie einen Kommentar

Ihre Mail-Adresse wird nicht veröffentlicht.

Nächster Beitrag

Vimeo Videos: sind sie auf Webseiten datenschutzfreundlich nutzbar?