“Einen Beschluss, der Groß­bri­tan­ni­en ein ange­mes­se­nes Daten­schutz­ni­veau vor Ort bestä­tigt, gibt es noch nicht und wird es auch bis zum kurz bevor­ste­hen­den har­ten Brexit aller Vor­aus­sicht nach nicht geben. Damit wird Groß­bri­tan­ni­en zu einem Dritt­land wer­den, in das ohne wei­te­re Maß­nah­me durch Ver­ant­wort­li­che kei­nen per­so­nen­be­zo­ge­nen Daten über­mit­telt wer­den dür­fen.” – Eileen Binder

Goog­le Ana­ly­tics 4 (GA4) ersetzt die bis­he­ri­ge Ver­si­on Uni­ver­sal Ana­ly­tics voll­stän­dig und kommt mit vie­len Neue­run­gen daher, auch im Daten­schutz. So soll die Zukunft im „coo­kiel­ess track­ing“ lie­gen. Goog­le plant, bis in 2 Jah­ren alle Werbe- und Marketing-Cookies zu ver­ban­nen. Sie sol­len vom Chrome-Browser nicht mehr unter­stützt wer­den. Statt­des­sen soll die Lösung in mehr Anony­mi­tät bei gleich­zei­tig wei­ter­hin gutem Analyse-Ergebnis durch künst­li­che Intel­li­genz lie­gen. Sie soll das Feh­len von Coo­kies und Iden­ti­fi­ern ausgleichen.

Erhöh­ter Daten­schutz bei GA4

Mög­lich ist das coo­kiel­o­se Track­ing, indem nicht mehr wie bis­her die Sit­zung im Fokus steht, son­dern der Nut­zer und des­sen Ver­hal­tens­wei­sen. Das hört sich aus daten­schutz­recht­li­cher Sicht erst ein­mal nach Rück­schritt an, hat aber auch sei­ne Vor­tei­le. Die Kate­go­rien, nach denen kei­ne indi­vi­du­el­len Pro­fi­le mehr erstellt wer­den, son­dern eine Art Nut­zer­grup­pen, haben sich in GA4 ver­än­dert. Ent­ste­hen Lücken in den Daten­samm­lun­gen, wer­den die­se durch ein von Goog­le genann­tes „Mode­ling“ gefüllt.

Eine wei­te­re daten­schutz­recht­li­che Neue­rung liegt in der Anony­mi­sie­rung der IP-Adressen. Die­se sind in GA4 stan­dard­mä­ßig anony­mi­siert statt — wie noch in der Vor­gän­ger­ver­si­on Uni­ver­sal Ana­ly­tics – von vorn­her­ein iden­ti­fi­zier­bar. Laut Goog­le kann die­ser Zustand nicht deak­ti­viert werden.

Und auch in der Ablauf­zeit der Coo­kies hat sich etwas getan. Es kann in GA4 nur noch eine Cookie-Laufzeit von 2 oder 14 Mona­ten ein­ge­stellt wer­den. Bis­her hat­ten Google-Anwender eine Aus­wahl­mög­lich­keit zwi­schen 14, 26, 38 und 50 Monaten.

Zudem bie­tet Goog­le ein Add-On an, womit die Über­tra­gung per­so­nen­be­zo­ge­ner Daten ver­hin­dert wer­den kann. Der Link zum Add-On soll­te von Web­site­be­trei­bern in den Datenschutz-Informationen auf der Web­site zur Ver­fü­gung gestellt wer­den (hier geht’s zum Link).

Coo­kiel­ess = Einwilligungsless?

Die Zukunfts­per­spek­ti­ven rund um coo­kiel­ess track­ing und stan­dard­mä­ßig anony­mi­sier­te IP-Adressen dür­fen nicht dar­über hin­weg­täu­schen, dass die akti­ve und frei­wil­li­ge Ein­wil­li­gung der Web­sei­ten­be­su­cher nach wie vor erfor­der­lich ist. Auch wenn nach den neu­en GA4-Maßstäben der Daten­schutz erhöht wur­de, so gilt wei­ter­hin: Wer in frem­den Gewäs­sern fischt muss um Erlaub­nis fra­gen. Zudem über­trägt Goog­le immer noch Daten in die USA. Seit dem Schrems II-Urteil (hier geht’s zum Arti­kel) ist den USA jedoch das ange­mes­se­ne Daten­schutz­ni­veau aberkannt wor­den. Daten­über­mitt­lun­gen in die USA sind daher aktu­ell nur mit Ein­wil­li­gung der Web­site­be­su­cher möglich.

Fazit

Im Kern spre­chen wir immer noch von der Ver­si­on des Tracking- und Ana­ly­se­tools der „sam­mel­wü­ti­gen Daten­kra­ke Goog­le“. Mit dem neu­en Pro­per­ty GA4 wer­den kei­ne neu­en Datenschutz-Maßstäbe gesetzt. Anwen­der von GA4 kön­nen das Track­ing unter Gel­tung der DSGVO bes­ser kon­fi­gu­rie­ren und einen Grad an Anony­mi­tät errei­chen, Goog­le selbst wird jedoch wei­ter­hin voll­stän­di­gen Zugriff auf die nicht anony­mi­sier­ten Daten haben und die­se wei­ter­hin für die eige­nen Zwe­cke ein­set­zen. Wich­tig: Der Vor­stoß in Sachen Daten­schutz im Analytics-Universum führt nicht dazu, dass kei­ne Ein­wil­li­gung der Sei­ten­be­su­cher mehr ein­ge­holt wer­den muss. Ein frei­wil­li­ges Opt-In der Web­sei­ten­be­su­cher ist nach wie vor erfor­der­lich. Ein posi­ti­ves Signal setzt die Ent­wick­lung indes auf jeden Fall.