Ein praktischer Leitfaden zu DSGVO-konforme Webanalyse

Dieser Leitfaden erklärt DSGVO-konforme Webanalyse praxisnah und mit Fokus auf datenschutzfreundliche Analytics-Entscheidungen.

GDPR-konforme Webanalysen sind möglich, erfordern jedoch mehr als das Hinzufügen eines Cookie-Banners. Das Analyse-Setup muss eine rechtliche Grundlage haben, die ePrivacy-Regeln respektieren, personenbezogene Daten minimieren, Übertragungen rechtmäßig abwickeln und den Benutzern klare Informationen geben.

Das Problem wurde nach Schrems II deutlicher, als der Gerichtshof den Datenschutzschild für ungültig erklärte und Organisationen für die Bewertung der Risiken von Drittlandstransfers verantwortlich machte (EuGH C-311/18). Mehrere europäische Regulierungsbehörden befanden später bestimmte Google Analytics-Implementierungen für rechtswidrig, weil Daten ohne angemessene Sicherheitsvorkehrungen in die Vereinigten Staaten übertragen wurden, darunter die formelle Bekanntmachungsanalyse der französischen CNIL (CNIL anonymisierte Entscheidung) und der von noyb zusammengefasste österreichische DSB-Fall (Österreichische DSB Google Analytics-Entscheidung).

Was konforme Analysen lösen müssen

Ein GDPR-fähiges Setup benötigt Antworten auf fünf Fragen.

Welche Daten werden erfasst? IP-Adressen, Cookie IDs, Benutzer IDs, Gerätedaten, URLs, Suchbegriffe und Ereigniseigenschaften können personenbezogene Daten sein.

Warum werden sie gesammelt? Definieren Sie Zwecke wie Leistungsmessung, Inhaltsverbesserung, Conversion-Tracking oder Sicherheit. Vermeiden Sie vage Wiederverwendung.

Welche Rechtsgrundlage gilt? Für Cookies und Werbetracker ist häufig eine Einwilligung erforderlich. Berechtigte Interessen können bei First-Party-Analysen mit geringem Risiko in Betracht gezogen werden, erfordern jedoch eine Abwägungsprüfung und erfüllen möglicherweise nicht in jedem Land die ePrivacy-Einwilligungsregeln.

Wohin gehen die Daten? Ordnen Sie Prozessoren, Unterprozessoren, Supportzugriff, Protokolle, Sicherungen und Übertragungen zu.

Wie lange werden sie aufbewahrt? Rohe Ereignisdaten sollten einen definierten Aufbewahrungszeitraum haben.

Google Analytics Risikogebiete

GA4 umfasst stärkere Kontrollen als ältere Universal Analytics, und Google gibt an, dass GA4 IP-Adressen nicht protokolliert oder speichert (Google-Schutzmaßnahmen). Websitebesitzer müssen jedoch weiterhin Cookies, Gerätedaten, Google Signals, Werbefunktionen, Datenfreigabeeinstellungen, Einwilligungsmodus, Verträge, regionale Kontrollen und internationale Übertragungen bewerten. Das EU-US-Datenschutzrahmenwerk kann relevant sein, wenn ein zertifizierter US-Empfänger beteiligt ist, es ersetzt jedoch nicht die ePrivacy-Einwilligung, Minimierung, Transparenz oder Zweckbegrenzungsarbeit.

Der größte Compliance-Fehler besteht darin, Google Analytics in jeder Situation automatisch als legal oder illegal zu behandeln. Die richtige Antwort hängt von der Konfiguration, dem Land, dem Übertragungsmechanismus, dem Einwilligungsverhalten und davon ab, ob Werbefunktionen aktiviert sind. Für viele Teams, bei denen der Datenschutz an erster Stelle steht, besteht die einfachere Wahl darin, einen Großteil dieser Komplexität zu vermeiden.

Sicherere Analysearchitektur

Ein datenschutzorientierter Analyse-Stack umfasst normalerweise:

• Keine Cookies von Drittanbietern.
• Kein Cross-Site-Tracking.
• Keine Fingerabdrücke.
• Keine Speicherung vollständiger IP-Adressen.
• Keine personenbezogenen Daten in Ereignisobjekten.
• EU oder Verarbeitung im Angemessenheitsland, sofern möglich.
• Standardmäßig aggregierte Berichte.
• Kurze Aufbewahrung für Rohereignisse.
• Eine klare DPA- und Unterprozessorliste.

Dies befreit die Organisation nicht von der rechtlichen Analyse, verringert jedoch das Risiko und erleichtert die Analyse.

Praktische Checkliste für die Einrichtung

1. Überprüfen Sie aktuelle Skripte mit Browser-Entwicklungstools.
2. Entfernen Sie nicht verwendete Tags und Pixel.
3. Entscheiden Sie, welche Kennzahlen tatsächlich notwendig sind.
4. Wählen Sie ein Tool, das die Messung ohne Cookies unterstützt.
5. Entfernen Sie Abfrageparameter, die möglicherweise personenbezogene Daten enthalten.
6. Schreiben Sie eine Richtlinie zur Benennung von Ereignissen.
7. Dokumentieren Sie die Rechtsgrundlage und das Einwilligungsverhalten nach Ländern.
8. Überprüfen Sie Datenübertragungen und Lieferantenverträge.
9. Legen Sie Aufbewahrungsfristen fest.
10. Aktualisieren Sie die Datenschutzerklärung.

Was Sie vermeiden sollten

Vermeiden Sie Sitzungswiederholungen auf sensiblen Seiten, das Sammeln von Freitexteingaben, das Senden angemeldeter Benutzer IDs an Werbeplattformen, die standardmäßige Aktivierung aller „erweiterten“ Messfunktionen und die Annahme einer Anonymisierung, wenn Daten lediglich pseudonymisiert sind.

GDPR-konforme Analysen sind meist disziplinierte Zurückhaltung. Messen Sie die Dinge, die die Website verbessern, nicht alles, was ein Browser offenbaren kann.

Einwilligung vs. berechtigte Interessen

Teams wünschen sich oft eine universelle Antwort darauf, ob Analysen im Rahmen legitimer Interessen durchgeführt werden können. Eine allgemeingültige Antwort gibt es nicht. In manchen Gerichtsbarkeiten lässt sich eine aggregierte Analyseeinrichtung ohne Cookies von Erstanbietern, die nur zum Verständnis der Website-Leistung dient, möglicherweise leichter rechtfertigen. Analysen, die Identifikatoren festlegen, Benutzer über Sitzungen hinweg verfolgen, Daten mit Werbeplattformen teilen oder Profiling ermöglichen, erfordern in der Regel eine Einwilligung gemäß den ePrivacy-Regeln und können im Rahmen berechtigter Interessen schwieriger zu rechtfertigen sein.

Dokumentieren Sie Ihre Argumentation. Wenn Sie sich auf berechtigte Interessen berufen, führen Sie eine Abwägungsprüfung durch. Wenn Sie sich auf die Einwilligung verlassen, machen Sie die Ablehnung so einfach wie die Annahme und stellen Sie sicher, dass Tags nicht vor der Einwilligung ausgelöst werden.

DPIA löst aus

Ziehen Sie einen DPIA in Betracht, wenn die Analyse gefährdete Personen, sensible Seiten, groß angelegte Profilerstellung, genaue Standorte, Kinderdaten, Gesundheits- oder Finanzkontexte oder grenzüberschreitende Übertragungen mit Anbietern mit hohem Risiko umfasst. Ein DPIA ist nicht nur ein rechtliches Artefakt; Es zwingt das Team zu definieren, ob die Daten das Risiko wert sind.

Ein praktisches Umsetzungsbeispiel

Für eine typische SaaS-Marketing-Website sollten Sie zunächst nur Seitenaufrufe, Referrer, UTM-Parameter, Geräteklasse, Land und eine kleine Gruppe von Conversion-Ereignissen wie signup_started, demo_requested und checkout_completed zulassen. Entfernen Sie E-Mail-Adressen, Konto IDs, Suchtext und Einladungstokens von URLs, bevor Analytics sie erkennt. Behalten Sie die Kampagnenparameter bei, definieren Sie jedoch eine Zulassungsliste, damit versehentliche Werte wie ?email= oder ?customer_id= gelöscht werden.

Testen Sie anschließend die Implementierung in einem sauberen Browserprofil. Lehnen Sie optionale Cookies ab, laden Sie die Website neu und überprüfen Sie den Netzwerk- und Anwendungsspeicher. Das Ergebnis sollte mit der Datenschutzerklärung und den von Ihnen dokumentierten Rechtsgrundlagen übereinstimmen. Wenn der Browser weiterhin Aufrufe von Drittanbietern oder persistente Identifikatoren anzeigt, ist die Compliance-Story noch nicht abgeschlossen.

Compliance-Nachweise, die aufbewahrt werden müssen

Führen Sie ein Analyse-Beweispaket: Ereignisinventar, Zweck jedes Ereignisses, Speicher- und Einwilligungsverhalten nach Region, Übertragungsmechanismus, Lieferantenverträge, Aufbewahrungseinstellungen, aktivierte Werbefunktionen sowie Screenshots oder Protokolle von Browsertests. Behandeln Sie den Wortlaut von GDPR als Umsetzungsziel und nicht als pauschale rechtliche Schlussfolgerung über den Namen eines Tools.

Anschließend testen Sie die Seite in einem sauberen Browserprofil und vergleichen das Ergebnis mit der Datenschutzerklärung. Wenn der Browser nach der Ablehnung immer noch ungeplante Anrufe von Drittanbietern, dauerhafte Identifikatoren oder Abfragezeichenfolgendaten anzeigt, ist die Compliance-Story noch nicht abgeschlossen.