Google Analytics 4 – wie datenschutzkonform ist das neue Analyse-Tool?
Das neue Google Analytics 4 scheint die lang ersehnte Antwort auf die Datenschutzvorgaben zu sein, die seit der DSGVO gelten und immer wieder in Konflikt mit der Datensammlung von Universal Analytics standen. Mit Google Analytics 4 möchte Google nun eine datenschutzkonforme Trackingtechnologie anbieten, welche nicht länger auf die Verwendung von Cookies angewiesen ist.
Viele Unternehmen, vor allem aus der Marketingbranche, die in der Vergangenheit schon Google Analytics genutzt haben, fragen sich nun, ob Google Analytics mit der neuen Versionierung DSGVO-konform und ohne datenschutzrechtliches Risiko eingesetzt werden kann.
Eigene Aussagen von Google zum Datenschutz
In den FAQ erklärt Google, welche neuen datenschutzfreundlichen Optionen den Nutzerinnen und Nutzern zur Verfügung stehen. Bei der Datenerhebung in Google Analytics 4 werden, nach eigener Aussage des Anbieters, alle IP-Adressen gelöscht, bevor diese über die EU-Domains und –Server aufgezeichnet werden. Darüber hinaus können in Analytics Funktionen deaktiviert werden, wie die Erhebung von Daten für Google-Signale sowie detaillierte Standort- und Gerätedaten für bestimmte Regionen. Zudem erfolgt die Erhebung von Messdaten in Analytics auf EU-basierten Servern.
So weit so gut, doch fällt bei genauerem Hinsehen auf, dass es immer noch datenschutzrechtliche Bedenken gibt.
Datenschutzrechtliche Herausforderungen beim Einsatz von Google Analytics
Datenschutzrechtlich wirft die Nutzung des Tools immer noch zahlreiche Fragen auf. Zunächst klärt Google in seinen Datenschutzbestimmungen nur oberflächlich darüber auf, welche personenbezogenen Daten beim Einsatz von Google Analytics konkret gespeichert und übermittelt werden. Dabei geht es vorrangig um die Speicherung und Übermittlung vollständiger IP-Adressen der nutzenden Personen an Google. Hierbei kommt es anschließend zur Datenübermittlung personenbezogener Daten in den USA.
Auch wenn es die Möglichkeit gibt, auf einfache Weise IP-Adressen zu anonymisieren, hat Google immer noch die Möglichkeit, aufgrund der Vielzahl anderer gesammelter Daten die Nutzerinnen und Nutzer problemlos zu rekonstruieren. Somit verfehlt die Anonymisierung ihren eigentlichen Zweck, den Personenbezug der IP-Adresse aufzuheben und damit die Anwendung datenschutzrechtlicher Anforderungen auszuschließen. Neben IP-Adressen erhebt und übermittelt Google weitere Daten, z.B. Sprachen, Browserversion, Plug-Ins, Bildschirmgröße, Zeitzone und Endgerät an Google.
Nicht zuletzt bleibt zu erwähnen, dass der Einwilligungsvorbehalt für den Einsatz von Tracking-Technologie (vgl. § 25 Abs. 1 TTDSG) nicht auf Cookies reduziert ist, sondern alle Formen des Trackings umfasst. Die Anforderungen sind dabei auch nicht auf die Verarbeitung personenbezogener Daten reduziert, sondern sind weiter gefasst mit „Informationen auf Endgeräten“ der Nutzerinnen und Nutzer. Somit befreit die Tatsache, dass auf den Einsatz von Cookies verzichtet wird, nicht automatisch von der Anwendung des Einwilligungsvorbehalts.
Integration von Künstlicher Intelligenz
Durch die neue Integration von Künstlicher Intelligenz (KI) in Analytics 4 kann zusätzlich nutzertypisches Verhalten geräteübergreifend erkannt und zusammengeführt werden. Unterschiedliche Blogbeiträge führen aus, dass die integrierte KI bereits anhand von Verhaltensweisen, wie z.B. Scroll-Verhalten, Page Views oder Verhalten auf einer Website, selbst erkennt, um welche Person es sich handelt und dieses Wissen auch mit anderen Gerätenutzungen verknüpft.
Datenschutzrechtlich wirft diese Integration weitere Fragen auf. So bergen die neuen Funktionalitäten die Möglichkeit, Daten, die ursprünglich keine personenbezogenen Daten sind, nutzenden Personen zuzuordnen. Zudem ist es beim Einsatz von KI schwierig für Unternehmen, ihre Webseitengäste transparent über die Verarbeitung ihrer Daten zu informieren. Im Ergebnis gelten für die Anwendung von Google Analytics 4 weiterhin datenschutzrechtliche Anforderungen und das Einwilligungsvorbehalt.
Was bleibt zu tun?
Im Ergebnis sollten Unternehmen vor Verwendung von Google Analytics 4, unter anderem, an die Einholung einer Einwilligung ihrer Nutzerinnen und Nutzer denken, um die Rechtmäßigkeit der Datenverarbeitung zu gewährleisten. Dabei sollten nutzende Personen ausreichend über den Umfang der Datenverarbeitung aufgeklärt werden, insbesondere in Bezug auf den Einsatz Künstlicher Intelligenz. Auch der Verweis auf § 25 TTDSG im Rahmen der Einbindung eines Consent Tools sollte nicht vergessen werden. Zudem ist bei der Konfiguration auf die IP-Anonymisierung zu achten und die Anpassung bzw. Aktualisierung der Datenschutzerklärung.
Praktische Informationen dazu sowie zu weiteren Themen erhalten Sie in unserem Workshop Datenschutzrecht im digitalen Marketing.