Ein praktischer Leitfaden zu Sind Google Analytics und GA4 GDPR konform

Dieser Leitfaden erklärt Sind Google Analytics und GA4 GDPR konform praxisnah und mit Fokus auf datenschutzfreundliche Analytics-Entscheidungen.

Die ehrliche Antwort lautet: GA4 kann datenschutzbewusster konfiguriert werden als ältere Universal Analytics-Setups, aber eine standardmäßige GA4-Bereitstellung ist nicht automatisch GDPR-konform. Die Einhaltung hängt von Konfiguration, Einwilligung, Übertragungsmechanismus, Zwecken, Verträgen, regionalen Einstellungen und den von Ihnen gesendeten Daten ab.

Hierbei handelt es sich nicht um eine Rechtsberatung, sondern um eine praktische Möglichkeit zur Risikoanalyse.

Warum die Frage existiert

Die europäische Durchsetzung von Google Analytics entstand aus Schrems II, dem EuGH-Urteil von 2020, das den EU-US-Datenschutzschild für ungültig erklärte und Exporteure verpflichtete, Standardvertragsklauseln zu verwenden, um zu beurteilen, ob das Recht des Ziellandes im Wesentlichen gleichwertigen Schutz bietet (EuGH Rechtssache C-311/18). Nach diesem Urteil reichte noyb 101 Beschwerden gegen Websites ein, die Google Analytics oder Facebook Connect nutzen.

Mehrere Behörden stellten daraufhin spezifische Google Analytics-Implementierungen in Frage. Die italienische Garante stellte fest, dass eine Website, die Google Analytics verwendet, Benutzerdaten ohne angemessene Sicherheitsvorkehrungen in die USA übermittelte, und betonte, dass IP-Adressen im Kontext personenbezogene Daten seien (Garante). Das schwedische IMY ordnete später Unternehmen an, die geprüfte Version von Google Analytics nicht mehr zu verwenden, und verhängte in zwei Fällen Geldstrafen (IMY).

Was GA4 verbessert hat

GA4 hat Teile des Produkts geändert. Es ist ereignisbasiert, umfasst detailliertere Datenaufbewahrungskontrollen und bietet einwilligungsbezogene Funktionen. Google dokumentiert auch modellierte Schlüsselereignisse für Fälle, in denen Konvertierungen aufgrund von Datenschutz-, technischen oder geräteübergreifenden Einschränkungen nicht direkt beobachtet werden können (GA4 modellierte Schlüsselereignisse).

Diese Verbesserungen sind wichtig. Sie können bei ordnungsgemäßer Verwendung einige Sammel- und Werberisiken verringern. Sie machen eine GDPR-Analyse jedoch nicht überflüssig.

Die wichtigsten Compliance-Fragen

Ein Controller, der GA4 verwendet, sollte mindestens diese Fragen beantworten können:

• Welche Rechtsgrundlage gilt für die Analyseverarbeitung?
• Ist nach den lokalen ePrivacy-Regeln eine Einwilligung erforderlich, weil cookies oder Gerätespeicher verwendet werden?
• Sind Google Signals, Anzeigenpersonalisierung, Remarketing oder detaillierte Standort-/Geräteeinstellungen aktiviert?
• Werden vollständige URLs gesendet und können diese personenbezogene Daten enthalten?
• Wird ein User ID oder eine Kundenkennung an Google gesendet?
• Welcher Aufbewahrungszeitraum ist konfiguriert?
• Welche Google-Entität verarbeitet die Daten und wo?
• Welcher Übertragungsmechanismus gilt, wenn Daten den EWR verlassen?
• Verlässt sich die Organisation auf das EU-US-Datenschutzrahmenwerk, SCCs oder einen anderen Mechanismus?
• Erklärt die Datenschutzerklärung die Verarbeitung klar?

Wenn ein Team diese Fragen nicht beantworten kann, sollte es nicht behaupten, dass GA4 konform ist.

Der EU-US-Datenschutzrahmen hat die Landschaft verändert

Die Europäische Kommission hat am 10. Juli 2023 einen Angemessenheitsbeschluss für den EU-US-Datenschutzrahmen angenommen (Europäische Kommission). Damit erhalten zertifizierte US-Organisationen eine neue Grundlage für EU-US-Übertragungen. Dies ist eine bedeutende Entwicklung und sollte neben SCCs oder anderen Mechanismen, bei denen der DPF nicht verfügbar ist, Teil jeder aktuellen Analyse sein.

Aber Angemessenheit löst nicht alles. Die Einhaltung nach GDPR erfordert außerdem Zweckbindung, Datenminimierung, Transparenz, Sicherheit, Aufbewahrungskontrolle, Verarbeitungsbedingungen und eine gültige Einwilligung, sofern eine Einwilligung erforderlich ist. Ein Übertragungsmechanismus besteht nur aus einer Schicht.

Zustimmung und Cookies

Wenn GA4 mit cookies oder einem ähnlichen Gerätezugriff bereitgestellt wird, ist je nach Gerichtsbarkeit und Konfiguration möglicherweise eine Zustimmung erforderlich, bevor das Skript ausgeführt wird. Im EDPB cookie-Banner-Taskforce-Bericht wird erläutert, dass die Platzierung/Lesung von cookie durch nationale ePrivacy-Regeln geregelt wird, während die nachfolgende Verarbeitung nach GDPR (EDPB Cookie Banner Taskforce) fallen kann.

Die Einwilligung muss real sein. In den EDPB-Einwilligungsrichtlinien wird betont, dass eine gültige Einwilligung frei, spezifisch, informiert und eindeutig erfolgen muss (EDPB-Einwilligungsrichtlinien). Vorab angekreuzte Kästchen, verwirrende Ablehnungsströme oder gebündelte Werbeeinwilligungen sind schwache Grundlagen.

Häufige riskante GA4-Praktiken

Vermeiden Sie diese, es sei denn, Ihre Rechtsabteilung hat ihnen ausdrücklich zugestimmt:

• Versenden von E-Mail-Adressen, Client IDs, Bestell-IDs oder Suchanfragen mit personenbezogenen Daten.
• Hinterlassen vertraulicher Abfrageparameter in Seiten-URLs.
• Aktivieren von Werbefunktionen ohne gültiges Einwilligungsmodell.
• Behandeln der IP-Kürzung oder -Aggregation als vollständige Anonymisierungslösung.
• Verwendung von GA4-Daten für Zwecke, die nicht in Ihrer Datenschutzerklärung angegeben sind.
• Angenommen, ein Einwilligungsbanner behebt alle Übertragungs- und Minimierungsprobleme.

Eine datenschutzorientierte Alternative

Für viele Unternehmen lautet die eigentliche Frage nicht: "Kann GA4 konform gemacht werden?" aber "Brauchen wir GA4?" Wenn Sie sich stark auf Google Ads, modellierte Konvertierungen und den BigQuery-Export verlassen, kann GA4 die Arbeit rechtfertigen. Wenn Sie Website-Traffic, referrers, Kampagnen, Ziele und Umsatzereignisse benötigen, ist ein Cookie-freies Analysetool möglicherweise einfacher bereitzustellen und zu erklären.

Bei einem Analyse-Setup, bei dem der Datenschutz an erster Stelle steht, sollten dauerhafte Identifikatoren vermieden, nur aggregierte Messdaten erfasst, personenbezogene Daten minimiert oder vermieden, sensible URLs entfernt und klare Aufbewahrungs- und Hostingbedingungen bereitgestellt werden. Dadurch entfällt zwar nicht der gesamte Compliance-Aufwand, aber es verringert sich die Anzahl der gesetzlich vorgeschriebenen beweglichen Teile.

Die GA4-Konformität ist keine Ja-oder-Nein-Eigenschaft des Produktnamens. Es ist eine Eigenschaft Ihrer Implementierung. Konfigurieren Sie es bewusst, dokumentieren Sie die Analyse und sammeln Sie nicht mehr, als Ihr Team rechtfertigen kann.

GA4 Überprüfungscheckliste

Dokumentieren Sie die genauen GA4-Eigenschaftseinstellungen vor dem Start: Consent Mode-Modus, Google Signals, Anzeigenpersonalisierung, verknüpfte Google Ads-Konten, User-ID, erweiterte Messung, regionale Einstellungen, Aufbewahrung, BigQuery-Export und benutzerdefinierte Dimensionen. Dann vergleichen Sie einen Clean-Browser-Test mit dem Datenschutzhinweis und dem Einwilligungsbanner. Wenn GA4 Ereignisse vor einer gültigen Auswahl empfängt, vertrauliche URLs empfängt oder Anzeigenfunktionen außerhalb des offengelegten Zwecks verwendet, erfordert die Implementierung mehr Arbeit.

Die endgültige Antwort ist Implementierungsspezifisch. Eine sorgfältige GA4-Einrichtung kann das Risiko verringern, aber der Markenname liefert nicht die Rechtsgrundlage, den Einwilligungsfluss, die Übertragungsbewertung oder die Minimierungsdisziplin.