Google Analytics 4 & DSGVO: Ihre Datenschutz-Checkliste

Am 1. Juli 2023 stellte Google seinen Dienst Google Analytics dauerhaft auf die neue Version “Google Analytics 4” (kurz “GA4”) um. Mit dieser Änderung kamen nicht nur technische, sondern auch rechtliche Veränderungen auf Nutzer von Google Analytics zu.

In diesem Beitrag erfahren Sie, was sich datenschutzrechtlich geändert hat, ob und wie Sie Google Analytics 4 einsetzen dürfen. Am Ende des Beitrags erhalten Sie eine Checkliste mit den wichtigsten Prüfpunkten vor dem Einsatz von Google Analytics 4.

Wie erfolgte die Umstellung auf Google Analytics 4?

Sollten Sie bisher noch keine eigenen Schritte zur Umstellung unternommen haben, so hatte Google bereits im März 2023 automatisch Google Analytics 4 für Sie eingerichtet, basierend auf Ihren bisherigen Einstellungen und Zielen für Universal Analytics.

Ab Juli 2023 hatten Sie noch die Möglichkeit, Daten in der alten Version (Universal Analytics) zu sammeln und zu nutzen. Danach begann eine Übergangszeit von sechs Monaten, in der Sie auf alte Daten zugreifen können. Ab dann müssen Sie Google Analytics 4 einsetzen.

Google weist Sie beim Aufruf des Google-Analytics-Dashboards deutlich auf die nötige Umstellung hin.
Google weist Sie beim Aufruf des Google-Analytics-Dashboards deutlich auf die nötige Umstellung hin.

Was ist technisch neu an Google Analytics 4?

Universal Analytics und Analytics 4 sind beide Versionen von Googles Analysetool, jedoch mit technischen Unterschieden.

Universal Analytics fokussiert sich auf Sitzungen und Nutzerinteraktionen auf einzelnen Geräten. Im Gegensatz dazu konzentriert sich Analytics 4 auf die Nachverfolgung von Nutzern über verschiedene Geräte hinweg und ermöglicht eine detailliertere Erfassung des Nutzerverhaltens durch sogenannte “Events”, was tiefergehende Einblicke in ihr Verhalten bietet.

Kurzum, Analytics 4 ist die neuere Version, die detailliertere und geräteübergreifende Daten liefert. Umgekehrt hat Google aber auch die Datenschutzaspekte verbessert.

Ist Google Analytics 4 datenschutzrechtlich sicherer?

Google Analytics 4 erleichtert zwar die Nachverfolgung des Nutzerverhaltens, bietet aber zugleich neue Datenschutzfunktionen:

  • Cookie-los: Mit Google Analytics 4 können Tracking-Verfahren eingerichtet werden, die ohne Cookies auskommen.
  • Serverseitiges Tracking: Nutzerdaten können auf dem eigenen Server pseudonymisiert werden, bevor sie an Google übermittelt werden.
  • Standort EU: Google zufolge werden alle Daten von Endgeräten in der EU auf Servern innerhalb der EU gespeichert und verarbeitet.
  • IP-Kürzung in der EU: Im Gegensatz zu Universal Analytics erfolgt die Kürzung der IP-Adressen der Nutzer auf EU-Servern von Google. Das bedeutet, dass ein entsprechend pseudonymer Datensatz in die USA übermittelt wird.
  • Kürzere Aufbewahrungsfristen: Im Gegensatz zur bisherigen Standardlöschfrist von 26 Monaten bei Universal Analytics erlaubt GA4 keine längere Aufbewahrung als 14 Monate für Daten.
  • Google Signals: Durch die Deaktivierung von Google Signals kann die Verknüpfung mit einem Google-Konto verhindert werden.
  • Geo- und Geräteinformationen: Die Genauigkeit der gesammelten Geo- und Geräteinformationen kann angepasst werden.

Die genannten Maßnahmen tragen zur Verbesserung des Datenschutzniveaus bei der Verwendung von Google Analytics 4 bei. Beachten Sie jedoch, dass die Nutzung von Google Analytics damit nicht automatisch zulässig und rechtssicher wird.

Muss ich prüfen, ob nicht andere Analyse-Tools in Frage kommen?

Sie müssen prüfen, ob nicht alternative Analyse-Tools aus der EU/EWR oder Staaten mit anerkanntem Datenschutzniveau als Alternative in Frage kommen (z. B. Schweiz, Kanada, Israel, Japan). Dies ergibt sich aus der sog. Pflicht zum “Datenschutz durch Technikgestaltung” aus Art. 25 Abs. 1 DSGVO.

Aber nur weil ein Analyse-Tool demselben Zweck dient, heißt es nicht automatisch, dass es eine gleich geeignete Alternative ist. Bei der Prüfung können Sie die folgenden (nicht abschließenden) Faktoren berücksichtigen:

  • Usability – Können die Alternativen z. B. genauso einfach bedient werden oder müssten Mitarbeiter neu geschult oder Kunden neu an eine Software gewöhnt werden?
  • Funktionalität und Funktionsumfang – Lassen sich die beabsichtigten Verarbeitungen mit der Alternative genauso effektiv durchführen?
  • Kosten – Sind die Alternativen und Kosten ihrer Einführung wesentlich teurer und ist die Mehrbelastung wirtschaftlich relevant?
  • Sicherheitsrisiko – Kann die Alternative faktisch dasselbe Sicherheitsniveau bieten? So könnte z.B. der EU-Dienst selbst auf US-Dienstleister zugreifen.

Die Prüfung sollten Sie protokollieren, um sie und die Ablehnung anderer Dienste gegenüber einer Aufsichtsbehörde begründen zu können.

Ist der Einsatz von Google Analytics 4 zulässig?

Die Frage nach der Zulässigkeit von Google Analytics 4 lässt sich aufgrund der unterschiedlichen Nutzungsweisen und rechtlichen Interpretationen nicht mit einem einfachen Ja oder Nein beantworten:

Vielmehr basiert der Einsatz auf einer Risikoanalyse, die von den Einstellungen, Art und Zeitpunkt des Einsatzes von Google Analytics abhängen.

  • Einwilligung: Der Einsatz von Google Analytics setzt in der Regel eine Einwilligung der Webseitenbesucher oder Appnutzer voraus.
  • Wirksamkeit der Einwilligung: Zum Teil wird vertreten, dass die Einwilligung wegen der Intransparenz der Tracking- und Profilingverfahren unwirksam ist.
  • Unerlaubte Datenübertragung in die USA: Vor allem Aufsichtsbehörden halten den Einsatz von Google Analytics wegen Verarbeitung der Besucherdaten in den USA für unzulässig.
  • Erleichterungen durch Verzicht auf Cookies und serverseitiges Tracking: Die Einwilligungspflicht kann durch den Verzicht auf Cookies und Einsatz vom serverseitigen Tracking entfallen.

Im Folgenden werden die vorstehenden rechtlichen Aspekte der Nutzung von Google Analytics 4 erläutert und auch im Hinblick auf bestehende Risiken bewertet.

DSGVO wegen IP-Kürzung nicht anwendbar?

Bei Google Analytics ist eine Kürzung der IP-Adresse der Nutzer bereits standardmäßig aktiviert (sogenanntes IP-Masking, bei dem die letzten Ziffern der IP-Adresse der Nutzer gelöscht werden, z.B. “186.12.13.XX”). Aber auch wenn dies mancherorts behauptet wird, reicht das IP-Masking nicht aus, damit die Einwilligungspflicht entfällt:

  • Einwilligungspflicht nach der DSGVO: Die DSGVO wäre nicht anwendbar, wenn Google anonyme Daten erhalten, also die Nutzer nicht identifizieren könnte. Google erhält jedoch die vollständige IP-Adresse der Nutzer, führt eine Geolokalisierung durch und kürzt sie erst danach. Selbst wenn die IP-Adresse gekürzt ist, müssten Sie nachweisen, dass Google keine andere Möglichkeit hat die Nutzer, sei es nur zu Werbezwecken, zu identifizieren.
  • Einwilligungspflicht aus der ePrivacy: Unabhängig von der DSGVO besteht die Einwilligungspflicht, wenn Informationen auf den Endgeräten der Nutzer gespeichert und von diesen ausgelesen werden (sog. “ePrivacy”, die Nutzer vor nicht erforderlichen Zugriffen auf ihre Daten schützen soll).  Diese Einwilligungspflicht ergibt sich in Deutschland aus § 25 TDDDG oder aus § 96 Abs. 3 TKG in Österreich und gilt auch für anonyme Zugriffe.

Zusammenfassend sollten Sie davon ausgehen, dass trotz der IP-Kürzung der Einsatz von Google Analytics der Einwilligungspflicht der DSGVO und der ePrivacy unterliegt. Abhilfe könnten hier allenfalls Cookie-lose Verfahren mit serverseitiger Anonymisierung schaffen.

Ist eine wirksame Einwilligung in den Einsatz von GA4 überhaupt möglich?

Viele Datenschützer und Aufsichtsbehörden sind der Meinung, dass eine Zustimmung der Nutzer zur Nachverfolgung unwirksam ist. Eine Zustimmung muss auf einer freiwilligen und informierten Entscheidung des Nutzers beruhen. Das heißt, die Besucher einer Webseite müssen den Umfang der sie betreffenden Verarbeitungsverfahren verstehen können.

Wegen des Umfangs, der Anzahl der beteiligten Akteure und der Intransparenz der Nachverfolgungs- und Profilingverfahren sollen die meisten Nutzer diese Prozesse und Risiken aber erst gar nicht nachvollziehen können. Daher sei eine Zustimmung grundsätzlich ausgeschlossen, und damit wären Einwilligungen, die über Cookie-Banner oder ähnliches eingeholt wurden, per se unwirksam.

Allerdings hat sich diese Ansicht in der Praxis bisher noch nicht durchgesetzt. Trotz der Bedenken einiger Vertreter wird der Einsatz von Google Analytics auf Basis von Einwilligungen von den Aufsichtsbehörden zumindest toleriert.

Verwendung von Google Analytics wegen US-Datentransfers verboten?

Die DSGVO verbietet grundsätzlich die Übermittlung personenbezogener Daten außerhalb der EU in sog. “Drittländer” (Art. 44 bis 49 DSGVO). Zu diesen Drittländern gehören vor allem die USA. Es sei denn, es kann ein angemessenes Datenschutzniveau in dem Drittland festgestellt werden:

  • Abschluss von Standardvertragsklauseln: Als Standardvertragsklauseln werden Musterverträge der EU-Kommission bezeichnet, die Vertragspartner zur Einhaltung des Europäischen Datenschutzniveaus verpflichten. Allerdings erlauben sie Datentransfers nur, wenn das EU-Datenschutzniveau auch tatsächlich gewahrt wird. Die Standardvertragsklauseln waren bisher die gängige Alternative zu einem Angemessenheitsbeschluss. Allerdings wurde zunehmend in Frage gestellt, ob eine vertragliche Verpflichtung Daten der EU-Bürger vor Geheimdiensten zu schützen, allein ausreicht.
  • Trans-Atlantic Data Privacy Framework: Seit dem 10. Juli 2023 existiert das “Trans-Atlantic Data Privacy Framework (TADPF)”. Das TADPF ist eine Vereinbarung zwischen den USA und der EU, in der die USA Datenschutzzusicherungen gemacht haben und die EU-Kommission im Gegenzug entschieden hat, dass ein angemessenes Datenschutzniveau für US-Unternehmen besteht. Um vom TADPF zu profitieren, müssen sich US-Unternehmen unter dem TADPF zertifizieren lassen. Das TADPF ist sicherer als Standardvertragsklauseln. Ob Sie sich auf das TADPF als sichere Rechtsgrundlage für den Einsatz von US-Anbietern, wie Google verlassen können, erfahren Sie in unserem Beitrag: Trans-Atlantic Data Privacy Framework (TADPF) – Einsatz von US-Dienstleistern nun DSGVO-sicher?

In der Praxis untersagen Behörden den Einsatz von US-Diensten alleine aufgrund des US-Bezugs gegen Unternehmen ein. Wenn Sie jedoch jede Ungewissheit vermeiden möchten, dann müssten Sie einen EU-Anbieter statt Google einsetzen. Alternativ, wenn nicht gänzlich ohne Risiken, können Sie mit dem serverseitigen Einsatz von Google Analytics 4 ebenfalls ein höheres Maß an Sicherheit erreichen.

Wurde Google Analytics 4 nicht bereits gerichtlich verboten?

Die Nutzung von Google Analytics wurde bereits mehrfach von EU-Datenschutzbehörden und zuletzt auch von einem deutschen Gericht beanstandet:

  • Ablehnende Entscheidungen der Aufsichtsbehörden: Aufsichtsbehörden in Österreich, Italien, Frankreich und Norwegen haben sich gegen den Einsatz von Google Analytics aufgrund von US-Datentransfers ausgesprochen. Die Entscheidungen bezogen sich jedoch auf Universal Analytics und die Rechtslage auf dem Stand von 2020.
  • Ablehnendes Urteil des LG Köln: Gegen die vorgenannten Entscheidungen wurde argumentiert, dass Google mittlerweile vertragliche Verpflichtungen zum Datenschutz in den USA unterzeichnet hat, die von der EU-Kommission im Juni 2021 veröffentlicht wurden (sog. “Standardvertragsklauseln”). Das Landgericht Köln hat zuletzt jedoch entschieden, dass vertragliche Datenschutzverpflichtungen keinen ausreichenden Schutz vor US-Geheimdiensten bieten können (LG Köln Urteil vom 23.03.2023, 33 O 376/22).

Die genannten Entscheidungen verdeutlichen das “Hase & Igel”-Prinzip der US-Unternehmen und der Politik: Sobald Behörden und insbesondere Gerichte den Einsatz für unzulässig erklären, kann darauf hingewiesen werden, dass sich die Technologie und/oder die Rechtslage geändert haben. Das gilt auch im Hinblick auf das für 2023 geplante “Trans-Atlantic Data Privacy Framework”, das die Entscheidungen (zumindest vorübergehend) obsolet machen würde.

Keine Einwilligungspflicht durch Cookie-loses Tracking?

Der Verzicht auf Cookies wird als eine Möglichkeit der Einwilligungspflicht zu entgehen angepriesen. Allerdings ist das nur zum Teil richtig.

Beim Cookie-losen Tracking werden Nutzer nicht anhand der Cookies, sondern auf Grundlage sog. “Browser-Fingerprints”, bzw. “digitaler Fingerabdrücke” erkannt. Gemeint ist damit eine individuelle Zusammenstellung von Informationen, die deren Browser beim Abruf von Webseiten an die Server ihrer Anbieter senden. Dazu zählen z.B. die IP-Adresse, System- und Browserinformationen usw.

Theoretisch könnte auf eine Einwilligung verzichtet werden, wenn die Browser-Fingerprints lokal und pseudonym gespeichert und nicht mit Dritten geteilt werden. Die Praxis sieht jedoch meist anders aus:

  • Einwilligungspflicht nach ePrivacy: Browser-Fingerprints werden häufig mit Daten angereichert, die aktiv von den Anbietern oder Werbenetzwerken von den Endgeräten der Nutzer ausgelesen werden. Auch wenn statt Cookies Trackingsoftware auf einer Webseite ausgeführt werden und Informationen an den Server senden oder wenn eine Mobile-App die Daten des Smartphones abfragt, findet eine einwilligungspflichtiger Zugriff auf Geräte der Nutzer statt.
  • Einwilligungspflicht nach der DSGVO: Abhängig von der Art der Verarbeitung kann auch eine Einwilligungspflicht aus der DSGVO entstehen. Wenn beispielsweise der digitale Fingerabdruck nach einer kurzen Zeitspanne (z.B. 24h) gelöscht wird und keine Profile der Nutzer erstellt werden, besteht keine Einwilligungspflicht (wie z.B. bei der Software “Matomo” ohne Cookies). Allerdings ändert sich dies, wenn die erhobenen Daten an Werbenetzwerke oder durch Google selbst zu Werbezwecken verarbeitet werden.

Selbst wenn Google vom “Post-Cookie”-Zeitalter spricht, bleibt der Einsatz von Cookie selbst bei Google Analytics 4 der Standard. Daher sollten Sie immer überprüfen, ob tatsächlich keine Informationen auf den Nutzergeräten gespeichert werden.

Zudem sollten Sie sicherstellen und nachweisen können, dass personenbezogene Daten der Nutzer von Google nicht zu eigenen Zwecken verarbeitet oder an Dritte weitergegeben werden. Vor allem im Hinblick auf die Nachweisbarkeit ist daher eine server-seitige Nutzung von Google Analytics 4 zu empfehlen.

Serverseitiges Tracking als Lösung?

Serverseitiges Tracking bezeichnet die Verarbeitung von Nutzerdaten auf einem Server und nicht im Browser des Nutzers. In Kombination mit Browserprinting kann dies zur Befreiung von der Einwilligungspflicht führen.

Das serverseitige Tracking fungiert hierbei als eine Art “Tracking-Firewall”. In diesem Fall werden die Daten der Nutzer nicht direkt an Google übermittelt, sondern erst auf dem eigenen Server pseudonymisiert. Die IP-Adresse wird beispielsweise durch eine eigene ID-Nummer ersetzt, die anstelle der IP-Adresse der Nutzer an Google Analytics gesendet wird. Der eigene Server wird dabei auch als “Proxy-Server” (d.h. “Mittler/Zwischen”-Server) bezeichnet.

So soll Google nur Datensätzen erhalten, die das Unternehmen nicht selbst einzelnen Nutzern zuordnen kann und damit keine personenbezogenen Profile bei Google gebildet werden. Allerdings werden zumindest seitens der Aufsichtsbehörden weiterhin hohe Anforderungen an den Einwilligungsverzicht gestellt (hier am Beispiel der französischen Datenschutzbehörde CNIL, die serverseitiges Tracking):

  • Es darf keine IP-Adresse an das Zielgerät, das die Messungen vornimmt (Webanalysetool), übermittelt werden.
  • Die IP-Adresse muss durch eine Benutzer-ID auf dem Proxy-Server ersetzt werden.
  • Erforderlich ist die Unterdrückung der Information der Website, von der der Nutzer auf die aktuelle Website gekommen ist (Referrer).
  • Erforderlich ist die Entfernung aller in den gesammelten URLs enthaltenen Parameter.
  • Die Verarbeitung aller Informationen, die einem digitalen Fingerabdruck entsprechen, muss unterlassen werden.
  • Die Sammlung von Kennungen (Identifikatoren) oder deterministischen Daten zwischen Websites (cross-website) muss unterlassen werden.
  • Alle Daten, die die zu einer Re-Identifizierung führen könnten, müssen gelöscht werden.
  • Der Proxy-Server muss unter Bedingungen gehostet werden, die verhindern, dass personenbezogene Daten in ein Land außerhalb der Europäischen Union übermittelt werden.

Zusammenfassend lässt sich sagen, dass Browserprinting in Kombination mit serverseitigem Tracking den Wegfall der Einwilligungspflicht bewirken kann. Die technischen Anforderungen für die Einrichtung sind allerdings, zumindest im nicht-professionellen Bereich, noch recht hoch.

Mit Hilfe welche Einstellungen kann ich das Risiko mindern?

Mit den vorgenannten Einstellungen umgehen Sie zwar nicht die Erforderlichkeit der Einwilligung, senken aber die Wahrscheinlichkeit, wegen des Einsatzes von Google Analytics in Schwierigkeiten zu kommen:

Akzeptieren Sie Googles Datenverarbeitungsbedingungen:

Bei den Datenverarbeitungsbedingungen handelt es sich um sog. Auftragsverarbeitungsverträge mit EU-Standardvertragsklauseln der EU-Kommission. Auch wenn deren Wirksamkeit angezweifelt wird, ist es besser, die vertraglichen Datenschutzverpflichtungen eingeholt zu haben.
Bei den Datenverarbeitungsbedingungen handelt es sich um sog. Auftragsverarbeitungsverträge mit EU-Standardvertragsklauseln der EU-Kommission (“Auftragsdatenverarbeitungsbedingungen für Google Werbeprodukte“). Auch wenn deren Wirksamkeit angezweifelt wird, ist es besser, die vertraglichen Datenschutzverpflichtungen eingeholt zu haben.

Setzen Sie die Speicherdauer möglichst auf 2 Monate

Wenn Sie die Speicherdauer der personenbezogenen Daten vor deren Aggregierung höher als zwei Monate setzen möchten, dann sollten Sie dies sachlich rechtfertigen können (z.B. durch begründete SEO-Erwägungen).
Wenn Sie die Speicherdauer der personenbezogenen Daten in den Einstellungen der Datenaufbewahrung vor deren Aggregierung höher als zwei Monate setzen möchten, dann sollten Sie dies sachlich rechtfertigen können (z.B. durch begründete SEO-Erwägungen).

 

Deaktivieren Sie Google Signale und standortbezogene Dienste

Die Standort- und geräteübergreifende Datennutzung ist vor allem für das Remarketing mit personalisierten und standortbezogenen Anzeigen relevant. Wenn Ihnen diese Begriffe jedoch wenig sagen sollten oder die Notwendigkeit sie zu nutzen nicht begründen können, dann schalten Sie diese Funktionen ab.
Die Standort- und geräteübergreifende Datennutzung ist vor allem für das Remarketing mit personalisierten und standortbezogenen Anzeigen relevant. Wenn Ihnen diese Begriffe jedoch wenig sagen sollten oder die Notwendigkeit sie zu nutzen nicht begründen können, dann schalten Sie diese Funktionen ab.

 

Muss ich mein vorhandenes Cookie-Opt-In-Banner aktualisieren?

Sollte in Ihrem Cookie-Opt-In Google Ireland als Drittanbieter aufgeführt sein und die Zwecke wie Webanalyse, Reichweitenmessung beschrieben sein, müssen Sie die Informationen zu den eingesetzten Diensten in Ihrem Cookie-Opt-In nach dem Wechsel zu Google Analytics 4 nicht ändern.

Falls Sie jedoch in den Informationen Ihres Cookie-Opt-In explizit “Google Universal Analytics” aufführen, sollten Sie Ihre Opt-In-Informationen anpassen und generell von Google Analytics sprechen, da weitere Detailangaben an dieser Stelle nicht erforderlich sind. Bei weiteren Informationen sollten Sie auf die Datenschutzhinweise verweisen.

Lesetipp zum Thema Cookie-Einwilligung: Der ultimative Cookie-Ratgeber – Praxistipps, TDDDG- & DSGVO-Checkliste für Google Analytics & Co
Lesetipp zum Thema Cookie-Einwilligung: Der ultimative Cookie-Ratgeber – Praxistipps, TDDDG- & DSGVO mit rechtlichen Erläuterungen und Umsetzungsbeispielen.

Muss ich meine Datenschutzerklärung aktualisieren?

Da Google ein Empfänger im Sinne des Art. 13 Abs. 1 lit. e) DSGVO ist, müssen Sie Informationen zu Google Analytics 4 in Ihre Datenschutzerklärung aufnehmen. Die Datenschutzerklärung für Google Analytics unterscheidet sich von den Angaben zu Universal Analytics.

Zudem  sollten Sie neben den Hinweisen zum Zweck des Einsatzes von Google Analytics, d.h. der Webanalyse, Konversionsmessung usw., auch die Vorteile, wie z.B. den Einsatz der EU-Server, erwähnen und die Nutzer auf die Standardvertragsklauseln als Rechtsgrundlage der Übermittlung zumindest eines Teils der Daten in die USA hinweisen.

In unserem Generator für Datenschutzerklärungen haben Sie in der Premiumversion die Möglichkeit, die Angaben zu Google Analytics 4 sowie die Einsatzoptionen auszuwählen.
In unserem Generator für Datenschutzerklärungen haben Sie in der Premiumversion die Möglichkeit, die Angaben zu Google Analytics 4 sowie die Einsatzoptionen auszuwählen.

Muss ich mein Verzeichnis von Verarbeitungstätigkeiten aktualisieren?

Es wird empfohlen, Ihr Verzeichnis von Verarbeitungstätigkeiten zu aktualisieren, wenn Sie auf Google Analytics 4 umstellen. Da sich die Versionen von Google Analytics in Bezug auf die Funktionalität und Datenverarbeitung unterscheiden, sollten Sie die Änderung in Ihrem Verzeichnis dokumentieren, um sicherzustellen, dass es aktuell und korrekt ist.

Im Wesentlichen gleichen sich diese Angaben zu Google Analytics denen in der Datenschutzerklärung.

Checkliste

Die folgende Checkliste hilft Ihnen dabei, den Einsatz von Google Analytics 4 datenschutzrechtlich zu prüfen:

  1. Prüfung der Erforderlichkeit: Bevor Sie Google Analytics 4 einsetzen, sollten Sie prüfen, ob alternative EU-Dienste mit denselben Funktionen und einem höheren Datenschutzniveau in Frage kommen und ob es unbedingt Google Analytics 4 sein muss. Als Argumente für den Einsatz von Google Analytics könnten beispielsweise die Kosten anderer Dienste, der Aufwand für die Umstellung und Schulung sowie die positive Entwicklung bei US-Datentransfers dienen.
  2. Cookie-loses Tracking: Prüfen Sie, ob Sie Google Analytics 4 ohne Cookies einsetzen könnten.
  3. Serverseitiges Tracking: Erwägen Sie, ob Sie Google Analytics 4 serverseitig einsetzen könnten.
  4. Datenschutzfreundliche Einstellungen:
  5. Cookie-Opt-In prüfen: Überprüfen und aktualisieren Sie bei Bedarf Ihr bestehendes Cookie-Opt-In.
  6. Prüfung der verbleibenden Risiken: Überlegen Sie, ob Sie die Risiken und den Aufwand bei der Nutzung von Google Analytics (z.B. die Notwendigkeit, die Rechtslage zu beobachten, Rückfragen der Behörden, Beschwerden der Nutzer, Diskussionen mit Datenschutzbeauftragten) in Kauf nehmen möchten.
  7. Datenschutzerklärung: Fügen Sie relevante Informationen zu Google Analytics 4 in Ihre Datenschutzerklärung ein. Heben Sie den Zweck der Verwendung von Google Analytics, die Vorteile (wie z.B. die Verwendung von EU-Servern) und die rechtliche Grundlage für die Datenübermittlung in die USA hervor.
  8. Verzeichnis von Verarbeitungstätigkeiten: Nehmen Sie die Angaben zum Einsatz von Google Analytics 4 auf.

Bei der Prüfung der Erforderlichkeit, der Risiken und der datenschutzfreundlichen Einstellungen müssen Sie Protokolle führen (Art. 5 Abs. 2 DSGVO).

Fazit

Im Ergebnis kann der Einsatz von Google Analytics weder pauschal für verboten noch für zulässig gehalten werden. Allerdings kann der Einsatz auf der Basis einer Risikobewertung als unternehmerisch vertretbar bezeichnet werden. Das bedeutet, dass die rechtlichen Risiken hinreichend bei einer wirtschaftlichen Abwägung mit den Vorteilen hinnehmbar sind.

Dies gilt erst recht dank den neuen Datenschutzfunktionen von Google Analytics 4 sowie der positiven Entwicklung bei US-Datentransfers.

Sie sollten jedoch auch die finanziellen und zeitlichen Kosten berücksichtigen, die mit der Nutzung von Google Analytics verbunden sind. Denn aufgrund der unsicheren Rechtslage bleibt eine kontinuierliche Überwachung und Umsetzung erforderlicher Maßnahmen notwendig.

Tipp für mehr Rechtssicherheit

Mit unseren Generatoren können Sie nicht nur ein Impressum, sondern als Unternehmen auch rechtssichere Datenschutzerklärungen oder Shop-AGB erstellen und die folgenden Vorteile genießen:  vom Anwalt  mit Siegel  kein Abo  Dokumente ohne zeitliches Limit nutzbar Download als Word-Datei oder PDF Nachträgliche Bearbeitung der Eingaben.

In unserem Shop erhalten Sie eine Übersicht unserer Angebote: