Ist Google Analytics legal oder illegal: Was Webseitenbetreiber jetzt tun müssen

Worum geht’s?

Google Analytics und der Datenschutz waren nie die besten Freunde. Spätestens seit der DSGVO, den Urteilen des EuGH zum Tracking auf Webseiten und dem TTDSG ist die Nutzung von Google Analytics praktisch nicht mehr so einfach. Wir zeigen Ihnen, ob Sie Google Analytics im Jahr 2022  überhaupt noch rechtssicher nutzen können und was Sie zur Einwilligung und der richtigen Einbindung von Analytics wissen müssen.

1. Google Analytics und Datenschutz

Google gerät regelmäßig mit den Datenschutzbehörden aneinander. Neben AdSense und Google Street View ist es vor allem das Tracking-Tool „Google Analytics“, das seit Jahren Anlass für Rechtsstreitigkeiten und Auseinandersetzungen mit Datenschützern bieten.

Was ist Google Analytics überhaupt?

Google Analytics ist das am meisten genutzte Tool zur Nutzeranalyse auf Webseiten. Je nach Statistik kommt das Analysetool von Google auf ca. 50% größerer Webseiten zum Einsatz. Dafür gibt es zwei Gründe:

Zum einen, weil sich Google wie kein anderes Unternehmen mit Nutzerdaten auskennt. Zum anderen, weil viele (aber nicht mehr alle) Funktionen von Google Analytics kostenlos sind.

Google Analytics sammelt Daten über die Besucher einer Webseite. Die Webseitenbetreiber haben umfangreiche Möglichkeiten, im Konfigurationsmenü die Daten nach den gewünschten Einstellungen zu erheben. Diese Daten können dann nach bestimmten Parametern aufbereitet und von den Seitenbetreibern ausgewertet werden, um so die Aufrufe einer Seite, das Nutzerverhalten oder die Verweildauer nachzuvollziehen. Auch bestimmte Aktionen (Anmeldung zu einem Newsletter, Download eines E-Books, der Kauf von Produkten können über das Conversion-Tracking analysiert werden.

Google Analytics hat sich in den letzten 18 Jahren weiterentwickelt. Die Neuerungen gegenüber der Vorversionen:

• Google Universal Analytics (seit 2013):
  • Geräteübergreifendes Tracking
  • Verbindung mit dem Google Tag Manager
• Google Analytics 4 (seit 2020):
• Tracking auf Basis der Customer Journey des Nutzers
  • enge Zusammenarbeit mit Google Ads
  • Tracking ohne Cookies
  • Administrator hat mehr Kontrolle bei Verwaltung der Daten
  • Prognose des künftigen Nutzerverhaltens soll möglich sein

Viele Websitebetreiber nutzen allerdings nicht ausschließlich die aktuelle Version Google Analytics 4. Es gibt verschiedene Varianten, die Websitebetreiber nutzen.

• Google Analytics 4
• Google Universal Analytics oder ältere Versionen
  Grund: Vielen Betreibern kleinerer Websites reichen die Daten aus, die sie mit der bisherigen Version gewonnen haben. Oft sind die neuen Features von Google Analytics 4 für die Nutzer nicht interessant.
• Google Analytics 4 und Google Universal Analytics parallel
  Grund: Die Websitebetreiber nutzen Google Universal Analytics bereits intensiv für die Analyse des Besucherverhaltens. Sie möchten die Vorteile vorheriger Versionen behalten und sich gleichzeitig mit den neuen Features von Google Analytics 4 vertraut machen.

Was kritisieren die Datenschützer?

Bei der umfassenden Nutzeranalyse fallen natürlich Unmengen an Daten an. Die Datenschützer bemängelten vor allem die Speicherung sowie die Übermittlung vollständiger IP-Adressen der Nutzer an Google in die USA und die Tatsache, dass Google in seinen eigenen Datenschutzbestimmungen nur ungenügend darüber aufklärte, welche Daten überhaupt von Webseitenbesuchern gespeichert und übertragen wurden.

Die Konsequenz war, dass Seitenbetreibern, die Google Analytics nicht datenschutzkonform nutzten, mit Bußgeldern oder Abmahnungen rechnen müssen.

2. Google Analytics vor und nach DSGVO und EuGH-Cookie Urteil

Die Datenschützer bemängeln zum einen, dass die Speicherung sowie die Übermittlung vollständiger IP-Adressen der Nutzer an Google in die USA erfolgt. Weiter wurde kritisiert, dass Google in seinen Datenschutzbestimmungen nur ungenügend darüber aufklärte, welche Daten beim Einsatz von Google Analytics konkret gespeichert und übertragen wurden. Die Datenschutzbehörden haben deshalb Seitenbetreibern, die die Google Analytics nutzen, Bußgelder angedroht.

Vor der DSGVO war die rechtssichere Einbindung von Google Analytics auch ohne Einwilligung möglich, wenn bestimmte Vorgaben (AV-Vertrag, IP-Anonymisierung) eingehalten wurden. Mit Einführung der DSGVO war die Hoffnung, dass diese Frage erst durch die ePrivacy-Verordnung geregelt wird und sich Webseitenbetreiber bis dahin auf das berechtige Interesse in Art. 6 Abs. 1 lit. f DSGVO stützen können. Somit ist nach mittlerweile vorherrschender Meinung Google Analytics nur noch mit Einwilligung zulässig.

3. Rechtssichere Nutzung von Google Analytics

Folgende Schritte müssen Sie daher gehen, um Google Analytics rechtssicher zu nutzen. Auf diese gehen wir im Folgenden im Detail ein.

Schritt 1: Einwilligung/ Consent-Tool auf der Seite einbinden

Schritt 2: Vertrag zur Auftragsverarbeitung abschließen

Schritt 3: IP-Anonymisierung:

• Bei Google Analytics Universal und früheren Versionen: aktivieren
• Bei Google Analytics 4: nicht erforderlich, die IP-Adressen werden automatisch anonymisiert

Schritt 4: Opt-Out-Cookies + Link zu Browser-Plugin setzen (bei Nutzung eines Consent Tools in der Regel automatisch)

Schritt 5: Datenschutzerklärung aktualisieren

4. Google Analytics nur mit Einwilligung/Cookie Consent Tool

Diese Ansicht, dass Google Analytics ohne Einwilligung über das berechtigte Interesse nutzbar ist, hat sich aber nicht durchgesetzt. Es gibt bereits Bußgeldverfahren der Datenschutzbehörden im Zusammenhang mit Google Analytics. Auch die so genannten Cookie-Urteile des EuGHs haben klargestellt, dass Tracking Tools von Drittanbietern grundsätzlich eine Einwilligung benötigen. Aktuell ist also der einhellige Stand unter Juristen und Datenschützern, dass Google Analytics nur mit einer echten Einwilligung datenschutzkonform auf Webseiten genutzt werden kann.

UPDATE: Die österreichische und die französische Datenschutzbehörde hat den Einsatz von Google Analytics im Januar 2022 für unzulässig erklärt. Diese Rechtsansicht vertreten auch einige Datenschützer in Deutschland. Mehr Hintergründe finden Sie in unserem Beitrag “Österreichische Datenschutzbehörde: Google Analytics ist rechtswidrig”.

Wichtig deshalb: Nutzen Sie Google Analytics nur noch mit echter Einwilligung. Also mit einem so genannten Consent-Tool, bei dem der Nutzer aktiv bestätigen muss, dass er der Datenübertragung und/ oder Speicherung von Cookies zustimmt. In diesem Fall können Sie auch das Opt-Out über Ihr Consent Tool einholen (siehe unten Punkt 7). Das Consent-Tool ist also kein “Cookie Banner”, sondern muss die Datenflüsse vor der Zustimmung des Nutzers tatsächlich unterbinden.

5. Vertrag zur Auftragsverarbeitung mit Google abschließen

Webseitenbetreiber, die Google Analytics nach den Vorgaben der Datenschützer nutzen wollen, müssen mit Google einen so genannten AV-Vertrag (Auftragsverarbeitungs-Vertrag) abschließen. Das ist mit Geltung der DSGVO nun auch auf elektronischem Weg möglich, direkt in Ihrem Google-Analytics-Account:

1. Loggen Sie sich bei https://analytics.google.com/
2. Klicken Sie links unten auf den Punkt „Verwaltung“ (Zahnradsymbol).
3. Im rechten Bereich ändert sich die Darstellung und sie finden dort links oben den Punkt „Kontoeinstellungen“, den Sie ebenfalls anklicken.
4. In der geänderten Ansicht scrollen Sie nach unten bis zum Punkt „Datenverarbeitungsbedingungen“, wo man Googles Bedingungen einsehen kann.
5. Zur Zustimmung bestätigt man die entsprechende Checkbox.

6. IP-Anonymisierung aktivieren

Jede neue Version von Google Analytics erfordert, dass Sie einen neuen Tracking-Code auf Ihrer Website einbinden. Wie bereits erwähnt, nutzen aber viele Websitebetreiber nicht ausschließlich Google Analytics 4, sondern oftmals auch Google Universal Analytics oder beides parallel.

So binden Sie die jeweilige Version rechtssicher ein und aktivieren die IP-Anonymisierung.

6.1 Google Analytics 4

Für Google Analytics 4 brauchen Sie derzeit den Tracking-Code nicht zusätzlich anpassen. Statt der bisherigen Tracking-ID der früheren Google-Analytics-Versionen erhalten sie nun eine Mess-ID (Measurement ID) im Format G-XXXXXXXXXX. Über diese identifiziert sich Ihre Website gegenüber Google Analytics.

Einbindung

Binden Sie den Javascript-Code im Kopfbereich (<head>) Ihrer Website-Quellcodes ein.

<script src="https://www.googletagmanager.com/gtag/js?id=G-XXXXXXXXXX" async="async" type="text/javascript"></script>
<script type="text/javascript">
window.dataLayer = window.dataLayer || []; function gtag() { dataLayer.push(arguments); }
gtag('js', new Date());
gtag('config', 'G-XXXXXXXXXXX');
</script>

6.2 IP-Anonymisierung bei Google Universal Analytics

Einbindung

Google Universal Analytics integriert wie seine Vorgängerversionen noch die Tracking-ID im Format UA-XXXXXXX-X.

IP-Anonymisierung

Sie müssen die IP manuell anonymisieren. Wie das geht, hängt davon ab, wie Sie das Tool eingebunden haben:

• Mit dem Ausrollen des Google Tag Managers hat Google die Einbindung der Tracking-Codes über das sogenannte Global Site Tag empfohlen. Haben Sie Google Universal Analytics in der Website bereits über das Global Site Tag eingebunden, passen Sie den Tracking-Code wie folgt (rot hervorgehoben) an:

<!-- Global site tag (gtag.js) - Google Analytics --> <script src="https://www.googletagmanager.com/gtag/js?id=UA-XXXXXXX-X" async="async" type="text/javascript"></script>
<script type="text/javascript">
window.dataLayer = window.dataLayer || [];
function gtag() {dataLayer.push(arguments);}
gtag('js', new Date());
gtag('config', 'UA-XXXXXXX-X', {'anonymize_ip': true});
</script>

• Verwenden Sie noch den älteren Trackingcode von Google Universal Analytics, aktivieren Sie die IP-Anonymisierung wie folgt (rot hervorgehoben):

<script>(function(i,s,o,g,r,a,m){i['GoogleAnalyticsObject']=r;i[r]=i[r]||function(){(i[r].q=i[r].q||[]).push(arguments)},i[r].l=1*new Date();a=s.createElement(o),m=s.getElementsByTagName(o)[0];a.async=1;a.src=g;m.parentNode.insertBefore(a,m)})(window,document,'script','https://www.google-analytics.com/analytics.js','ga');
ga('create', 'UA-XXXXXXX-X', 'auto');
ga('set', 'anonymizeIp', true);
ga('send', 'pageview');
</script>

6.3 Parallele Nutzung von Google Analytics 4 und Google Universal Analytics

Passen Sie in diesem Fall die IP-Anonymisierung im Code von Google Universal Analytics an, wie unter 6.2 beschrieben. Denn die automatische IP-Anonymisierung von Google Analytics 4 gilt nur für Daten, die über den Javascript-Code des Google-Analytics-4-Tracking-Codes erfasst wurden. 

Wichtig ist, dass Sie die Punkte AV- Vertrag, IP-Anonymisierung und Opt-Out-Cookies auch entsprechend in Ihrer Datenschutzerklärung darstellen müssen.

7. Opt-Out über Consent-Tool, Opt-Out-Cookie und Browser-Plugin

Das bloße Opt-Out, also das Austragen eines Nutzers, ist bei Google Analytics auf einer Webseite nicht mehr ausreichend. Wie oben beschrieben muss der Nutzer vorher erst einmal eingewilligt haben. Trotzdem muss ihm weiter eine Möglichkeit gegeben werden, seine Einwilligung zu widerrufen, um dem Tracking seiner Daten nach der Einwilligung zu widersprechen. Dafür gibt es 3 Wege:

7.1 Über das eingesetzte Consent-Tool

Consent-Tools bieten im Gegensatz zu bloßen Cookie Bannern nicht nur die Möglichkeit, bestimmte Datenübertragungen zu erlauben (Einwilligung), sondern müssen auch die Möglichkeit bieten, diese Einwilligung zu widerrufen.

7.2 Browser-Plugin für Desktop

Nutzer, die die Seite über Desktop oder Notebooks aufrufen, können ein Browser Plugin (addon) installieren, dass die Speicherung ihrer Daten unterbindet und einen Opt Out Cookie setzt. Dazu müssen Sie in Ihre Datenschutzerklärung einen Hinweis auf das PlugIn und den passenden Link auf https://tools.google.com/dlpage/gaoptout?hl=de einfügen.

7.3 Opt-Out-Cookie für mobile Nutzung

Da Browser-PlugIns auf mobilen Geräten wie Tablet oder Smartphone nicht funktionieren, ist für die mobile Nutzer eine weitere Lösung notwendig. Hier wird über Java-Script einen Opt-Out-Cookie gesetzt, der auch mobil funktioniert.

Der eigentliche Hinweis + Javascript-Code sieht wie folgt aus:

Sie können die Erfassung Ihrer Daten durch Google Analytics verhindern, indem Sie auf folgenden Link klicken. Es wird ein Opt-Out-Cookie gesetzt, dass das Erfassung Ihrer Daten bei zukünftigen Besuchen dieser Website verhindert:

<a href=“javascript:gaOptout()“>Google Analytics deaktivieren</a>

WICHTIG: Code richtig einbinden

Damit ist es aber nicht getan. Damit dieser Link funktioniert müssen Sie zunächst folgenden HTML-Quellcode mit Javascript VOR Ihrem Google Analytics Tracking Code platzieren.

8. Datenschutzerklärung auf Ihrer Webseite anpassen

Wenn Sie diese Punkte umgesetzt haben müssen Sie

• Ihre Datenschutzerklärung auf Ihrer Webseite anpassen und korrekt über die Speicherung und Verarbeitung der Nutzer-Daten im Rahmen von Google Analytics
• Die Datenschutzerklärung muss sollte einen Hinweis auf die Auftragsverarbeitung (früher: Auftragsdatenverarbeitung) enthalten und darauf, dass die Funktion anonymizeIp genutzt wird.
• Weiter muss der Hinweis auf die Widerspruchsmöglichkeit der Nutzer (Opt-Out-Cookie und Browser-Plugin) mit vollständigem und korrektem Code enthalten sein.

9. Checkliste für den korrekten Einsatz von Google Analytics

1. Google Analytics nur mit Einwilligung/ Consent-Tool nutzen

Sie können das Profi-Consent-Tool von Usercentrics ohne Zusatzkosten nutzen. Eine Übersicht über die Funktionen von Usercentrics finden Sie hier.

2. Vertrag zur Auftragsverarbeitung mit Google

Schließen Sie mit Google einen Vertrag über die Auftragsverarbeitung online in Ihrem Analytics Konto ab. Eine umfassende Anleitung zum AV Vertrag mit Google nach der DSGVO steht Ihnen bei uns unter https://www.kastenberger.com/product/rechtlich-geprue…internetauftritt/ zur Verfügung.

3. IP Anonymisierung aktivieren & Code einbauen

Google Analytics darf nur eingesetzt werden, wenn die IP-Adresse des Nutzers gekürzt wird, bevor sie zu Google übertragen wird. Hierfür hat Google den Code „anonymizeIp“ eingeführt. Diesen Code müssen Sie in Ihren Google-Analytics Code einbinden, wenn Sie Google Universal Analytics oder ältere Versionen nutzen. Bei Google Analytics 4 entfällt dieser Schritt.

4. Browser-Plugin und Opt-Out-Cookie einbinden

Die Belehrung über Google Analytics in der Datenschutzerklärung sollte den Nutzer auch darauf hinweisen, dass er dem Tracking widersprechen kann. Die Widerspruchsmöglichkeiten müssen auch technisch korrekt auf Ihrer Seite implementiert sein.

1. Browser-Plugin für Desktop
2. Opt-Out-Cookie für mobile

5. Datenschutzerklärung für den Einsatz von Google Analytics anpassen

Informieren Sie vollständig und korrekt in Ihrer Datenschutzbelehrung darüber, ob und wie Sie Google Analytics einsetzen.

Quelle: Ist Google Analytics legal oder illegal: Was Webseitenbetreiber jetzt tun müssen (e-recht24.de)