Google Analytics in Europa: So stellen Sie die Einhaltung der DSGVO sicher

Die Regeln des Datenschutzspiels haben sich auf einen Cent geändert und die Fähigkeit europäischer Unternehmen beeinträchtigt, ihre Leistung genau zu bewerten und ihre Marketingbemühungen angemessen zu bewerten. Mit den aufgetretenen Verboten sind die üblichen Arbeitsweisen nicht mehr möglich, was zum Verlust wertvoller Daten führt, die niemals ersetzt werden.

Der enorme Wandel in der digitalen Analyse begann mit einem Verbot der Verwendung von Google Analytics in einigen europäischen Ländern und endete mit einem neuen Datenschutzrahmenwerk zwischen der EU und den USA. Nach jüngsten Entscheidungen europäischer Datenschutzbehörden ist die Verwendung von Google Analytics für Website-Betreiber in mehreren Ländern illegal geworden. Seit die Implementierung von Google Analytics mittlerweile als Verstoß gegen Kapitel V der DSGVO angesehen wird, stehen europäische Unternehmen vor einer Krise.

Im März 2022 änderte sich die Situation jedoch, also versuchen wir endlich festzustellen, welche Probleme mit dem Datenschutz aufgetreten sind und was europäische Unternehmen tun können, um ihre Marketinganalysen zu sichern.

In den letzten Jahren hat sich im Bereich Datenschutz und Google Analytics viel getan. Für europäische Unternehmen haben diese Veränderungen bei der Erfassung und Anwendung von Daten das Ende der goldenen Ära der optimierten, fortschrittlichen Marketinganalysen bedeutet. Einschränkungen und Verbote in der Datennutzung machen es unmöglich, etablierte Arbeitsabläufe anzuwenden. Wir haben alle Informationen gesammelt und dargestellt, die wir haben, um zu sehen, wie all diese Veränderungen begannen und wo wir jetzt stehen.

Im Jahr 2020 reichte die gemeinnützige Organisation NOYB 101 Beschwerden gegen Websites des Europäischen Wirtschaftsraums (EWR) ein, die Google Analytics oder Facebook Connect verwendeten. Danach begannen die EWR-Datenschutzbehörden, Entscheidungen zu erlassen, die die Betreiber von EWR-Websites zwingen, die Nutzung dieser Dienste einzustellen, weil sie die Datenschutz-Grundverordnung (DSGVO) nicht einhalten.

Das Problem lag in der Methode der Anwendung von Google Analytics in Europa, da es gesammelte Daten über EU-Bürger (Benutzerverhaltensdaten) auf einem US-basierten Cloud-Dienst speichert. Der Knackpunkt war – und ist immer noch – dass die von Google getroffenen Sicherheitsvorkehrungen unzureichend sind, um zu verhindern, dass US-Geheimdienste auf die personenbezogenen Daten von EU-Bürgern zugreifen. Laut europäischen Datenschutzbehörden verstoßen diese Auslandsdatenübermittlungen gegen die DSGVO.

Bisher wurden zwei Gerichtsverfahren verhandelt. Der erste war ein österreichischer Fall (Dezember 2021), gefolgt von einem französischen Fall weniger als zwei Monate später (Februar 2022). Die Zusammenfassung dieser Fälle ist, dass es keinen angemessenen Schutz für die personenbezogenen Daten von EU-Bürgern gibt, zusammen mit der illegalen Übermittlung ihrer personenbezogenen Daten an in den USA ansässige Dienste. Beispielsweise werden eindeutige Benutzer-ID-Nummern, IP-Adressen und Browserparameter nicht ausreichend durch die von Google angebotenen Standardschutzklauseln geschützt.

Ähnliche Fälle in anderen europäischen Ländern könnten einen Dominoeffekt bei der Unterdrückung der Verwendung von Google Analytics (und ähnlichen Diensten) haben. Da es bereits vorbildliche Antworten und Reaktionen auf diese Beschwerden über Datenschutzverletzungen gibt, ist es möglich, dass weitere europäische Behörden der Klage bald folgen werden, was zu einem vollständigen Verbot von Google Analytics (und anderen Tools) in Europa führen wird.

Dann, am 25. März 2022, gaben die USA und die EU nach mehr als einem Jahr Verhandlungen eine „Grundsatzvereinbarung“ über einen neuen Rechtsrahmen für DSGVO-konforme Übermittlungen personenbezogener Daten aus der EU in die Vereinigten Staaten bekannt. Der transatlantische Datenschutzrahmen geht auf Bedenken ein, die der Gerichtshof der Europäischen Union in der Schrems-II-Entscheidung vom Juli 2020 geäußert hat, und garantiert die höchsten Standards in Bezug auf Privatsphäre und Datenschutz. Google freut sich darauf, seine Prozesse bei der ersten Gelegenheit nach dem Transatlantic Data Privacy Framework zu zertifizieren. Dennoch bleibt es eine „Grundsatzvereinbarung“, wobei Details und Zeitplan noch zu bestätigen sind.

Niemand kann die Zukunft vorhersagen, und da sich die digitale Landschaft schnell verändert, sollten Unternehmen darauf vorbereitet sein, ihren Datenverarbeitungs-Workflow zu schützen.

Aufgrund von Beschwerden von NOYB wollen viele Datenschutzbehörden des Europäischen Wirtschaftsraums (EWR) die Betreiber von EWR-Websites dazu zwingen, die Verwendung von Google Analytics ganz einzustellen. Diejenigen, die unter solchen Entscheidungen leiden, sind europäische Unternehmen, die Online-Technologien implementieren möchten, um ihre Geschäftseinnahmen zu steigern und ihre Gesamtleistung zu verbessern.

Derzeit befinden sich diese Unternehmen in einer schwachen Position, da sie darauf warten, dass das politisch heiße Thema des internationalen Datentransfers mit einigen logischen Lösungen geregelt wird. Vergessen wir nicht, dass trotz Problemen mit der Datenübertragung weltweit andere gefährliche Risiken für den Datenschutz vorhanden sind, wie z. B. Cyberangriffe und Ransomware.

Im Moment treten folgende Probleme bei der Verwendung von Google Analytics auf:

• Websites, die die DSGVO nicht einhalten können, müssen hohe Bußgelder zahlen, wenn sie weiterhin sensible Benutzerdaten an in den USA ansässige Dienste übertragen.
• Ohne die Anwendung von Google Analytics befürchten Vermarkter, dass sie ihre Marketingleistung nicht bewerten können.
• Um ihre Marketinganalyselösung zu ändern, werden Unternehmen viel Geld für das Erlernen und Implementieren eines neuen Produkts ausgeben.

Mal sehen, was getan werden kann, um diese Probleme zu lösen und wie Unternehmen in Zukunft noch größere Probleme vermeiden können.

Hinweis: Das NOYB-Projekt stellt Leitlinien für Unternehmen bereit. Speziell für kleinere EU-Unternehmen, die sich über die US-Überwachungsgesetze nicht sicher sind oder deren US-Partner unter diese Gesetze fallen, gibt es kostenlose Richtlinien und Musteranfragen auf der Website noyb.eu.

Natürlich ist dieser Umstand für viele Unternehmen unangenehm und verletzt eingefahrene Arbeitsabläufe. Es gibt jedoch keinen Grund zur Verzweiflung, denn dies ist sicherlich kein Weltuntergang, und es gibt Auswege.

Zunächst sollten wir erwähnen, dass Google Analytics auf zwei Arten implementiert werden kann. Dementsprechend beeinflusst die Art und Weise der Implementierung die Einhaltung der DSGVO. Die beiden Methoden sind:

Normalerweise wenden Websites den clientseitigen Modus an, d. h. die Verwendung von JavaScript-Code auf den Seiten der Website, das Setzen von Cookies, das Generieren von Client-IDs und das Übertragen der erhaltenen Daten an Google Analytics zum Erstellen der Website-Statistiken.

Sehen wir uns an, welche Schritte unternommen werden sollten, wenn Google Analytics im clientseitigen Modus verwendet wird. Es gibt sowohl technische als auch rechtliche Dinge zu prüfen, um die Einhaltung der DSGVO sicherzustellen.

1. Beginnen Sie mit der richtigen Benutzereinwilligung. Sie sollten die Benutzer darüber informieren, dass ihre Daten (Geräteinformationen, Tracking-IDs, IP-Adressen usw.) nicht nur gesammelt, sondern an in den USA ansässige Dienste übertragen werden. Außerdem ist darauf hinzuweisen, dass Nutzer ihre Einwilligung jederzeit widerrufen können.
2. Implementieren Sie die IP-Anonymisierung. (Für Google Analytics 4-Eigenschaften ist die IP-Anonymisierung standardmäßig aktiviert.)
3. Stellen Sie sicher, dass sowohl die Datenfreigabeoption als auch die Signaloption in Google Analytics deaktiviert sind.
4. Wenn Sie proprietäre Benutzer-IDs verwenden, stellen Sie sicher, dass keine Berechtigung zur Benutzeridentifizierung vorliegt.

Wichtig! Vergessen Sie nicht, die Rechtslage zu prüfen. Überprüfen Sie alle von Ihnen unterzeichneten Verträge, da alle Verträge, die von Unternehmen in der EMEA-Region unterzeichnet werden, mit Google Ireland Limited und nicht mit Google LLC abgeschlossen werden sollten. Überprüfen Sie dann die TIA zur Datenübertragung zwischen Google Ireland Limited und Google LLC.

Die zweite Variante implementiert einen serverseitigen Modus . Es ist diskreter, da Sie in diesem Modus Tags (sowohl Werbung als auch Messung) von der Website entfernen und auf einen sicheren Servercontainer übertragen können. Durch die Anwendung von serverseitigem Tracking werden die IP-Adressen der Nutzer außerdem automatisch anonymisiert, bevor die Informationen mit den Berichtstools von Google geteilt werden. Kurz gesagt, es gibt keine direkte Kommunikation zwischen dem Nutzer und Google. Informationen werden vom Server des Herausgebers gesammelt und dann zur Analyse an Google weitergeleitet.

Obwohl viele Unternehmen den Eindruck haben, dass kein Google Analytics überhaupt keine Analysen bedeutet, ist das nicht wahr. Es gibt andere Möglichkeiten, erweiterte Marketinganalysen zu implementieren, und das OWOX BI-Team bietet sichere Lösungen für das Sammeln und Speichern von Daten.

Was ist OWOX BI?

OWOX BI ist eine Marketinganalyselösung, die die Bereitstellung von Daten aus isolierten Quellen an Ihr Analyseziel automatisiert und sicherstellt, dass Ihre Daten immer genau und aktuell sind.

Zu den Hauptvorteilen der Arbeit mit Daten mit OWOX BI gehören die folgenden:

• Alle Daten werden vollständig DSGVO-konform in Google BigQuery gespeichert. Das serverseitige Tracking von OWOX BI bietet eine sichere First-Party-Datenerfassung auf Ihrer persönlichen Domäne. Der Tracking-Prozess ist konform mit Schrems II und der DSGVO.
• Vertrautes Datenschema von Google Analytics. Sie erhalten das bekannte Google Analytics Universal-Datenschema für Treffer und Sitzungstransformation. Es dauert nur wenige Minuten, um das Tracking mit Ihren aktuellen Google Analytics-Einstellungen einfach einzurichten.
• Hochwertige Datenerfassung. Bleiben Sie unbeeinflusst von Werbeblockern und erhalten Sie vollständige Rohdaten in erklärbarer Qualität. Sammeln Sie jeden Treffer in Ihrem Google BigQuery EU-Speicher nahezu in Echtzeit und ohne Stichproben.
• Effektives Marketing und Datenanalyse. Im Jahr 2023 wird ein erheblicher Teil der Informationen über die Wirksamkeit von Werbekanälen aufgrund des Niedergangs von Cookies von Drittanbietern und verkürzter Cookie-Lebensdauer nicht mehr verfügbar sein. Sie können Verluste mit serverseitigem OWOX BI-Tracking minimieren, Erstanbieterdaten sammeln und sie mit Marketingdaten in Ihrem Speicher zusammenführen.

Welche Schritte können Sie mit OWOX BI unternehmen, um Ihre Marketinganalysen zu speichern?

Da die meisten Unternehmen es vorziehen, sicherzustellen, dass sowohl die Datenerfassung als auch die Speicherung in der EU-Region erfolgt, vermeidet OWOX BI die Verwendung von Google Analytics. Im Detail sieht der OWOX BI-Datenfluss so aus:

1. Sammeln Sie Daten von der Website im klassischen Google Analytics-Format. Da dieses Datenformat bekannt ist, ist es möglich, Tausende von vorhandenen SQL-Abfragen wiederzuverwenden.
2. Sammeln Sie Rohdaten in Echtzeit im Google BigQuery-Speicher. Die erhaltenen Daten gehören Ihnen und werden in der von Ihnen ausgewählten EU-Zone gespeichert.

Zusammenfassend ermöglicht OWOX BI jedem Vermarkter und Analysten, seine Arbeit fortzusetzen und Analyselösungen anzuwenden, die die Rechtsabteilung des Unternehmens zufriedenstellen:

• Stellen Sie die Einhaltung der DSGVO sicher, während Sie mit sensiblen Daten arbeiten.
• Vermeiden Sie es, Zeit und Ressourcen für die erneute Verarbeitung von Daten oder das Erlernen und Annehmen eines neuen Tech-Stacks zu verlieren.
• Behalten Sie das vorhandene Markup Ihrer Website bei, da die Implementierungszeit zusammen mit den Time-to-Value-Perioden wirklich kurz ist.

Die Situation mit dem Verbot von Google Analytics und dem bevorstehenden transatlantischen Datenschutzrahmen muss noch geklärt werden. Unabhängig von den Ergebnissen ist es jedoch am besten, Ihr Unternehmen jetzt zu schützen, ohne auf eine bessere Zeit in der Zukunft zu warten. Es gibt offensichtliche Schritte, die Sie unternehmen können, um die Risiken zu minimieren, die von rechtlichen Vorbereitungen und der Sicherstellung der Zustimmung der Benutzer bis hin zur Abkehr von US-amerikanischen Dienstanbietern reichen.

Das serverseitige Tracking von OWOX BI bietet eine sichere Erstanbieter-Datenerfassung, die mit Schrems II und der DSGVO konform ist. Und das Sahnehäubchen ist die Fähigkeit, Verluste zu minimieren, die durch den Niedergang von Cookies von Drittanbietern und verkürzte Cookie-Lebensdauer entstehen.