Online-Marketing News 2022-01

Google Analytics im Kreuzfeuer

Ist es in der EU möglich, Google Analytics DSGVO konform zu nutzen? So sagen die Datenschützer im Verein noyb rund um Max Schrems:

Der Einsatz von Google Analytics verstößt gegen die Datenschutzgrundverordnung (DSGVO).

noyb

Der Verein hatte eine Musterbeschwerde bei der österreichischen Datenschutzbehörde eingebracht. Stein des Anstosses war der – in Österreich durchaus weit verbreitete – Umgang eines Gesundheitsportals mit Google Analytics zu Webanalyse-Zwecken. Die Behörde hatte dem Beschwerdeführer teilweise rechtgegeben. Auch die französische Datenschutzbehörde CNIL gab der Beschwerde von noyb recht.

»Die Daten werden in die USA übermittelt und ein (nach EU-Recht illegaler) Zugriff von US-Geheimdiensten auf diese Daten kann nicht ausgeschlossen werden. Die vorgelegten Standardvertragsklauseln seien nicht ausreichend«, erklärt Anwalt Dr. Schwenke in seinem Facebook-Posting die Grundlage dieser Behördenentscheidung. Wesentlich dabei: es ist eine Behördenentscheidung bezüglich des damaligen Vorgehens bestimmter Websites, und kein Gerichtsurteil.

Damals, am 14. August 2020, wurde Universal Analytics auf dieser Website eingesetzt, das Anonymisieren der IP-Adresse von Website-Besucher/innen war zu diesem Zeitpunkt angeblich sogar aktiv.

Für den Verein steht allerdings im Mittelpunkt, dass US-Behörden leicht feststellbare Daten als Ausgangspunkt für die Überwachung von Einzelpersonen nutzen würden. Denn der Beschwerdeführer hatte angeführt, gleichzeitig in seinem Google Konto angemeldet gewesen zu sein, so dass in vertretbarem und zumutbarem Aufwand eine Identifizierbarkeit hergestellt werden kann.

Offen ist, ob auf der betreffenden Website damals ein Einverständnis der Website-Besucherin zu Erfassung des Besuches durch Google Analytics vorab eingeholt wurde. Das scheint nicht der Fall gewesen zu sein. Auszug aus dem Bescheid:

Consent in accordance with Article 49 (1) (a) GDPR was not obtained.

Datenschutzbehörde, GZ: D155.027, 2021-0.586.257, Seite 39
https://noyb.eu/sites/default/files/2022-01/E-DSB%20-%20Google%20Analytics_EN_bk.pdf

Aber noch bevor die Frage nach dem Tracking Einverständnis beantwortet werden kann, darf kein Tracking zu Statistik- oder Marketing-Zwecken erfolgen.

Offen ist eigentlich auch, warum eine Person ein Google Konto benutzt, sich gleichzeitig aber besorgt zeigt, dass eine US-Behörde an Nutzungsdaten des Dienstes herankommen kann.

Google Analytics DSGVO konform nutzen?

Kann es einen DSGVO-konformen Einsatz von Google Analytics überhaupt in Europa geben? Sie werden viele Stimmen finden, die das verneinen. Allen voran die Stimmen von Konkurrenz-Produkten von Google Analytics, die aktuell Marketing by Fear betreiben. Dicht dahinter Stimmen von Website-Produzenten, die froh sind, einen komplexen Themenbereich loszuwerden.

Wir meinen, der Einsatz von Google Analytics verstößt nicht unter allen Umständen gegen die Datenschutzbestimmungen in Europa. Es braucht aber die Umsetzung von Voraussetzungen für den Einsatz dieser Web-Analyse. Der Out-of-the-box Einsatz von Google Analytics in den Varianten Universal Analytics (UA) und möglicherweise auch des DSGVO-freundlicheren Google Analytics 4 (GA4) ist aktuell ein Verstoß gegen die DSGVO. Wir haben daher die folgenden Informationen zusammengetragen, wie ein (möglichst) DSGVO-konformer Einsatz nach aktuellem Wissensstand aussehen kann.

Consent Management

Bei Nutzung von Tracking durch Google Analytics und Co (Facebook, etc.) muss vorab das Einverständnis der User eingeholt werden. Und zwar so, dass eine Ablehnung einfach möglich ist. Die Betonung liegt auf dem Wörtchen vorab. Solange keine ausdrückliche Zustimmung erfolgt ist, darf auch kein Tracking erfolgen. Das wird als Opt-In bezeichnet. Ein Opt-Out, wo also das Tracking aktiv abgelehnt werden muss, ist unzulässig.

Eine Zustimmung können Sie unter Nutzung eines Consent Management Tools einholen. WordPress-Nutzer/innen haben die Wahl unter etwa diesen Plugins und Plattformen:

• Complianz Privacy Suite for WordPress
• Borlabs Cookie
• Cookiehub
• CookieYes | GDPR Cookie Consent & Compliance Notice (CCPA Ready)
• Cookiebot
• WP DSGVO Pixelmate
• Cookie Notice for GDPR & CCPA
• Analytics Germanized for Google Analytics (GDPR / DSGVO)
• Legalweb.io

Das Verknüpfen der Zustimmung mit der Erreichbarkeit der Inhalte, wie es manche Nachrichten-Portale tun, gilt erstaunlicherweise – zumindest derzeit – als legitim, sofern mit der Erstellung der Inhalte ein relevanter Aufwand verbunden ist. Das Einverständnis mit dem Tracking ist dann die „Bezahlung“ dafür (https://www.dataprotect.at/2020/06/23/bezahlen-mit-daten/). Aber auch hier gilt, dass ein Tracking erst nach der Zustimmung erfolgen darf.

Im folgenden Beispiel eines großen Medienportals sehen Sie, dass Sie in jedem Fall zustimmen müssen, oder Sie können den aufgerufenen Artikel nicht lesen.

Naja.

Kontoeinstellungen

Google hat mittlerweile die »Google Data Processing Terms for all Google Products« angepasst, um die neuen Versionen der Standardvertragsklauseln widerzuspiegeln. Diese DPAs sollten Sie in den Kontoeinstellungen von Google Analytics akzeptieren.

Deaktivieren Sie dort auch gleich jegliche Form von Datenfreigabe: Benchmarking, Technischer Support, Account Manager.

Property Einstellungen (Universal Analytics)

Deaktivieren Sie in Universal Analytics bei den Property Einstellungen die Berichte zu demografischen Merkmalen und Interessen.

Deaktivieren Sie die Nutzung des Messwerts »Nutzer« in Berichten, da hiermit eine genauere Identifizierung von Nutzern seitens Google abgeschwächt wird.

Datenerfassung

Nutzen Sie nicht die Funktionen zur Datenerfassung für Werbefunktionen, also verzichten Sie auf die Datenerfassung für Remarketing und auf die Funktionen für Werbeberichte. Wenn Sie Ihre Google Ads-Werbung bisher an Zielgruppen-Listen ausgespielt haben, die Sie mit Hilfe von Google Analytics erstellt haben (z.B. »Warenkorb-Abbrecher mit hohem Warenkorb-Wert«), dann überlegen Sie, ob ein Verzicht darauf möglich ist. Wenn ja, dann stellen Sie das für die europäischen oder alle Regionen ab.

• GA4-Property: Dateneinstellungen / Datenerhebung / Zahnrad anklicken
• UA-Property: Tracking-Informationen / Datenerhebung / Zahnrad anklicken (Wählen Sie dort auch »Remarketing« und »Funktionen für Werbeberichte« ab, wenn nicht schon passiert.)

Setzen Sie stattdessen Conversion Tracking für Google Ads mit den Google Ads eigenen Tracking Codes um.

Keine persönlichen Daten übermitteln

Verzichten Sie in der Google Analytics 4-Property auf die Erkennung von Nutzern geräteübergreifend anhand einer User-ID (Identität für die Berichterstellung) und Gerät. Wählen Sie stattdessen Nur nach Gerät.

In Universal Analytics (UA) rufen Sie die Property-Einstellungen auf, und deaktivieren unter Nutzeranalyse die Option Messwert „Nutzer“ in Berichten aktivieren. Nutzen Sie nicht die User ID Funktion (»Tracking-Informationen« / »User ID«).

Datenerfassung durch Google Signale

Deaktivieren bzw. nutzen Sie nicht die Datenerfassung durch Google-Signale in Google Analytics 4. Denn wenn Sie Google-Signale aktivieren, werden in Google Analytics Besucherdaten von Ihrer Website und/oder Ihren Apps erhoben und mit den Informationen aus Google-Konten angemeldeter Nutzer verknüpft. Die Besucherdaten können den Standort des Endnutzers, den Suchverlauf, den YouTube-Verlauf und Daten zu Websites von Google-Partnern enthalten.

IP-Adresse anonymisieren

Darüber hinaus sollten Sie noch herausfinden, wie Sie bei Ihrem GA-Tracking Code (Universal Analytics) die Anonymisierung der IP-Adresse erreichen können. Dabei wird das letzte Oktet der IP-Adresse verworfen, allerdings erst nach Übermittlung der kompletten IP-Adresse zu Google. Insofern ist das eher ein kosmetischer Schritt. Wie Sie das tun können, hängt von der konkreten Implementierung des Tracking Codes in Ihrer Website ab. Bei Google Analytics 4 erfolgt das bereits automatisch.

Mit Server-side Tagging können Sie auch die IP-Adressen der Besucher komplett entfernen, bevor die Daten zu Google Analytics gesendet werden. Datenschutz galore! Die Umstellung auf Server-side Tagging ist allerdings ein komplexer Vorgang, bei dem Sie ein Konto bei der Google Cloud benötigen.

Datenschutzerklärung

Weisen Sie auch in Ihrer Datenschutzerklärung darauf hin, dass durch das Klicken des „Cookies akzeptieren / Zustimmen“-Buttons gem. Art. 49 Abs. 1 DSGVO eingewilligt wird, dass auch Anbieter in den USA Daten der Website-Besucher verarbeiten. Potenziell könnten auch US-Behörden in die übermittelten Daten Einsicht nehmen.

Die Website Besucher müssen ohne großem Aufwand die Tragweite der Entscheidung erkennen können.

Reicht das aus?

Es mag sein, dass der österreichischen Datenschutzbehörde eine – aus bisheriger Sicht – korrekte Umsetzung des Consent Management noch immer nicht reicht, und Cloud-Dienste aller US-Anbieter generell unter Ächtung stehen, auch wenn die Nutzer/innen zustimmen. Welche Dienste können wir in Europa dann noch nutzen?

Wenn es um mögliche Einblicke von US-Behörden in das Nutzer-Verhalten auf Geräten mit europäischen IP-Adressen geht, dann müssen wir Konsumenten in letzter Konsequenz komplett verzichten auf US-basierte Dienste, Geräte und Software wie: Google, Bing, Facebook, Twitter, YouTube, Netflix, Instagram, WhatsApp, DropBox, iOS, Android, und mehr. Der Vergleich hinkt natürlich, weil wir diese Dienste freiwillig nutzen, und Google Analytics in fremden Websites oft ohne unser Wissen eingesetzt wird, aber dennoch.

Es handelt sich jedenfalls immer noch nur um eine Amtsentscheidung und kein Gerichtsurteil. Rechtsanwalt Dr. Schwenke meint dazu in seinem Facebook Posting:

Die Entscheidung zeigt aber, wie weit die Ansichten der Datenschutzaufsicht von der Praxis entfernt sind.

Dr. Thomas Schwenke

Wir erlauben uns zustimmendes Nicken. Und wir wünschen uns eine Lösung im Sinne des Datenschutzes, die gleichzeitig die Zustellung personalisierter Werbung ermöglicht. Etwa indem ein »Google Europa« die Daten ausschließlich auf europäischen Servern verarbeitet, auf die US-, russische oder chinesische Behörden keinen Zugriff haben, und dieses Unternehmen solche Daten auf Verlangen von Nicht-EU-Behörden auch nicht herausgeben muss. Das es also ein eigenes »europäisches Google« gibt.

Drei hilfreiche Links zu Service-Dokumenten der WKO:

• https://www.wko.at/service/wirtschaftsrecht-gewerberecht/EU-Datenschutz-Grundverordnung:-Internationaler-Datenverk.html
• https://www.wko.at/service/wirtschaftsrecht-gewerberecht/checkliste-cookies-webanalyse-webshop.html
• https://www.wko.at/service/wirtschaftsrecht-gewerberecht/datenverarbeitung-webshop-website.html

Wenn Sie sich unsicher sind, dann lösen Sie Google Analytics aus Ihrer Website komplett heraus. Und in weiterer Konsequenz entfernen Sie wohl auch Google Ads Tracking, was allerdings zu wesentlich geringerer Effizienz bei dieser digitalen Werbung führen wird. Oder warten Sie ab, wie sich die Sache weiterentwickeln wird.

Hinterlassen Sie uns Ihre Meinung im Kommentarbereich unten.

Complianz in Version 6

Womit wir bei einer Umsetzung des Consent Managements angelangt sind, die wir gerne für Kunden-Websites und unsere eigene Website benutzen. Complianz hat Versionsnummer seines WordPress-Plugins von 5 auf 6 gestellt.

Die wichtigsten Änderungen:

• Das Aussehen des Banners hat sich geändert.
• Schaltfächen haben im Banner dieselbe Größe, damit kommt man Richtlinien in vielen Regionen entgegen
• Die Kategorien (»Marketing«, »Statistik«) lassen sich kurz beschreiben.
• Es kann eine Kopfzeile mit Logo, Titel und Schließen-Schaltfläche zum Einwilligungsbanner hinzugefügt werden.
• Es wurden Vorbereitungen für die Nutzung des neuen Google Consent Mode getroffen.

Nutzen Sie insbesonders die neue Beschreibung der Kategorien dazu, die Menschen auf eine mögliche Bearbeitung von Daten durch US-Behörden hinzuweisen.

Prüfen Sie, ob Sie im Assistent des Plugins diese drei Häkchen gesetzt haben.