Google Analytics 4

Google Analytics 4 ersetzt ab 1. Juli 2023 endgültig die Version 3 – was ändert sich?

Der Wechsel von kurz GA3 zu GA4 hat Einfluss auf Marketing und Datenschutz, aber wer das mächtige Werkzeug verwenden möchte, muss es entweder extrem datensparsam einstellen oder weiter hohen Aufwand für Einwilligungen und Dokumentation treiben.

 

Verbesserungen

Google hat mit GA4 seine Plattform zur Analyse von Netzaktivitäten erweitert und fortgeschrieben, um besser die Effektivität von Netzseiten einschließlich Marketingmaßnahmen messen zu können. Die Integration in andere Google-Produkte wurde verbessert und der Fokus von Seitenaufrufen auf Ereignisdaten verschoben.

Das Werzeug gibt es in den Versionen „Universal Analytics“ (UA) und „Analytics 4“. Während UA sich auf Sitzungen und Nutzerverhalten auf einzelnen Geräten fokussiert, konzentriert sich Analytics 4 auf die Nachverfolgung von Nutzerereignissen und so von Nutzerverhalten über verschiedene Geräte hinweg.

GA4 bietet neue Möglichkeiten der Datenverarbeitung zu widersprechen ("opt-out“). Sollten Sie diese nutzen wollen, müssen Sie das deutlich machen, damit sie auch gefunden werden.

 

Nachteile

Ab 1. Juli 2023 können Sie mit GA3 keine Daten mehr sammeln. Aber die alten Daten können Sie noch bis 31.12.2023 auswerten, bevor sie gelöscht werden.

Natürlich müssen Sie den neuen Code einbauen und testen. Durch den neuen Fokus auf Ereignisse ändert sich das Datenmodell. Sie müssen eventuell Ihre Berichte anpassen und die Datenschutzdokumentation erneuern.

 

Datenschutz

GA4 kann jetzt eher datenschutzkonform eingesetzt werden, aber problemlos immer noch nicht.

Google Analytics kann ohne Cookies eingesetzt werden, was die Prüfung nach § 25 TTDSG erleichtern würde. Allerdings stellt das Auslesen der Gerätespezifikation, des digitalen Fingerabdrucks („Browser-Fingerprinting“), ebenso einen Auslesevorgang nach § 25 TTDSG dar, der einer Einwilligung bedarf (Vgl. für Österreich § 96 III TKG).

Sie können mit nicht unwesentlichem Aufwand (Mit dem Tag „storage:none“) selbst die Daten anonymisieren, bevor sie an Google übermittelt werden und haben es dann nach Ansicht vieler nicht mehr mit personenbezogenen Daten zu tun, für die Sie einen AVV  und eine Drittlandsfolgeabschätzung (DFA) bräuchten, weil der Mutterkonzern Alpha in den Vereinigten Staaten sitzt. Wenn Sie das nicht tun, anonymisiert Google Ireland die Daten durch IP-Kürzung („IP-Masking“), bevor sie weiter in die USA übermittelt werden. Dann sind jedenfalls ein AVV und eine DFA nötig.

Google sichert zudem zu, dass die Daten von Endgeräten in der EU in jedem Fall nur in der EU verarbeitet werden. Die Daten werden nunmehr statt nach 26 Monaten spätestens nach 14 Monaten gelöscht. Sie können die Genauigkeit der Geo- und Geräteinformationen Ihren Notwendigkeiten anpassen.

Sie können (und sollten) die Verknüpfung zu Google Signals deaktivieren, so dass Google die Daten nicht mit einem Google-Konto verknüpfen kann, falls Sie nicht wissen, wozu Sie das brauchen.

 

Zulässigkeit nach DSGVO

Die Zulässigkeit hängt von Ihrer konkreten Verwendung ab. Denken Sie an den Grundsatz der Datenminimierung: Nur so viel Daten, wie nötig. Sie müssen für jede Datenkategorie begründen können, wozu Sie sie brauchen und warum sie nicht mit weniger einschneidenden Mitteln verarbeitet werden kann.

Sie sollten in der Regel vorher eine wirksame Einwilligung einholen. Die Einwilligung für Cookies entfällt zwar, wenn Sie keine nutzen, aber es bleibt ja das Tracking. Es ist strittig, ob eine Einwilligung überhaupt rechtmäßig sein kann, weil die Tracking- und Profiling-Verfahren zu intransparent sind. Sie sollten diese daher so gut wie möglich in der Datenschutzerklärung darstellen. Ob die Datenübertragung an Google und somit in die USA überhaupt erlaubt ist, ist deshalb derzeit ungeklärt. Jüngst hat das LG Köln mit Urteil 33 O 376/22 vom 23.03.2023 eine Übermittlung als rechtswidrig verworfen.

Wie zuletzt das Versanden der Abmahnwelle gegen die dynamische Einbindung von Google-Fonts zeigt, ist das Risiko dieser Unsicherheit derzeit überschaubar. Die Aufsichtsbehörden gehen, stand heute, trotz Bedenken ebenfalls nicht aktiv gegen GA4 vor.

 

Suche nach Alternativen protokollieren

Aus dem Grundsatz des Datenschutzes durch Technikgestaltung (privacy by design) nach Art. 25 DSGVO ergibt sich, dass Sie weiterhin prüfen müssen, ob es nicht eine bessere Alternative aus Europa oder einem „sicheren Drittland“, wie Israel, Japan, Kanada, Schweiz, gibt.

Sie sollten einen kurzen Vermerk dazu erstellen, der zumindest folgende Faktoren berücksichtigt: Bedienbarkeit, gewünschte und genutzte Funktionen, erhebliche Kostenänderung, Sicherheitsrisiken. Bei den Sicherheitsrisiken sollten Sie prüfen, ob eine scheinbare Alternative selbst auf US-Dienstleister zugreift. Sie sollten auf jeden Fall dazu Stellung nehmen, ob Sie ausreichend Daten sammeln können, wenn Sie das nötige Werkzeug nur lokal auf Ihrem Host installieren.

 

Datenschutzerklärung

Bitte vergessen Sie nicht, die Art der erfassten Daten, deren Verwendungszweck, die Art der Anonymisierung, die Übermittlung in die USA sowie die Löschfristen in der Datenschutzerklärung deutlich zu machen.

 

Weiterführend

Autor: Florian Thomas Hofmann, Data Privacy Consultant, 29.06.2023

 

Hier erfahren Sie mehr.

Ich berate Sie gerne und freue mich auf Ihre Fragen.

Data Privacy Legal Consultant

Florian Thomas Hofmann