Ist Google Analytics DSGVO-konform? Das sollten Sie beachten!

Google Analytics gehört zu den beliebtesten Web-Analyse-Tools weltweit. Allerdings werden immer wieder Zweifel an dessen Datenschutzkonformität erhoben.

Wir möchten Sie in diesem Artikel umfassend darüber aufklären, ob Sie Google Analytics DSGVO-konform nutzen können und wie Sie das Risiko für Datenschutzverstöße minimieren können.

Das Wichtigste in Kürze: Bei der Nutzung von Google Analytics 4 (GA4) bleibt in jedem Fall ein Restrisiko, das Sie jedoch durch eine datenschutzfreundliche Konfiguration senken können. Nicht zuletzt ist die DSGVO-Konformität von GA4 stark vom Bestehen des Angemessenheitsbeschlusses über das EU-US Data Privacy Framework abhängig.

Immer notwendig: AVV, Einwilligung und Datenschutzerklärung

Damit Sie Google Analytics 4 DSGVO-konform nutzen können, müssen Sie in jedem Fall…:

• … einen Auftragsverarbeitungsvertrag (AVV) mit Google schließen. Google gibt Ihnen dazu über die GA4-Verwaltung eine einfache Möglichkeit.
• … eine Einwilligung bei betroffenen Website-Besuchern einholen und eine Möglichkeit zum Opt-Out geben.
• … in Ihrer Datenschutzerklärung über die Nutzung von Google Analytics, die verfolgten Zwecke und die erhobenen Daten informieren.

Wichtig zu beachten ist, dass Daten tatsächlich erst dann zu Google übertragen werden dürfen, wenn eine Einwilligung der Webseiten-Besucher vorliegt. Ein Cookie-Banner darf daher nicht nur eine „Attrappe“ sein, sondern muss sicherstellen, dass entsprechende Cookies erst nach erteiltem Consent gesetzt werden.

So stellen Sie Ihr Google Analytics DSGVO-konform(er) ein

Unter Beachtung der vorangegangenen Grundvoraussetzungen für eine DSGVO-konforme Nutzung, sollten Sie weiterhin innerhalb von GA4 folgende Einstellungen festsetzen:

• Stellen Sie die Dauer der gespeicherten Daten auf den kleinsten möglichen Wert (2 Monate) ein. Deaktivieren Sie zusätzlich die Option, Nutzerdaten bei neuer Aktivität zurückzusetzen.
• Deaktivieren Sie die Datenfreigabe für „Google-Produkte und -Dienste“. Für noch mehr Sicherheit sollten Sie auch die anderen Optionen wie Benchmarking und den technischen Support abwählen.
• Verzichten Sie auf die Nutzung von Google Signalen, die Erhebung von Standort- und Gerätedaten und die Nutzung von User-IDs.
• Verzichten Sie auf die Nutzung des erweiterten Google Consent Modes ohne Einwilligung des Nutzers. Mehr erfahren Sie im verlinkten Artikel.

Die Anonymisierung von IP-Adressen ist ebenfalls erforderlich, aber in GA4 bereits voreingestellt.

Bei US-Anbietern bleibt immer ein Restrisiko bestehen

Eine der größten Angriffspunkte für die Kritik von Datenschützern an Google Analytics ist die Übertragung der Daten an Server in den USA, wo Google an gesetzliche Vorgaben gebunden ist, Ermittlungsbehörden Zugriff auf gespeicherte Daten zu gewähren.

Die Möglichkeit, Google Analytics DSGVO-konform zu nutzen, ist daher weitgehend abhängig vom Bestehen des EU-US Data Privacy Frameworks (DPF), für das Google sich zertifiziert hat. Solange der Angemessenheitsbeschluss hierfür Bestand hat, kann das akute Risiko für Unternehmen, die GA4 nutzen, als verhältnismäßig gering angesehen werden, sofern die weiter oben genannten Voraussetzungen zur Nutzung erfüllt werden.

Es ist jedoch denkbar, dass das DPF ähnlich wie seine beiden Vorgängerabkommen zum Scheitern verurteilt ist. In diesem Fall wäre die Datenübertragung an US-Dienstleister wie Google selbst bei bestehenden Standardvertragsklauseln mit deutlich erhöhten Risiken verbunden. Nutzende Unternehmen könnten in diesem Fall für die Prüfung der Einhaltung der DSGVO verantwortlich gemacht werden, was jedoch in der Praxis unmöglich ist.

Dieses Risiko können Sie umgehen, indem Sie etwa auf die Dienste europäischer Anbieter zurückgreifen. Als Akutmaßnahme nach einem Zurückziehen des Angemessenheitsbeschlusses für das DPF raten wir Ihnen in jedem Fall, auf die Nutzung von GA4 bis auf Weiteres zu verzichten.

Lassen Sie sich im Zweifel professionell beraten

Bei der Nutzung von Web-Analyse-Tools wie Google Analytics bleiben selbst bei optimierten Einstellungen Restrisiken erhalten.

Schon die korrekte Einbindung über ein funktionierendes Cookie-Consent-Management sowie rechtskonforme Passagen in Datenschutzerklärungen sind häufige Fehlerquellen, die einen Datenschutzverstoß darstellen und entsprechend geahndet werden können.

Lassen Sie sich daher im Zweifel professionell beraten. Als erfahrene Experten im Bereich Datenschutz und Compliance spüren wir gerne Lücken in Ihrem Datenschutz auf und schließen diese für maximale Rechtssicherheit.