Änderungen aus datenschutzrechtlicher Sicht
Bei der Umstellung auf GA4 ergeben sich einige positive Änderungen aus datenschutzrechtlicher Sicht.
- Keine Speicherung oder Protokollierung der IP-Adressen: Die IP-Adresse der Website-Nutzenden wird in GA4 nicht mehr protokolliert oder gespeichert. Bei Zugriffen aus der EU werden die IP-Adressen lediglich zur Ableitung der Standortdaten verwendet und sofort gelöscht. Dadurch wird die Speicherung personenbezogener Daten reduziert.
- Verkürzte Aufbewahrungsdauer: Die Aufbewahrungsdauer der Daten wird bei GA4 auf maximal 14 Monate verkürzt. Während bei Universal Analytics standardmäßig eine Speicherung von 26 Monaten erfolgte, setzt GA4 den Fokus auf eine kürzere Aufbewahrungsfrist.
- EU-Daten: Daten von Geräten in der EU werden über Domains und Server in der EU erfasst und verarbeitet. Die Verarbeitung erfolgt somit ausschließlich innerhalb der EU.
- Einstellungen für Regionen: Es können spezifische Einstellungen für die Datenerhebung in bestimmten Regionen vorgenommen werden. Dies ermöglicht eine Kontrolle über die Erfassung von Daten und deren Verwendung in verschiedenen geografischen Bereichen.
Datenschutzrechtliche Risiken
Trotz der genannten Verbesserungen bestehen bei der Nutzung von GA4 weiterhin datenschutzrechtliche Risiken.
- Datentransfer in die USA: Ein Problem ergibt sich aus dem Datentransfer zwischen der EU und den USA. Obwohl die Daten auf europäischen Servern gespeichert werden, können US-Behörden auf die Daten von US-Unternehmen zugreifen. Somit sind auch die Daten der GA4-Nutzenden, die auf EU-Servern gespeichert werden, potenziell dem Zugriff der US-Behörden ausgesetzt.
- Zeitlich-versetzte Anonymisierung der IP-Adresse: Die Anonymisierung der IP-Adresse in GA4 erfolgt erst nach der Durchführung der Geo-Lokalisierung. Dies bedeutet, dass die IP-Adresse zunächst für die Ableitung des Standorts verwendet wird und erst danach anonymisiert wird. Eine sofortige Anonymisierung wäre datenschutzrechtlich wünschenswert.
- Keine Verschlüsselung von Gerätedaten: GA4 überträgt Gerätedaten und Onlinekennungen weiterhin unverschlüsselt. Dadurch werden Daten von Nutzenden gespeichert, die nicht den Anforderungen der DS-GVO entsprechen. Eine verschüsselte Übertragung dieser Daten ist notwendig, um die Vertraulichkeit und Integrität der Informationen zu gewährleisten.
- Cookies: GA4 setzt standardmäßig Cookies ein und liest Daten von den Endgeräten aus. Gemäß den Vorschriften des TTDSG erfordert dies die Einwilligung der Nutzenden. Die Verarbeitung personenbezogener Daten, die über Cookies zugeordnet werden, muss ebenfalls nach den Bestimmungen der DS-GVO gerechtfertigt sein. Website-Betreibende sollten sicherstellen, dass die Verarbeitung entweder auf die Wahrung des berechtigten Interesses (Art. 6 Abs. 1 lit. f DS-GVO) gestützt werden kann oder die Einwilligung der Nutzenden (Art. 6 Abs. 6 lit. a DS-GVO) eingeholt wird.
Handlungsempfehlung
Um eine möglichst datenschutzkonforme Nutzung sicherzustellen, sollten die folgenden Aspekte unbedingt berücksichtigt werden. Es ist jedoch wichtig zu beachten, dass selbst bei Umsetzung dieser Aspekte die Nutzung von GA4 immer noch nicht vollständig den Anforderungen der DS-GVO entspricht:
- Risikoabwägung durchführen: Zunächst sollte eine Risikoabwägung durchgeführt werden. GA4 bietet zwar aus Marketing-Sicht viele Vorteile, allerdings stellt GA4 auch ein datenschutzrechtliches Risiko dar, da es in gewissen Punkten gegen die DS-GVO verstößt. Zu diesem Zeitpunkt sollte auch überlegt werden, auf ein alternatives Tracking-Tool von EU-Anbietern umzusteigen.
- Auftragsverarbeitungsvertrag (AVV) abschließen: Unternehmen, die einen Google-Dienst auf ihrer Webseite verwenden wollen, also auch GA4, müssen einen AVV mit Google Ireland Limited abschließen.
- Möglichst datensparsame Einstellungen: Um das Prinzip der Datensparsamkeit zu befolgen, sollten möglichst datensparsame Einstellungen getroffen werden. Dazu kann gehören, dass die Datenerfassung in bestimmten Regionen deaktiviert wird, die Daten nicht an andere Google-Produkte weitergegeben werden (wie z.B. Google Signals oder Google Analytics), dass die Personalisierungsfunktion für Werbung deaktiviert wird etc.
- Einwilligung einholen: Um die Verwendung von Cookies und die Erfassung von Daten durch GA4 in Einklang mit den Datenschutzbestimmungen zu bringen, muss eine Einwilligungslösung implementiert werden. Nutzende sollen aktiv zustimmen, bevor Cookies gesetzt und Daten erfasst werden.
- Datenschutzerklärung aktualisieren: Die Datenschutzerklärung der Website muss angepasst werden, um die Verwendung von GA4 sowie die damit verbundenen Datenschutzaspekte zu erläutern. Die Nutzenden sollen über die Art der erfassten Daten und deren Verwendung informiert werden.
Fazit
Die Umstellung auf Google Analytics 4 bietet neue Möglichkeiten für die Analyse von Website-Daten. Aus datenschutzrechtlicher Sicht sind einige positive Veränderungen erkennbar, dennoch bestehen weiterhin Risiken, die berücksichtigt werden müssen. Unternehmen sollten sich bei der Nutzung von GA4 des datenschutzrechtlichen Risikos bewusst sein und darauf achten, das Tool möglichst datensparsam zu nutzen.