Google Analytics ist das am stärksten verbreitete Analysetool in Europa. Und zugleich das am meisten kritisierte.
Als die österreichische Datenschutzbehörde (DSB) im Dezember 2021 zu dem Schluss kam, dass die Einbindung von Google Analytics auf Webseiten wegen der Datenübermittlung in die USA gegen die Datenschutzgrundverordnung verstößt, blieb es zunächst offen, ob weitere Behörden oder gar der EuGH dem österreichischen Weg folgen und was das für die Zukunft von Google Analytics in Europa bedeuten würde.
Im Februar ist die französische Datenschutzbehörde (CNIL), die in Europa als sehr einflussreich gilt, dann nachgezogen. Auch wenn sie kein direktes Verbot ausgesprochen hat, hält sie fest, dass die unverschlüsselte Übertragung von Analytics-Daten in die USA unrechtmäßig ist. Die CNIL begründet dies damit, dass das Statistikprogramm gegen die Vorgaben des Gesetzes zur Datenübermittlung verstoße und die zusätzlichen Maßnahmen, die Google ergriffen hat, nicht ausreichten, weil der Transfer der Daten dennoch nicht vollständig geregelt sei.
Ebenso hat die niederländische Datenschutzbehörde einen Beschluss angekündigt. Zu einer 2018 angelegten Anleitung zur „datenschutzfreundlichen Einrichtung von Google Analytics“ hat sie mittlerweile einen Hinweis hinzugefügt: „Bitte beachten_ Die Verwendung von Google Analytics ist möglicherweise bald nicht mehr erlaubt“.
Entscheidungen weiterer Länder oder des EuGH sind möglich.
Mittlerweile haben die EU-Kommission und die USA mit dem Trans-Atlantic Data Privacy Framework (TADPF) einen transatlantischen Datenschutzrahmen angekündigt.
Der Text des TADPF ist noch nicht finalisiert und wird vermutlich noch mindestens ein halbes Jahr Arbeit benötigen. Die konkrete Ausformulierung wird spannend, damit das Abkommen nicht wieder vom EuGH gekippt werden kann, wie das 2020 mit dem bis dahin geltenden „Privacy Shield“ der Fall war.
Für den Nutzer bleibt die Frage, was man tun muss, um Google Analytics aktuell trotzdem zu verwenden, ob die Nutzung noch Sinn macht und welche Alternativen es gibt.
Richard Maurer, Head of SEO bei der internationalen Performance Marketing Firma SlopeLift, arbeitet täglich mit Google Analytics und anderen Tools in diesem Bereich und hat uns einen kleinen Einblick in seine Expertise gegeben.
Herr Maurer, wie waren die Reaktionen in Österreich, als das Urteil Ende 2021 veröffentlicht wurde?
Ich glaube, am Anfang herrschte eine sehr starke Panikmache. In der ersten Woche nach dem Urteil hatten wir doch einige Anrufe von verunsicherten Kunden.
Wahrscheinlich, weil medial immer von einem Verbot gesprochen wird – aber ein Verbot als solches ist es doch nicht, oder?
Genau. “Google-Analytics-Verbot” würde ich das eigentlich nicht nennen. Das “Verbot” besteht darin, personenbezogene Daten in die USA zu schicken. Dementsprechend hat Google einige Herausforderungen zu bewältigen. Google garantiert zwar in den AGBs, dass die meisten Daten in Europa verarbeitet werden, schließt aber nicht aus, dass die Datenverarbeitung auch in den USA erfolgt. (Anmerkung der Redaktion: Die CNIL argumentierte, dass Google Analytics gar nicht in der EU einsetzbar ist, weil Google nicht genug unternehme, um die Daten europäischer Bürger vor dem Zugriff durch amerikanische Geheimdienste zu schützen.)
Besonders heikel sind personenbezogene Daten. Hier stellt sich Frage, was sind personenbezogene Daten und was sind indirekt personenbezogene Daten? Und inwiefern tracke ich diese Daten mit Google Analytics? Die IP-Adresse ist ein Beispiel für eine heikle Sache. Es gibt zwar Möglichkeiten, die IP-Adresse in den Analysetools zu anonymisieren, aber auch diese Anonymisierung erfolgt in den USA und das ist ein Problem.
Was empfehlen sie Unternehmen, die Google Analytics nutzen?
Ich glaube, Nutzer sollten das Thema strategisch angehen und nicht panisch einfach Google Analytics abdrehen. Wo will ich hin, was für Tools brauche ich wirklich? Es geht einfach darum, zukunftssichere Entscheidungen zu treffen.
Wer bereits Google Analytics verwendet, sollte sich fragen: Was ist eigentlich der Stellenwert des Trackingtools für mein Unternehmen, wie wichtig ist es für uns? Welche Informationen sind enthalten und welche benötige ich tatsächlich? Mit welchem Aufwand könnte ich auf ein konformeres Tool umsteigen? Und vor allem, was verliere ich, wenn ich dies vornehme? Es ist eine Art Risikobewertung.
Was die meisten machen ist, jetzt auf ein server-seitiges Tracking mit europäischen Servern zu wechseln. So lässt sich auch bei Implementierungen von Google Analytics sicherstellen, dass beispielsweise die IP-Adresse schon in Europa anonymisiert wird. Und das ist auch das mindeste, das gemacht werden muss. Es ist einfach wichtig, da die Kontrolle zu halten. Mit so einem Trackingserver lässt sich jeder Stream, der an Google Analytics gesendet werden soll, einsehen. Zudem können diese Data Streams dann individuell bearbeitet werden, um zu sagen, die IP-Adresse bekommt ihr auf keinen Fall oder die Device Breite oder die Device Höhe.
Google Analytics zu implementieren ist nicht schwer, möglicherweise liegt genau hierin auch das Problem. Unternehmen implementieren das mal eben und stellen keine Detailfragen. Wer sich einmal anschaut, was das eigentlich für Data Streams sind, die gesetzt wurden und wozu diese verwendet werden, kommt darauf, dass das Tool sehr komplex ist und sehr viel Aufmerksamkeit benötigt. Viel mehr Aufmerksamkeit als es bisher bekommen hat.
Wie sieht es mit Alternativen aus?
Grundsätzlich muss kein US-Tool verwendet werden, um Daten zu erfassen. Es ist nur einfach so, dass Google Analytics ein sehr verbreitetes Tool ist.
Wir sehen jetzt aber, dass bei weniger komplexen Implementierungen Google Analytics auch sehr leicht abgelöst werden und gegen europäische Lösungen, die einen europäischen Serverstandort haben, wie zum Beispiel Matomo, getauscht werden kann. Es gibt zahlreiche Ausweichmöglichkeiten. Neben Matomo verfügen zum Beispiel Piwik Pro, Mapp Intelligence (ehemals Webtrekk) oder etracker über einen deutschen Standort.
Wer bereit ist, Abstriche bei der Benutzerfreundlichkeit hinzunehmen, hat zahlreiche Alternativen zur Hand. Die Tools werden von deutlich weniger Entwicklern betreut. Das zeigt sich zum einen am Look-and-Feel, aber auch daran, wie die Standard-Reports aussehen. Hinzu kommt, dass in den meisten Fällen auch die Verbindungen zu anderen Google-Produkten nicht so ausgeprägt sind wie gewohnt.
Ich würde aber sagen, Google Analytics ist insgesamt doch sehr praktisch und benutzerfreundlich. Wer jedoch lediglich sehr einfache Reportings benötigt, kann sich durchaus überlegen, ob er oder sie nicht besser umsteigen möchte. Problematisch wird es dann, wenn Google Analytics oder Webtracking-Tools sehr stark mit dem CRM-System verbunden sind, wenn die Datenflows komplex sind. Man muss einfach ein Augenmerk darauf setzen, dass alles DSGVO-konform implementiert ist.
Denken Sie, dass Google die bisherigen Urteile als Problem wahrgenommen hat?
Obwohl Österreich ein sehr kleiner Markt ist, haben sie unser Urteil sehr wohl zur Kenntnis genommen. Natürlich dauert das ein bisschen, da nachzuarbeiten.
Google hat bereits erkannt, dass der Datenaustausch ein großes Problem ist, und nach meinem Informationsstand sind sie schon ziemlich weit vorangekommen, in diesem Punkt eine Verbesserung einzubringen. Ich weiß, dass dieses Jahr noch eine Veränderung kommen soll, auch von Google selbst.
Also wird Google Analytics auch weiterhin auf dem europäischen Markt aktiv bleiben, auch wenn sie weniger Daten beziehen können?
In Amerika gilt einfach ein anderes Datenschutzrecht und daher muss garantiert werden, dass die Datenverarbeitung ausschließlich in Europa erfolgt. Wenn Google Analytics das künftig anbietet und an den entsprechenden Stellschrauben dreht, ist das Tool definitiv nicht für den europäischen Analysemarkt gestorben. Ich glaube, Google kann auch mit den Regulierungen der EU-Datenschutz-Grundverordnung in den anonymisierten Daten noch genug Wichtiges herauslesen. Google verfügt bereits über eine große Datengrundlage, die sie jetzt mit Machine Learnings hochrechnen können.
Trotzdem sind viele Google Analytics User nun doch noch zu einer weiteren Änderung gezwungen.
Google hat vor kurzem bekannt gegeben, dass sie das alte Google Analytics nächstes Jahr einstellen werden und nur mehr die Version GA4 existieren wird. Alle anderen Versionen laufen im kommenden Jahr aus. Deshalb empfehle ich dringlich, auf das neue GA4 umzusteigen – denn ohne historische Daten macht die gesamte Analyse wenig Sinn bzw. werden auch die historischen Daten der alten Google Analytics Versionen nicht ewig zur Verfügung stehen.