Ist Google Analytics DSGVO-konform?

Google und der Datenschutz

Ist Google Analytics DSGVO-konform?

Frank Müns, Geschäftsführer der Immerce GmbH

Na sicher, in den Augen vieler Webshop-Betreiber ist Google Analytics ein nützliches Tool zur Analyse der eigenen Website und damit ist es kaum verwunderlich, dass es das meistgenutzte seiner Art ist. Doch für die Unwissenden: was ist denn Google Analytics überhaupt und wie ist es mit unserer Europäischen Datenschutzgrundverordnung vereinbar?

Google Analytics ist, wie gesagt, ein Analysetool. Das Programm, das, wie der Name sagt, von Google bereitgestellt wird, wird auf ca. der Hälfte aller größerer Webseiten eingesetzt. Dabei lockt viele Nutzer vor allem eines an: Google Analytics ist kostenlos!

Das Tool sammelt Daten über Websitebesucher, von der Verweildauer über das Nutzerverhalten etc. und ermöglicht dem Betreiber der Seite, diese nachzuvollziehen und durch Anpassung an die gesammelten Daten, Aufrufe oder mögliche Verkäufe zu erhöhen. Doch dies ist nicht ganz unstrittig zu sehen, denn viele Datenschützer kritisieren die Nutzung von Googles gratis Analyse-Programm.

Datenschutzrechtliche Aspekte

Die Datenschutzgrundverordnung (DSGVO) nimmt meist vor allem auf sogenannte „personenbezogene Daten“ Bezug. Eine Gruppe dieser Daten sind die IP-Adressen, über die reale Personen nachzuvollziehen sind. Kritisiert wird, dass diese als Drittlandtransfer in den USA auf Servern gespeichert werden beziehungsweise zumindest in die USA transferiert werden. Ein weiterer Kritikpunkt ist die mangelnde Aufklärung darüber, welche Daten von der Übermittlung, beziehungsweise Speicherung betroffen sind. Somit kollidieren Google Analytics und DSGVO miteinander.

Seit einem Urteil des Europäischen Gerichtshofs (EuGH) im Juli 2020 steht fest, dass die USA kein Land sind, das durch Abschluss von Standardvertragsklauseln ein angemessenes Schutzniveau nach Art. 44 DSGVO für die Datenübermittlung bietet.

Reaktionen von Google

Google ergriff im Jahr 2021 daraufhin Maßnahmen. Der kalifornische Konzern setzt nun stärker auf Verschlüsselungen. Jedoch sind keine Maßnahmen von Google ersichtlich, die in irgendeiner Form das erforderliche Datenschutzniveau gewährleisten, das die EU fordert, um den US-Geheimdiensten den Zugang zu den Daten zu verwehren.

Selbst die Verschlüsselungstechnologien verhindern in Zusammenhang mit dem US-amerikanischen Recht nicht, dass sich US-Behörden Zugang zu den Daten beschaffen. Auch wenn Google selbst verneint, dass die gesammelten Daten für eigene Zwecke genutzt werden, ist nicht transparent, ob nicht der Staat in den USA auf die Daten zugreift.

Google Analytics also nicht benutzen?

Falls Sie sich jetzt fragen, ob Sie Google Analytics denn überhaupt benutzen sollen oder können, so wäre mit einem klassischen „Jein“ zu antworten.

Google Analytics ist DSGVO-konform nutzbar. Dazu muss die Nutzung in der eigenen Datenschutzerklärung aufgeführt werden, mitsamt einem aufklärenden Hinweis über die Nutzung. Zudem dürfen keine personenbezogenen Daten erfasst werden. Das heißt, Namen oder E-Mail-Adressen dürfen nicht erfasst werden und die IP-Anonymisierung muss aktiviert sein. Des Weiteren müssen die Auftragsvereinbarungen die DSGVO-Standards erfüllen, unter anderem muss nun Google als Auftragnehmer und der Webseiten-Betreiber als Auftraggeber genannt sein. Jedoch ist selbst dann fraglich, ob die DSGVO eingehalten wird, da es viele rechtliche Probleme gibt, die möglicherweise ein externer Datenschutzbeauftragter für Sie in die Hand nehmen sollte. Das ist grundsätzlich immer ratsam. Unabhängig davon ist es sinnvoll, sich nach Google Analytics Alternativen umzusehen.

Alternative Analyseprogramme

Wie gesagt, es gibt es auch Alternativen zu Google Analytics, die DSGVO-konform zur Analyse der eigenen Website eingesetzt werden können. Folgende Programme können Sie ebenfalls nutzen:

Matomo

Die Nummer Zwei nach dem Google-Giganten ist in Deutschland der Konkurrent Matomo. Werden datenschutzrechtlich relevante Daten gespeichert, so geschieht dies auf einem eigenen Server, womit automatisch mehr Privatsphäre für den Nutzer gewährleistet werden kann. Denn die Daten werden nicht automatisch an einen Drittanbieter weitergeleitet, wie das bei Google der Fall ist. Es ist also unabhängiger und die Daten werden nicht auf US-Servern gespeichert. Matomo hat zudem die IP-Anonymisierung als Standardeinstellung integriert. Das frühere „Piwik“ ist zwar kostenpflichtig, aber dennoch eine gute Alternative.

etracker

etracker ist die DSGVO-konforme „Made-in-Germany“-Alternative. Auch hier werden die Daten anonymisiert und werden auch nicht an Dritte weitergeleitet. Es erfolgt auch kein Drittlandtransfer, da die Daten auf deutschen Servern gespeichert werden. Dieses Analyse-Tool bietet neben Maus-Tracking, Klickpfad-Analyse und Live-Tracking auch selbst einen Datenschutzhinweis, der von den Nutzern in die Website miteingefügt werden kann und dabei DSGVO-konform ist.

Fathom

Falls Sie auf der Suche nach einem kostenlosen Dienst sind, wäre „Fathom“ eine Lösung. Dieses Programm ist durch seinen etwas geringeren Funktionsumfang automatisch DSGVO-konform. Denn hier werden nur die Seitenaufrufe und die Besucherzahlen getrackt, wodurch überhaupt keine personenbezogenen Daten erfasst werden.

Open Web Analytics

Eine weitere kostenlose Plattform bietet Open Web Analytics. Hierbei gibt es kein Limit für getrackte Websites oder für Datensätze. Außerdem können die Daten ebenfalls auf eigenen Servern gespeichert werden, da der Anbieter, wie Matomo, selbst hostet. Hierbei gibt es aber keine eigenen Vorabeinstellung mit Rücksichtnahme auf die DSGVO. Das bedeutet, dass der Betreiber selbst stark auf die Einhaltung der Richtlinien achten muss.

Mixpanel

Mixpanel ist direkt mit der berühmten „Customer Journey“ gekoppelt, denn es findet ein Mapping dieser statt. Zudem wird nicht nur aufgezeichnet, sondern, die einzelnen Punkte der Kaufreise werden analysiert und es werden Optimierungsvorschläge gemacht. Ein gewaltiger Vorteil von Mixpanel ist, dass sich der Dienst schon sehr früh auf die DSGVO eingestellt hat und somit das Handling mit sensiblen Daten erleichtert.

Fazit

Google Analytics ist das größte Analysetool der Welt. Die Nutzung ist zwar theoretisch DSGVO-konform möglich, jedoch sehr umstritten. Denn der Drittlandtransfer personenbezogener Daten kann amerikanischen Geheimdiensten Tür und Tor zu den sensiblen Daten über die Bürger der EU gewährleisten. Google bietet dagegen nicht ausreichende Sicherheit und die vermeintlichen Bemühungen des Konzerns in diese Richtung laufen ins Leere. Jedoch gibt es auch kostenlose und kostenpflichtige Alternativen zu dem amerikanischen Anbieter, mit etracker sogar einem deutschen Tool, bei dem die Daten im Land bleiben. Alles in allem kann auf Google Analytics auch gut verzichtet werden

Die Immerce GmbH erstellt und vertreibt seit über 10 Jahren leistungsstarke Webshops auf Magento und Shopware Basis und betreibt für ihre Kunden Suchmaschinenoptimierung. Seit 2018 ist mit der Einführung der DSGVO der Geschäftsbereich Datenschutz & IT-Sicherheit dazugekommen.

Kontakt
Immerce GmbH
Frank Müns
Kemptener Straße 9
87509 Immenstadt
08323-209 99 43
muens@immerce.de
https://www.immerce.de