Google Analytics: Rechtskonform nur mit Einwilligung

Kategorien: Datenschutz, Recht und Tracking

In den letzten Monaten hat sich Google Analytics erheblich weiterentwickelt und ist nunmehr in Google Analytics 4 übergegangen. Die Frage ist, ob für die im Jahr 2023 vorliegende Version eine Einwilligung erforderlich ist und warum. Die Antwort hängt von der Konfiguration des Tools ab, falls der Datentransfer in die USA und die Google Nutzungsbedingungen nicht als Problem angesehen werden.

Dieser Artikel untersucht vorrangig Google Universal Analytics. Diese Ausprägung von Google Analytics ist die bis vor kurzem am häufigsten eingesetzte Variante gewesen. Die Unterschiede zu Google Analytics 4 sind aus Datenschutzsicht in weiten Teilen zu vernachlässigen. Zusätzlich dazu gibt es noch sogenannte Google Analytics 4 Properties. Dabei handelt es sich um Eigenschaften mit Merkmalen, die für das bisherige Google Universal Analytics Konto verwendet werden konnten. Die parallele Verwendung von GA4 Properties und GA Properties war möglich.

Vorab ein Wort zu den GA4-Nutzungsbedingungen

Die Google Nutzungsbedingungen besagen in Abschnitt „7. Datenschutz“:

„Sie werden keine Informationen an Google übermitteln, die Google als personenidentifizierbare Informationen verwenden oder erkennen könnte, noch werden Sie eine solche Übermittlung Dritten erlauben oder diese dabei unterstützen.“

Somit ist der Einsatz von Google Analytics in der Standardausprägung nicht möglich, denn bereits die IP-Adresse ist ein personenbezogenes Datum, was bei Standardeinbindung von GA immer an Google übertragen wird. Entweder hat Google keine Ahnung von Datenschutz oder wälzt absichtlich die gesamte Verantwortlichkeit für die Datenlieferung an den Verantwortlichen ab, der GA nutzt.

Google Analytics mit Cookies (Standardkonfiguration)

In der Standardkonfiguration hat Google Analytics folgende Ausprägung:

• Einsatz von First-Party Cookies
• Transfer der Werte aus den Cookies zu Google Servern
• Führen einer Client Id pro Nutzer, die pro Browser und Endgerät eindeutig ist
• Nutzen des Browser Fingerprints, unter anderem durch Auslesen des Viewports. Alleine deswegen ist Google Analytics in jeder Konfiguration einwilligungspflichtig
• Analyse von Klickpfaden
• Auswertung von Nutzer-Verweildauern auf einzelnen Seiten

Aufgrund der eingesetzten Cookies sowie des nachweislichen Datentransfers durch Google Analytics aus den Cookies an Google Server ist eine Einwilligungspflicht zwingend vorgeschrieben. Dies lässt sich schlüssig aus Art. 5 (3) ePrivacy Richtlinie herleiten, die gemäß des BGH-Urteils vom 28.05.2020 (I ZR 7/16) zu Cookies für Deutschland anzuwenden ist bzw. § 15 Abs. 3 TMG richtlinienkonform auszulegen ist.

Die Client Id heißt zwar Client Id, damit ist aber eine Identifikation für einen Nutzer (= Client) gemeint.

Es ist nicht gemeint, dass die Identifikation in jedem Fall auf dem Client (also dem Endgerät des Nutzers, wenn man das Endgerät als Client bezeichnen möchte) gespeichert wird. Bei cookiebehaftetem Betrieb von Google Analytics wird die Client Id auf dem Endgerät des Nutzers gespeichert. Bei cookielosem Betrieb wird die Client Id nicht auf dem Endgerät des Nutzers gespeichert – die Speicherung von Informationen im Endgerät des Nutzers funktioniert ohne Cookies nicht (Stand: 05.03.2021)!

Beweis für Zugriff auf Cookies durch Google Analytics

Dass der Zugriff auf Cookies durch Google Analytics erfolgt, lässt sich wie folgt beweisen:

Die von Google Analytics beim Aufruf einer willkürlich ausgesuchten Webseite erzeugten Cookies sind folgende:

Dass diese Cookies von Google Analytics erzeugt wurden, lässt sich ebenfalls beweisen. Das spare ich hier aus. Jeder technisch halbwegs Begabte wird es alleine hinbekommen.

Dass Google Analytics auf diese Cookies zugreift, lässt sich beweisen, indem man sich das Tracking Event anschaut, welche durch das Google Analytics Script abgesetzt wird:

https://www.google-analytics.com/j/collect?v=1&_v=j87&aip=1&cid=1111111162.1612337222&_gid=4444463630.1612555025

Der eigentliche Aufruf ist noch viel länger. Er wurde aus Datenschutzgründen und für eine bessere Übersichtlichkeit gekürzt. Wie man sehen kann, werden in den Parameter cid und _gid die in den Cookies gespeicherten Werte übertragen. Demnach fand eindeutig ein Zugriff auf die Cookies statt, also ein Zugriff auf die im Endgerät des Nutzers gespeicherten Informationen. Dieser Beweis ist unangreifbar, weil jederzeit reproduzierbar (Stand: 10.02.2021).

Cookies sind kein berechtigtes Interesse

Dass Cookies hier nicht durch ein berechtigtes Interesse gedeckt sind, kann alleine daraus abgeleitet werden, dass Google Analytics auch ohne Cookies betrieben werden kann. Dieser Fall wird als nächstes betrachtet. Übrigens wäre es auch egal, wenn Cookies dem berechtigten Interesse zuzuordnen wären. Denn der § 25 TTDSG, der die Einwilligungspflicht von Cookies regelt, kennt das berechtigte Interesse gar nicht! Das TTDSG ist in diesem Punkt ein Sondergesetz zur DSGVO und hat bezüglich Cookies Vorrang vor der DSGVO. Laut TTDSG spielt es auch keine Rolle, ob in den Cookies Werte stehen, die personenbezogen sind oder auch nicht. Das TTDSG realisiert die ePrivacy-Richtlinie der EU nahezu wortgleich für Deutschland.

Wenn Google Analytics statt herkömmlicher Cookies die sogenannte HTML5 Local Storage verwendet, ist die Rechtsgrundlage identisch. Das bedeutet, dass auch mit dieser sogenannten Web Storage eine Einwilligung vom Nutzer eingeholt werden muss.

Google Analytics ohne Cookies

Einer meiner anderen Artikel beschreibt die Konfiguration von Google Analytics ohne Cookies.

Wird Google Analytics so konfiguriert, dass keine Cookies zum Einsatz kommen, ist die Charakteristik wie folgt:

• Führen einer Client Id pro Nutzer, die pro Browser und Endgerät eindeutig ist
• Nutzen des Browser Fingerprints
• Analyse von Klickpfaden
• Auswertung von Nutzer-Verweildauern auf Seiten

Die Client Id wird bei jedem Tracking Event vom Analytics Tool natürlich zu Google Servern geschickt. Allerdings wird die Client Id, wenn keine Cookies verwendet werden, bei jedem Aufruf einer anderen Seite der Domäne (also der besuchten Webseite) mit einem anderen Wert belegt. Google Analytics erkennt also einen Nutzer selbst innerhalb ein und derselben Sitzung nicht als wiederkehrend, wenn der Nutzer zwei Seiten derselben Webseite aufruft. Dies verwundert nicht, denn eine Übergabe der Client Id von Seite 1 nach Seite 2 kann ohne Cookies nicht direkt stattfinden und höchstens (heimlich) durch nicht direkt nachweisbares Fingerprinting vonstatten gehen.

Mit Hilfe der Client Id kann ein Nutzer nachverfolgt werden. Die Client Id wiederum kann von der Webseite, die Google Analytics nutzt, ausgelesen werden. Der Code für das Auslesen der Client Id lautet:

// Auslesen der Client ID
// Code erst nach dem send Befehl ausführen!
ga(function(tracker) {
  console.log(tracker.get('clientId'));
});

Nun kann eine Webseite für jeden Nutzer dessen IP-Adresse speichern. Gleichzeitig kann zur IP-Adresse jedes Nutzers die zugehörige Client Id mit abgespeichert werden. Dass dies überhaupt möglich ist, liegt schlicht daran, dass Google Analytics die Client Id der Webseite zugänglich macht.

Eine datenschutzfreundliche Variante von Google Analytics, die es wegen der Existenz der Client Id nicht gibt, würde die Client Id zumindest kodiert auf dem Endgerät des Nutzers halten und erst auf dem Google Server und somit im Google Analytics Dashboard dekodieren. Dies würde es verhindern, dass man nachvollziehen kann, welcher Nutzer im Browser welchem Treffer im Google Analytics Dashboard zugeordnet ist.

Da Google Universal Analytics die Client Id im Klartext vorhält, kann man später die Google Analytics Daten exportieren oder über eine Schnittstelle abfragen und anschließend mit eigenen Aufzeichnungen zu Nutzern abmischen. Das Aufzeichnen der IP-Adresse des Nutzers ist jedenfalls insgeheim möglich, ohne dass es nachgewiesen werden kann. Was allerdings nachweisbar wäre, ist der Datentransfer der Client Id zu einem eigenen Server. Hierfür wäre ein JavaScript-Aufruf per AJAX notwendig. Alternativ könnte man beim Aufruf einer Folgeseite die Client Id als Parameter mit übergeben, was ebenfalls nachweisbar wäre. Zusätzlich wäre der Nachteil dieses Vorgehens, dass ein Tracking nicht stattfinden könnte, wenn die Webseite ganz verlassen wird.

Sofern die Client Id zum eigenen Server, also dem Server der gerade besuchten Webseite, übertragen wird, ist eine Einwilligungspflicht gegeben.

Wird die Client Id nur zum Google Analytics Konto geschickt und nicht anderswo hin, ist eine Einwilligungspflicht gemäß Art. 6 DSGVO nicht direkt gegeben. Allerdings muss gemäß Art. 12 DSGVO eine transparente Information über Datenverarbeitungsvorgänge stattfinden. Die Datenschutzangaben des Google Konzerns sind das Gegenteil von transparent.

Wer sich allerdings die Hilfe von Google ansieht, kann dort nachlesen, dass eine Nachverfolgung einzelner Nutzer anhand der Client Id über einen längeren Zeitraum und über mehrere Kontaktpunkte (Touch Points) stattfinden kann. Alleine dies erscheint einwilligungspflichtig. Dies gilt meiner Meinung nach auch, wenn nur mit Google Analytics 360 (GA 360, früher GA Premium) eine tief gehende Nutzeranalyse möglich ist, GA 360 aber gar nicht aktiv genutzt wird. GA 360 erlaubt direkt den Zugriff auf Rohdaten (bei GA360 zahlt man im Wesentlichen wohl für die Möglichkeit des Rohdatenexports und der Auswertung dieser Daten).

Auch gilt die Einwilligungspflicht, wenn man tief in die Trickkiste greifen müsste, um eine sogenannte Clickstream Analyse mit Google Analytics (etwa über den Google Tag Manager) durchzuführen. Einen Link zum Artikel, die zeigen, wie das geht, spare ich hier aus, um niemanden falsch zu motivieren. Kurz gesagt, zeichnet man auf, wie Google Analytics Daten aufzeichnet. Später vergleicht man die Metadaten mit den Tracking-Daten, um daraus feingranularer Hits zu machen, die einzelnen Nutzern zugeordnet werden können.

Update vom 30.04.2021: Von Google selbst liegt eine offizielle schriftliche Aussage vor, wonach alle (!) Google Analytics Daten in den USA gespeichert und ausgewertet werden. Demnach liegt immer ein Datentransfer in die USA vor, wonach die Frage aus Art. 44 DSGVO entsteht.

Bevor die Google Analytics Daten in den USA landen, werden Sie meist von sogenannten Kollektoren möglichst in der geographischen Nähe des Besuchers einer Webseite eingesammelt und möglicherweise über Zwischenstationen an das Ziel geschickt. Somit findet potentiell eine weltweite Datenverarbeitung statt.

Speicherung der Client Id

Wird Google Analytics ohne Cookies betrieben, wird die Client Id nicht im Endgerät des Nutzers gespeichert, sondern existiert dort nur im Hauptspeicher als flüchtige Information.

Die Client Id wird bei Betrieb ohne Cookies „lediglich“ auf Google Servern gespeichert, was immer noch schlimm genug ist (siehe oben). Hier zur Veranschaulichung das Bild, was derjenige sieht, wenn er Google Analytics auf seiner Webseite einbindet und später im Google Analytics Dashboard die gesammelten Daten auswertet:

Es wäre für Google ohne weiteres möglich gewesen, diese Client Id nicht verfügbar zu machen und somit datenschutzfreundlicher zu sein. Dies wollte Google nicht, wollte also nicht datenschutzfreundlich sein.

Was man aus den Google Analytics Daten machen kann, zeigt folgender Screenshot:

Die Daten sind nicht über Standardmittel von Google verfügbar, können aber ohne weitere Google Produkte erhalten werden. Wie die Abbildung zeigt, können sogar Keywords ausgelesen werden, die bei der Suche nach der gerade aufgerufenen Webseite verwendet wurden. Auch wird jedem individuellen Nutzer ein eigener Identifizierer zugewiesen. So können Nutzer über mehrere Kanäle hinweg verfolgt werden. Das geht sogar recht einfach mit einer eigenen Kopie des Google Analytics Scripts, was allerdings schnell auffällt, wenn jemand mit technischem und Datenschutzverständnis genauer hinsieht. Eine Google-Dokumentation zeigt, wie viele Daten pro Nutzer-Interaktion mit Google Analytics aufgezeichnet werden. Es sind so viele, dass man deren Anzahl nur automatisiert abzählen kann. Es sind 257 Attribute pro Hit (Stand: 26.07.2021). Diese Aufzeichnung findet immer statt, steht aber nur in Google Analytics 360 zur Verfügung.

Hier ein positiveres Beispiel mit Matomo, an dem man sieht, dass das Führen derselben Client Id im Browser der besuchten Webseite und auf dem Server, wo die Analyse-Ergebnisse gespeichert werden, offensichtlich nicht notwendig ist:

Matomo speichert diesen Besucher mit folgendem Datentransfer, der im Browser stattfindet:

action_name=&idsite=1&rec=1&r=477433&h=13&m=29&s=28&url=https://xyz.de/&_id=&_idts=16149xx369&_idvc=1&_idn=1&_refts=0&_viewts=16149xx369&send_image=0&res=1920×1080&gt_ms=236&pv_id=bxxyyP

Wie man durch Vergleich dieser Parameter mit dem vorigen Screenshot sehen kann, ist dort nirgends die Besucher ID 67f37f3a2aa98b84 erkennbar. Selbst in einem Sitzungs-Cookie von Matomo wird diese ID nicht gespeichert, sondern der Wert 8xx1f5bec073xxffe61862b70312xxe0.

Eine Zuordnung eines Nutzers im Browser mit einem Besucher im Ergebnis von Matomo ist somit nicht möglich und somit weitaus datenschutzfreundlicher als Google Analytics.

Es gibt darüber hinaus Tools, die ganz ohne Client Id auskommen. Da ich hier keine Werbung für kommerzielle Anbieter machen möchte, nenne ich den mir bekannten Anbieter gerne auf Anfrage.

AVV mit Google?

Da in einer cookielosen Konfiguration und ohne Weitergabe von Analytics-Daten an Dritte ein AVV mit Google geschlossen werden müsste, haftet in erster Linie der Verantwortliche für die Webseite. Ein AVV ist ein Auftragsverarbeitungsvertrag. Ein solcher kann allerdings nur mit Google abgeschlossen werden, wenn Google die mit Google Analytics erhobenen Daten nicht für eigene Zwecke verwendet.

Datenweitergabe an Dritte

In den Nutzungsbedingungen für Google Analytics ist unter Punkt 6 angegeben, dass Google Daten an Dritte weitergeben kann, um den Dienst bereitzustellen. Dies ist an sich zulässig, sofern die Dritten ein der DSGVO angemessenes Schutzniveau garantieren können. Hier stellt sich die Frage, wer diese Dritten sind. Lassen wir diesen Punkt kulanterweise außen vor.

Datenzugriff aus unsicherem Drittland

Im ersten Satz der eben genannten Nutzungsbedingungen wird Google LLC erwähnt: „Diese Nutzungsbedingungen für Google Analytics … gelten zwischen Google LLC und Ihnen …"). Google LLC hat seinen Firmensitz in den USA.

Ein weiterer Hinweis, dass ein Google Analytics Kunde in Wirklichkeit mit Google LLC, USA, seinen Vertrag abschließt und nicht etwa mit Google Ireland Limited, Irland. Google verschickt an Analytics Kunden gelegentlich E-Mails. Eine solche Mail erhielt ich:

Die Fußzeile der Mail liest sich wie folgt:

Wohl gemerkt, bin ich mit einer Firma mit Standort Deutschland bei Analytics registriert. Diese Angabe fragt Google explizit ab, um für Europa geltende Bedingungen auszuspielen.

Die eben genannte E-Mail und die Angabe in der Vereinbarung mit Google bei Abschluss eines Analytics Kontos sehe ich als Beleg dafür an, dass der Vertragspartner Google LLC, USA ist. Klickt man auf den Abmelden-Link in der genannten Mail, erscheint eine Webseite, in der wiederum Google LLC, USA, als Betreiber der Webseite genannt ist.

Die USA sind ein unsicheres Drittland, für die es keine Garantien geben kann, dass die DSGVO eingehalten wird. Der DSGVO entgegenstehen das FISA Gesetz (Gesetz zur Auslandsaufklärung) sowie der Cloud Act. Standardvertragsklauseln sind für die USA also Bullshit.

Eigene Client Id verwenden

Es ist möglich, anstelle der von Google vergebenen Client Id eine eigene zu verwenden. Das macht insbesondere beim Einsatz mehrerer Google Analytics Konten Sinn.

ga('create', 'UA-XXXXX-Y', {
  'storage':  'none',
  'clientId': '12a24efd-ec42-492a-92df-c62cfd4540a3'
});

Der gezeigte Quellcode übergibt an Google Analytics eine eigene Client Id, die zuvor von der Webseite erzeugt oder für einen wiederkehrenden User erneut vergeben wurde. Außerdem werden Cookies deaktiviert. Mit Cookies wäre der Fall identisch wie weiter oben beschrieben.

Die Verwendung einer eigenen Client Id führt direkt zu einem Einwilligungserfordernis gemäß Art. 5 Abs. 1 c DSGVO oder Art. 25 DSGVO, den Geboten der Datenminimierung und dem Datenschutz durch Technikgestaltung.

Eigene User ID für Google Analytics

Statt einer Client Id kann eine Webseite eine eigene User ID verwenden. Die Unterschiede zwischen Client Id und User ID sind:

• Die Client Id ist pseudonymisiert und auf einen Browser auf einem Endgerät beschränkt. Die User ID kann geräteübergreifend arbeiten und Nutzer personenbezogen identifizieren.
• Die Client Id ist der Standard für Google Analytics Auswertungen. Die User ID muss für Auswertungen freigeschaltet werden.
• Die Client Id wird automatisch vergeben. Die User ID muss vom Google Analytics Kunden vergeben und verwaltet werden.

Der folgende Code zeigt die Übergabe einer eigenen User ID an Google Analytics.

ga('create', 'UA-XXXXX-Y', 'auto', {
  userId: USER_ID
});
ga('send', 'pageview');

Bevor die User ID an Google Analytics übergeben wird, muss sie natürlich selbst generiert werden.

Die User ID kann insgeheim mit einer IP-Adresse verknüpft werden. Ferner kann unterstellt werden, dass die User ID mit Daten des Nutzers, die auf anderem Wege erhoben wurden oder werden, abgeglichen wird.

Demnach ist eine Einwilligung bei Führen einer eigenen User ID für Google Analytics notwendig.

Zusammenfassung

Die folgende Tabelle zeigt die Beurteilung zur Einwilligungspflicht bei verschiedenen Google Analytics Konfigurationen:

Für all diese Szenarien gilt gemäß Art. 44ff DSGVO eine Einwilligungspflicht, weil der Dienstanbieter Google LLC in den USA sitzt und weltweit tätig ist sowie Daten an Dritte weitergibt.

Ebenso gilt für all diese Szenarien weiterhin, dass wahrscheinlich eine Einwilligungspflicht wegen Art. 12 DSGVO vorliegt. Dieser Artikel besagt, dass eine transparente Information des Nutzers zu erfolgen hat. Art. 5 Abs. 1 b DSGVO fordert zudem eindeutige, festgelegte Zwecke. Können Sie mir die Datenschutz- und Nutzungsbedingungen von Google erklären? Können Sie mir verraten, wer oder was mit „Google“ gemeint ist? Zu letzterem ist mir mittlerweile die Antwort erschienen, dass „Google“ im Sinne der Google-Datenschutzerklärung für den EWR quasi dem Google-Konzern entspricht, also Google Irland, Google USA sowie den über hundert Unterauftragsverarbeitern.

Bei allem ist darauf zu achten, keine Opt-Out Cookies zu verwenden. Stattdessen darf das Google Analytics Script nicht mehr geladen werden, wenn der Nutzer seine Einwilligung widerrufen hat.

Wer Wert auf hohe Rechtssicherheit legt, sollte ein anderes Analyse-Werkzeug einsetzen. Beispielsweise kann Matomo in lokaler Installation so konfiguriert werden, dass eine Einwilligung nicht erforderlich ist. Auch WP Statistics für WordPress Webseiten macht einen guten Job.