Ist Google Analytics illegal?

Tools der großen US-Tech-Unternehmen nutzen Marketeers heute selbstverständlich. Die aktuelle Rechtsprechung könnte aber zum Problem werden. Wechselnde Absprachen zum sicheren Datentransfer zwischen Europa und den USA stiften Verwirrung – es könnte bis März 2023 oder länger dauern, bis Rechtssicherheit herrscht. Dürft Ihr Tools wie Google Analytics aktuell überhaupt noch nutzen?

Einmal zur Einordnung, wie wir hier gelandet sind: 2020 erklärt der Europäische Gerichtshof (EuGH) im Schrems II-Urteil den „Privacy Shield“, der ab 2015 den Umgang mit personenbezogenen Daten aus der EU in den USA regelte, für ungültig. Seither wird gegen Unternehmen ermittelt, die EU-Nutzer-Daten durch die Nutzung von Tech-Produkten aus den USA über den Atlantik schicken. Die USA bieten nicht das gleiche Schutzniveau wie die EU. Besonders betroffen sind davon Tools wie Google Analytics 3, das seit dem Urteil im Visier der europäischen Datenschutzbehörden ist. Weil das Tracking nicht mit der EU-Datenschutz-Grundverordnung (DSGVO) im Einklang sei, wurde die Nutzung von Google Analytics in Dänemark, Frankreich, Österreich und Italien bereits für rechtswidrig erklärt.

Neue Bemühungen mit strikten Regeln

Am 7. Oktober unterzeichnet US-Präsident Joe Biden nun ein Dekret, das ein neues rechtssicheres Regelwerk für den Umgang mit Daten von EU-Bürger*innen vorsieht. Im März 2023 soll darauf aufbauend das EU-US-Datentransferabkommen veröffentlicht werden. In der EU tätige US-Organisationen benötigen laut Willen der US-Regierung in Zukunft keine Rechtsgrundlage für die Datenerhebung, sie müssen lediglich einen Opt-Out-Mechanismus vorsehen – ein erheblicher Nachteil für DSGVO-gebundene EU-Unternehmen mit internationaler Präsenz, die sich auf eine Vielzahl an Sicherheitsvorschriften und damit auf funktionale Einschränkungen einstellen müssen.

Da es sich bei der Durchführungsverordnung um kein Gesetz handelt, kann sie vom EuGH aber auch schnell wieder gekippt werden. Die Wiener Nichtregierungsorganisation NOYB, treibende Kraft hinter den Schrems-Urteilen, kündigte bereits an, die Veränderungen vor dem EU-Gericht anzufechten. Kurz: Es ist und bleibt kompliziert. Was bedeutet das alles für Eure Webseiten und Kundenanalysen? Ist ein Google-Analytics-Update die Lösung?

Jetzt kommt Google Analytics 4

Im Juli 2023 will Google die Unterstützung für Universal Analytics (also Google Analytics 3) einstellen – was Millionen von Nutzer*innen praktisch zwingt, auf Google Analytics 4 (GA4) umzusteigen. Das Problem: Laut dänischer Datenschutzbehörde drohen auch mit der neuen Version rechtliche Probleme: „Beim Blick auf Google Analytics 4 wird klar, dass IP-Adressen genutzt werden, um den Aufenthaltsort der Nutzenden zu bestimmen. Die Adresse wird dann gelöscht. […] Je nach Aufenthaltsort der Nutzenden kann es aber eine direkte Verbindung zu US-Servern geben, bevor die IP-Adresse gelöscht wird.“ Es bestehe die Gefahr, dass in den USA auf die Daten zugegriffen werden kann. Es droht also weiterer Ärger, zumindest von der dänischen Behörde.

Was Ihr jetzt tun könnt

Unternehmen sollten sich schon jetzt auf die Analytics-Zukunft ohne Google Analytics 3 einstellen. Was könnt Ihr genau tun?

Szenario 1: Warten, bis endgültig etwas entschieden wird. Dies bedeutet für Unternehmen jedoch, dass sie zum potenziellen Gegenstand von Untersuchungen der Datenschutzbehörden werden und sich in ständiger Unsicherheit befinden.

Szenario 2: Die Umstellung auf GA4. Auch mit dem Wechsel besteht rechtliche Unsicherheit.

Szenario 3: Google Analytics gesetzeskonform machen, heißt: eine Pseudonymisierung der Daten mit Hilfe eines Reverse-Proxys durchführen. Der Server wird unter anderem implementiert, um die Sicherheit zu erhöhen, persönliche Identifikatoren zu beseitigen und sicherzustellen, dass GA-Skripte nur nach Nutzerzustimmung ausgelöst werden. Die Mankos: Mit dem Setup kommen zusätzliche Kosten und funktionale Einschränkungen auf Euch zu.

Szenario 4: Auf Google Analytics verzichten und durch eine Software ersetzen, die alle EU-Datenschutzstandards erfüllt.

Mit einem Wechsel auf der sicheren Seite

Schnell umsetzbar ist also die Nutzung eines Alternativ-Anbieters. Europäische Tools wie Piwik PRO, SimpleAnalytics oder Fathom Analytics haben sich weltweit bewährt. Sie bieten ähnliche Funktionen wie Google Analytics, liefern Euch also wichtige Daten – sind aber komplett DSGVO-konform.

Die Piwik PRO Analytics Suite könnt Ihr Euch mal näher anschauen. Das Tool besteht aus vier ineinandergreifenden Komponenten, um so viele First-Party-Daten wie möglich zu sammeln, zu skalieren und gleichzeitig die Privatsphäre der Kund*innen zu wahren.

• Analytics: Datenerfassung über Websites, Apps, digitale Produkte und Post-Login-Bereiche hinaus, die mit integrierten Berichten zu Zielgruppe, Verhalten, Akquisition und Conversion tiefergehend analysiert werden können.
• Tag-Manager: Schnelles Erstellen, Testen und Bereitstellen von Tags aus Vorlagen oder mit benutzerdefiniertem Code. Ihr koordiniert das Tag-Verhalten mit Analytics, Customer Data Platform und einem Consent Manager.
• Customer Data Platform: Erstellen von Kundenprofilen und Segmentieren von Zielgruppen. Ihr füllt die Profile mit den von Analytics und Tag Manager gesammelten Daten. Mit dem Consent Manager erfasst Ihr Daten nur mit ausdrücklicher Zustimmung.
• Consent Manager: Einwilligungen und Anfragen von Nutzenden verwaltet Ihr auf derselben Plattform, auf der Ihr Daten erfasst und verarbeitet.

Auch große Unternehmen nutzen Alternativen

Erfolgreiche Unternehmen und Organisationen weltweit erstellen bereits Nutzeranalysen mit Piwik PRO. So auch die Non-Profit-Organisation DKMS, die Spender*innen im Kampf gegen Blutkrebs akquiriert. Bis heute hat die Stiftung Knochenmark- und Stammzelltransplantationen für 100.000 Menschen organisiert und mehr als elf Millionen Lebensretter:innen registriert. Zur Unterstützung eines globalen Website-Relaunches 2021 wurden DSGVO-konforme Analysen benötigt. Außerdem ein verbessertes Antragsformular auf allen sieben Websites, das potenzielle Spender*innen von Anfang an richtig verifiziert, sowie ein optimierter Registrierungsprozess. Das setzt die DKMS mit Piwik PRO auf – und registriert auf der US-Website einen Anstieg der Conversion Rate um drei Prozent.

Noch heute führt die DKMS mit Piwik PRO erfolgreich Online-Kampagnen durch

Auch die Deutsche Flugsicherung (DFS) setzt auf die Analytics-Alternative – für HR-Zwecke. Fluglots*innen müssen zum richtigen Zeitpunkt die richtige Entscheidung treffen und tragen viel Verantwortung. Die Suche nach geeigneten Kandidat*innen stellt die größte Herausforderung dar. Mit soliden Rekrutierungs- und Webanalysedaten für Personalmarketingkampagnen, die soziale Medien, Google Ads und Printmedien umfassen, sollen die qualifiziertesten Bewerber*innen gewonnen werden. Piwik PRO leitet aus den Rohdaten verwertbare Erkenntnisse ab und ermöglicht es, das Verhalten der Bewerber*innen während des gesamten Rekrutierungsprozesses zu messen – und hilft dabei, ihn kosteneffizienter zu gestalten.

Wie die DFS Daten von Piwik PRO zur Optimierung des Rekrutierungsprozesses nutzt

Umdenken und umsteigen

Wer einen Plattform-Wechsel erwägt, muss Bedenken über zu hohe Aufwände aus dem Weg räumen und etwas mehr das Bewusstsein dafür schärfen, dass der Schutz wertvoller Daten höchste Priorität hat. Die Zukunft des Marketings erfordert rechtlich sichere Analysen – darum solltet Ihr besser früh als zu spät auf DSGVO-konforme Tools wie die des polnischen Anbieters Piwik PRO umsteigen.

Verschafft Euch einen Überblick, was mit Piwik Pro alles möglich ist.

Da Benutzeroberfläche und Funktionen der Piwik PRO Analytics Suite denen von Universal Analytics ähneln, ist die Umstellung keine große Sache. Sowohl kostenlose als auch kostenpflichtige Angebote beinhalten einen Analysedienst für Euren individuellen Bedarf. Ihr werdet nichts vermissen und dabei den großen Vorteil genießen, keine Datenschutz- und Compliance-Probleme zu bekommen.