Die elementare Frage, die nach Googles Anpreisungen bei Unternehmen, Privatpersonen oder Datenschützern immer wieder aufkommt lautet: Ändert die neue Version denn nun wirklich etwas an der grundlegenden Google Analytics Problematik? Um das einmal abzukürzen: Nein.
Verschiedene Datenschützer-Gruppierungen haben sich die von Google angepriesenen Datenschutz-Neuerungen bereits detailliert angeschaut. Nachfolgend betrachten wir gemeinsam mit Ihnen einmal die wichtigsten und auf den ersten Blick „vielversprechendsten“ Punkte. Dies wäre zum einen natürlich die Anonymisierung der IP-Adressen. Die DSGVO gilt nämlich lediglich für personenbezogene Daten. Bei allen Datensätzen ohne Personenbezug liegt im Grunde genommen nur noch anonymer „Datenmüll“ vor, der keiner Person zuzuordnen ist. Wird der Personenbezug optimalerweise gar nicht erst erhoben, wäre keine Privatsphäre von Nutzern bedroht. Leider ist dies bei GA 4 nicht vollumfänglich der Fall, da vor der IP-Anonymisierung zunächst die Geolokalisierung stattfindet. An dieser Stelle ist auch die Zuordnung zu einem Google-Konto noch möglich, weshalb Google z.B. weiterhin Aussagen darüber treffen kann, an welchem Ort auf der Welt sich welcher Nutzer befindet. Da faktisch vor der Anonymisierung immer noch Daten über den Nutzer erhoben werden, wird nach wie vor eine Einwilligung benötigt. Dabei muss auch stets eine Opt-Out-Möglichkeit zur Verfügung stehen, bei der die Nutzer ihre Einwilligung wieder zurücknehmen können.
Auch hatte Google angepriesen, dass künftig die Daten nur noch auf EU-Servern abgelegt werden sollen. Auch hier ist knapp daneben leider auch vorbei, da nach dem Patriot Act ein US-Unternehmen den US-Behörden alle Server öffnen muss, ganz gleich an welchem Ort sich diese befinden. Dies gilt ebenso für die europäischen, weshalb sich hier an der grundlegenden Schrems II-Problematik nichts ändert. Auch die Datenschutz-Gruppierungen und Datenschutzbehörden sehen daher den Einsatz nach wie vor kritisch. In den vergangenen zwei Jahren haben nationale Behörden in verschiedenen Fällen ihre Einstellung gegenüber Google Analytics verdeutlicht. Sowohl die französische, italienische und niederländische Aufsichtsbehörde sind sich mit dem EuGH über die Unzulässigkeit von Google Analytics einig. Die französische Behörde CNIL hat den Einsatz von Google Analytics sogar dann als unzulässig erachtet, wenn vom Nutzer eine Einwilligung vorliegt. Aus Sicht der CNIL ist eine informierte Einwilligung in einen Drittstaaten-Datentransfer grundsätzlich nicht möglich. Auch die vorliegenden Standardvertragsklauseln von Google hatten nichts daran ändern können. In Bezug auf GA 4 hatte sich die CNIL bereits dahingehend geäußert, dass die Behörde kritisch dagegen vorgehen werde, da die von Google getroffenen Maßnahmen nach wie vor nicht ausreichen. Auch durch die GA 4-Neuerungen werde kein Datenschutzniveau erreicht, dass dem der Europäischen Union im Wesentlichen gleichwertig wäre. Eine „Erleichterung“ des Einsatzes von Google Analytics für Unternehmen könnte folglich nur der eventuell im ersten Quartal 2023 erwartete Angemessenheitsbeschluss bringen (wir berichteten in unserer Ausgabe 11/2022).
Quellenangaben:
– Artikel „Google Analytics 4 – Können Sie das Tool noch datenschutzkonform nutzen?“, abgerufen am 25.11.2022 unter: https://legal.trustedshops.com/blog/google-analytics-4-koennen-sie-das-tool-noch-datenschutzkonform-nutzen?utm_campaign=B2B_DE_Mail_Bestof_22&utm_medium=email&_hsmi=233358241&_hsenc=p2ANqtz–iW4H-DPQHiKnuFBlr4Ve312lrMRhIFQ3CfuiEFDoz5LWsOjOXtAcQqeBqOlJ08ToKwsFliYEW3bbZ-KR_lhsHlzzllg&utm_content=233358241&utm_source=hs_email
– Artikel „Website Analytics: Google Analytics 4 kommt“, abgerufen am 25.11.2022 unter: https://www.datenschutzexperte.de/blog/datenschutz-im-internet/website-analytics-google-analytics-4-kommt/
– Artikel „Google Analytics 4: die nächste Generation des Trackings“, abgerufen am 25.11.2022 unter: https://www.forty-four.de/blog/google-analytics-4/
