Drücke „Enter”, um zum Inhalt zu springen.

Google Universal Analytics: Rechtskonform nur mit Einwilligung

4

In den letzten Monaten hat sich Google Analytics erheblich weiterentwickelt. Die Frage ist, ob für die im Jahr 2021 vorliegende Version eine Einwilligung erforderlich ist und warum. Die Antwort hängt von der Konfiguration des Tools ab.

Dieser Artikel untersucht vorrangig Google Universal Analytics. Diese Ausprägung von Google Analytics ist die aktuell am häufigsten eingesetzte Variante. Zusätzlich dazu gibt es noch sogenannte Google Analytics 4 Properties. Dabei handelt es sich um Eigenschaften mit neuen Merkmalen, die für das bestehende Google Universal Analytics Konto verwendet werden können. Die parallele Verwendung von GA4 Properties und GA Properties ist möglich.

Google Analytics mit Cookies (Standardkonfiguration)

In der Standardkonfiguration hat Google Analytics folgende Ausprägung:

  • Einsatz von First-Party Cookies
  • Transfer der Werte aus den Cookies zu Google Servern
  • Führen einer Client Id pro Nutzer, die pro Browser und Endgerät eindeutig ist
  • Nutzen des Browser Fingerprints
  • Analyse von Klickpfaden
  • Auswertung von Nutzer-Verweildauern auf Seiten

Aufgrund der eingesetzten Cookies sowie des nachweislichen Datentransfers durch Google Analytics aus den Cookies an Google Server ist eine Einwilligungspflicht zwingend vorgeschrieben. Dies lässt sich schlüssig aus Art. 5 (3) ePrivacy Richtlinie herleiten, die gemäß des BGH-Urteils vom 28.05.2020 (I ZR 7/16) zu Cookies für Deutschland gilt bzw. das TMG richtlinienkonform auszulegen ist.

Beweis für Zugriff auf Cookies durch Google Analytics

Dass der Zugriff auf Cookies durch Google Analytics erfolgt, lässt sich wie folgt beweisen:

Die von Google Analytics beim Aufruf einer willkürlich ausgesuchten Webseite erzeugten Cookies sind folgende:

Von Google Analytics erzeugte Cookies (Werte verfremdet)

Dass diese Cookies von Google Analytics erzeugt wurden, lässt sich ebenfalls beweisen. Das spare ich hier aus. Jeder technisch halbwegs Begabte wird es alleine hinbekommen.

Dass Google Analytics auf diese Cookies zugreift, lässt sich beweisen, indem man sich das Tracking Event anschaut, welche durch das Google Analytics Script abgesetzt wird:

https://www.google-analytics.com/j/collect?v=1&_v=j87&aip=1&cid=1111111162.1612337222&_gid=4444463630.1612555025

Der eigentliche Aufruf ist noch viel länger. Er wurde aus Datenschutzgründen und für eine bessere Übersichtlichkeit gekürzt. Wie man sehen kann, werden in den Parameter cid und _gid die in den Cookies gespeicherten Werte übertragen. Demnach fand eindeutig ein Zugriff auf die Cookies statt, also ein Zugriff auf die im Endgerät des Nutzers gespeicherten Informationen. Dieser Beweis ist unangreifbar, weil jederzeit reproduzierbar (Stand: 10.02.2021).

Cookies sind kein berechtigtes Interesse

Dass Cookies hier nicht durch ein berechtigtes Interesse gedeckt sind, kann alleine daraus abgeleitet werden, dass Google Analytics auch ohne Cookies betrieben werden kann. Dieser Fall wird als nächstes betrachtet.

Wenn Google Analytics statt herkömmlicher Cookies die sogenannte HTML5 Local Storage verwendet, ist die Rechtsgrundlage identisch. Das bedeutet, dass auch mit dieser sogenannten Web Storage eine Einwilligung vom Nutzer eingeholt werden muss.

Google Analytics mit Cookies oder Web Storage bedarf einer Einwilligung aufgrund der ePrivacy Richtlinie

Standardkonfiguration von Google Analytics

Google Analytics ohne Cookies

Einer meiner anderen Artikel beschreibt die Konfiguration von Google Analytics ohne Cookies.

Wird Google Analytics so konfiguriert, dass keine Cookies zum Einsatz kommen, ist die Charakteristik wie folgt:

  • Führen einer Client Id pro Nutzer, die pro Browser und Endgerät eindeutig ist
  • Nutzen des Browser Fingerprints
  • Analyse von Klickpfaden
  • Auswertung von Nutzer-Verweildauern auf Seiten

Die Client Id wird bei jedem Tracking Event vom Analytics Tool natürlich zu Google Servern geschickt.

Mit Hilfe der Client Id kann ein Nutzer nachverfolgt werden. Die Client Id wiederum kann von der Webseite, die Google Analytics nutzt, ausgelesen werden. Der Code für das Auslesen der Client Id lautet:

// Auslesen der Client ID
// Code erst nach dem send Befehl ausführen!
ga(function(tracker) {
  console.log(tracker.get('clientId'));
});

Nun kann eine Webseite für jeden Nutzer dessen IP-Adresse speichern. Gleichzeitig kann zur IP-Adresse jedes Nutzers die zugehörige Client Id mit abgespeichert werden. Dass dies überhaupt möglich ist, liegt schlicht daran, dass Google Analytics die Client Id der Webseite zugänglich macht.

Eine datenschutzfreundliche Variante von Google Analytics, die es wegen der Existenz der Client Id nicht gibt, würde die Client Id zumindest kodiert auf dem Endgerät des Nutzers halten und erst auf dem Google Server und somit im Google Analytics Dashboard dekodieren.

Da Google Universal Analytics die Client Id im Klartext vorhält, kann man später die Google Analytics Daten exportieren oder über eine Schnittstelle abfragen und anschließend mit eigenen Aufzeichnungen zu Nutzern abmischen. Das Aufzeichnen der IP-Adresse des Nutzers ist jedenfalls insgeheim möglich, ohne dass es nachgewiesen werden kann. Was allerdings nachweisbar wäre, ist der Datentransfer der Client Id zu einem eigenen Server. Hierfür wäre ein JavaScript-Aufruf per AJAX notwendig. Alternativ könnte man beim Aufruf einer Folgeseite die Client Id als Parameter mit übergeben, was ebenfalls nachweisbar wäre. Zusätzlich wäre der Nachteil dieses Vorgehens, dass ein Tracking nicht stattfinden könnte, wenn die Webseite ganz verlassen wird.

Sofern die Client Id zum eigenen Server, also dem Server der gerade besuchten Webseite, übertragen wird, ist eine Einwilligungspflicht gegeben.

Wird die Client Id nur zum Google Analytics Konto geschickt und nicht anderswo hin, ist eine Einwilligungspflicht gemäß Art. 6 DSGVO nicht direkt gegeben. Allerdings muss gemäß Art. 12 DSGVO eine transparente Information über Datenverarbeitungsvorgänge stattfinden. Die Datenschutzangaben des Google Konzerns sind das Gegenteil von transparent.

Da in einer cookielosen Konfiguration und ohne Weitergabe von Analytics-Daten an Dritte ein AVV mit Google geschlossen werden müsste, haftet in erster Linie der Verantwortliche für die Webseite. Ein AVV ist ein Auftragsverarbeitungsvertrag. Ein solcher kann allerdings nur mit Google abgeschlossen werden, wenn Google die mit Google Analytics erhobenen Daten nicht für eigene Zwecke verwendet.

In den Nutzungsbedingungen für Google Analytics ist unter Punkt 6 angegeben, dass Google Daten an Dritte weitergeben kann, um den Dienst bereitzustellen. Dies ist an sich zulässig, sofern die Dritten ein der DSGVO angemessenes Schutzniveau garantieren können. Hier stellt sich die Frage, wer diese Dritten sind. Lassen wir diesen Punkt kulanterweise außen vor.

Im ersten Satz der eben genannten Nutzungsbedingungen wird Google LLC erwähnt: „Diese Nutzungsbedingungen für Google Analytics … gelten zwischen Google LLC und Ihnen…“). Google LLC hat seinen Firmensitz in den USA.

Die USA sind ein unsicheres Drittland, für die es keine Garantien geben kann, dass die DSGVO eingehalten wird. Der DSGVO entgegen stehen das FISA Gesetz (Gesetz zur Auslandsaufklärung) sowie der Cloud Act. Standardvertragsklauseln sind für die USA also Bullshit.

Google Analytics ohne Cookies bedarf einer Einwilligung wegen Datentransfers in unsichere Drittländer

Hinzu kommt wahrscheinlich eine Einwilligungspflicht wegen intransparenter Angaben durch Google

Eigene Client Id verwenden

Es ist möglich, anstelle der von Google vergebenen Client Id eine eigene zu verwenden. Das macht insbesondere beim Einsatz mehrerer Google Analytics Konten Sinn.

ga('create', 'UA-XXXXX-Y', {
  'storage':  'none',
  'clientId': '12a24efd-ec42-492a-92df-c62cfd4540a3'
});

Der gezeigte Quellcode übergibt an Google Analytics eine eigene Client Id, die zuvor von der Webseite erzeugt oder für einen wiederkehrenden User erneut vergeben wurde. Außerdem werden Cookies deaktiviert. Mit Cookies wäre der Fall identisch wie weiter oben beschrieben.

Die Verwendung einer eigenen Client Id führt direkt zu einem Einwilligungserfordernis gemäß Art. 6 DSGVO.

Google Analytics mit eigener Client Id ist wegen Art. 6 DSGVO der Einwilligungspflicht unterworfen

hinzu kommen ggfs. weitere rechtliche Forderungen

Eigene User ID für Google Analytics

Statt einer Client Id kann eine Webseite eine eigene User ID verwenden. Die Unterschiede zwischen Client Id und User ID sind:

  • Die Client Id ist pseudonymisiert und auf einen Browser auf einem Endgerät beschränkt. Die User ID kann geräteübergreifend arbeiten und Nutzer personenbezogen identifizieren.
  • Die Client Id ist der Standard für Goole Analytics Auswertungen. Die User ID muss für Auswertungen freigeschaltet werden.
  • Die Client Id wird automatisch vergeben. Die User ID muss vom Google Analytics Kunden vergeben und verwaltet werden.

Der folgende Code zeigt die Übergabe einer eigenen User ID an Google Analytics.

ga('create', 'UA-XXXXX-Y', 'auto', {
  userId: USER_ID
});
ga('send', 'pageview');

Bevor die User ID an Google Analytics übergeben wird, muss sie natürlich selbst generiert werden.

Die User ID kann insgeheim mit einer IP-Adresse verknüpft werden. Ferner kann unterstellt werden, dass die User ID mit Daten des Nutzers, die auf anderem Wege erhoben wurden oder werden, abgeglichen wird.

Demnach ist eine Einwilligung bei Führen einer eigenen User ID für Google Analytics notwendig.

Google Analytics mit eigener User ID ist je nach Ausgestaltung aufgrund von Art. 6 DSGVO oder Art. 5 (3) ePrivacy Richtlinie einwilligungspflichtig

Die User Id kann auf verschiedene Weisen geführt werden. Abhängig davon ist die Beurteilung vorzunehmen.

Zusammenfassung

Die folgende Tabelle zeigt die Beurteilung zur Einwilligungspflicht bei verschiedenen Google Analytics Konfigurationen:

Google Analytics KonfigurationBeurteilung
Mit CookiesEinwilligungspflichtig gemäß Art. 5 (3) ePrivacy Richtlinie
Ohne Cookies, mit Client Id, keine Eigennutzung der Client IdEinwilligungspflichtig gemäß Art. 44ff DSGVO oder Art. 5 DSGVO
Ohne Cookies, mit Client Id, Eigennutzung der Client IdEinwilligungspflichtig gemäß Art. 6 DSGVO oder Art. 5 DSGVO
Ohne Cookies, mit eigener Client IdEinwilligungspflichtig gemäß Art. 6 DSGVO oder Art. 5 DSGVO
Ohne Cookies, mit User IDEinwilligungspflichtig gemäß Art. 5 (3) ePrivacy Richtlinie oder Art. 6 DSGVO oder Art. 5 DSGVO (je nach Implementierung der User ID)
Google Analytics Konfigurationen und rechtliche Einordnung

Für all diese Szenarien gilt gemäß Art. 44ff DSGVO eine Einwilligungspflicht, weil Dienstanbieter die Google LLC in den USA sitzt und weltweit tätig ist sowie Daten an Dritte weitergibt.

Ebenso gilt für all diese Szenarien weiterhin, dass wahrscheinlich eine Einwilligungspflicht wegen Art. 12 DSGVO vorliegt. Dieser Artikel besagt, dass eine transparente Information des Nutzers zu erfolgen hat. Können Sie mir die Datenschutz- und Nutzungsbedingungen von Google erklären? Können Sie mir verraten, wer oder was mit „Google“ gemeint ist?

Bei allem ist darauf zu achten, keine Opt-Out Cookies zu verwenden. Statt dessen darf das Google Analytics Script nicht mehr geladen werden, wenn der Nutzer seine Einwilligung widerrufen hat-

Wer Wert auf hohe Rechtssicherheit legt, sollte ein anderes Analyse-Werkzeug einsetzen. Beispielsweise kann Matomo in lokaler Installation so konfiguriert werden, dass eine Einwilligung nicht erforderlich ist. Auch WP Statistics für WordPress Webseiten macht einen guten Job.

Wer schreibt hier?
Mein Name ist Klaus Meffert. Ich bin promovierter Informatiker und beschäftige mich seit über 30 Jahren professionell und praxisbezogen mit Informationstechnologie. Im Jahr 2017 bin ich zum Datenschutz gekommen. Mir sind juristische Gegebenheiten nicht fremd. Ich versuche, meine Ergebnisse durch Betrachtung von Technik und Recht zu gewinnen. Das scheint mir jedenfalls absolut notwendig, wenn es um digitalen Datenschutz geht. Ich würde mich freuen, wenn Sie meinen Newsletter abonnieren.
Bitte nutzen Sie als Quelle für diesen Artikel oder die Verwendung von Ergebnissen aus diesem Artikel folgende Angabe (leichte Variationen sind erlaubt):
Einen Kurzlink oder eine Bestätigung für Ihre Quellenangabe erhalten Sie kurzfristig auf Anfrage.

Dieser Beitrag wird in anderen Beiträgen erwähnt

Schreiben Sie einen Kommentar

Ihre Mail-Adresse wird nicht veröffentlicht.