Google Analytics steht seit mehreren Monaten sehr unter Beschuss.. So haben diverse Datenschutzbehörden, darunter diejenige aus Österreich, der Niederlande, Frankreich, Italien und Dänemark, Google Analytics als nicht datenschutzkonform gemäss Europäischer Datenschutzgrundverordnung eingestuft. Wir erklären, was es damit auf sich hat und ob Google Analytics noch eingesetzt werden darf.
Ist Google Analytics datenschutzkonform?
Die beiden Datenschutzbehörden in Österreich und Frankreich bemängeln, dass mit Google Analytics IP-Adressen und damit persönliche Daten auf amerikanischen Servern gespeichert werden. Diese Kundendaten sind jederzeit dem Zugriff des amerikanischen Geheimdienstes ausgesetzt. Die Datenschutzbehörden aus den Niederlanden und Italien gehen besonders auf die zusätzlichen Massnahmen ein, die notwendig sind, um Google Analytics DSGVO-konform einsetzen zu können. Zudem legen sie den Fokus darauf, dass die Standard-Version von Google Analytics nicht den rechtlichen Anforderungen entspricht.
Ausserdem besteht aktuell kein EU-US Privacy Shield, das die Nutzung von amerikanischer Software legitimieren würde. Am 7. Oktober 2022 wurde eine Executive Order von Präsident Biden unterzeichnet für ein neues Framework für ein EU-US Privacy Shield. Bis wann dieses in Kraft tritt und ob das Abkommen aus Datenschutz-Sicht ausreichend ist, ist bis heute noch unklar.,
Das heisst also, dass wir aktuell nicht wissen, wie lange und ob überhaupt Google Analytics gemäss Europäischer Datenschutzgrundverordnung (DSGVO) noch eingesetzt werden kann.
Falls für Ihr Geschäftsmodell die DSGVO nicht gilt und Sie wirklich nur dem Schweizer Datenschutz unterliegen, geniessen Sie noch einen Vorteil. Erstens besteht für die Schweiz noch ein gültiges Privacy Shield mit der USA und zweitens dauert es noch ein knappes Jahr bis das neue Schweizer Datenschutzgesetz am 1.September 2023 in Kraft tritt. Wie streng dieses genau ausfallen wird, bleibt abzuwarten.
Eine technische Lösung, um Google Analytics auch in der EU datenschutzkonform einsetzen zu können, ist das Setup mittels Server-Side Tracking oder Tagging.
Was ist Server-Side Tracking?
Beim client-basierten Cookie Tracking werden die Cookies von der Webseite gesetzt und die gesammelten Informationen von dieser dann an die involvierten Plattformen weitergeschickt. Die Darstellung unten illustriert die Tags, die von der Webseite auf dem Endgerät gesetzt werden.
Beim Server-Side Tagging wird ein Server dazwischengeschaltet. Sämtliche Informationen von den Endgeräten werden auf diesem sicheren Server gespeichert. Welche Informationen an welche Dritt-Plattformen weitergegeben werden, kann individuell entschieden werden.
Kann Google Analytics mit Server-Side Tracking datenschutzkonform genutzt werden?
Sie sehen nun, dass die Daten von Google Analytics nicht mehr automatisch auf den Servern von Google in den USA gespeichert werden, sondern auf einem Server, der in Europa steht. Die Daten gehen erst nach einer individuellen Anpassung weiter an Google Analytics. Somit können die Daten vorab anonymisiert oder pseudonymisiert werden, und damit sichergestellt werden, dass keine persönliche Kundendaten in die USA gelangen. Auch die französische Datenschutzbehörde hat Server-Side Tracking als mögliches DSGVO-konformes Setup für Google Analytics genannt.
Natürlich ist es aufwändiger, als wenn Sie Google Analytics im herkömmlichen Setup nutzen, da Sie für den Server und die Datenspeicherung selbst verantwortlich sind. Hier bietet Google bereits Unterstützung, da Sie den Server über Google beziehen können und den Standort des Servers dabei selbst bestimmen können.
Sie brauchen zudem das technische Know-How, um das Tagging korrekt aufzusetzen. Auch hierzu bietet Google bereits einen Google Tag Manager Container, der serverseitig aufgesetzt werden kann. Für die Techies unter Ihnen haben wir bereits einen weiteren Blog Post vorbereitet, der genau erklärt, wie Sie den GTM Container für das Server-Side Tracking aufsetzen. Es gibt jedoch auch Software-Lösungen, die das Server-Side Setup etwas vereinfachen, wie beispielsweise JENTIS. JENTIS stellt einen separaten Tag Manager zur Verfügung, stellt die Infrastruktur der Server bereit und wartet diese auch.
Server-Side Tracking löst auch das Third-Party Cookie Problem
Wenn Sie nun genau aufgepasst haben, ist Ihnen sicherlich aufgefallen, dass beim Server-Side Tracking noch ein anderes Problem gelöst werden kann.
Einige Browser wie Firefox, Safari und Edge (Chrome ab Ende 2024) sind dazu übergegangen, Dritt-Anbieter Cookies direkt zu blockieren. Sehr unschön für Ihre Marketing-Kampagnen, die Sie nicht mehr messen und nicht mehr gezielt ausspielen können.
Server-Side Tracking lässt sich nun so einrichten, dass auf der Webseite nur noch First Party Cookies gesetzt werden, da auf der Webseite nur ein Container hinterlegt ist, der Cookies von derselben Domain setzt. Falls Sie sich auch hier für die technischen Details interessieren, verweisen wir Sie gerne auf unser zukünftiges Server-Side Tagging Tutorial.
Wenn wir Ihnen die Vorzüge von Server-Side Tracking einleuchtend erklären konnten und Sie gerne mehr erfahren möchten, melden Sie sich gerne bei uns. Wir besprechen gern Ihr individuelles Setup mit Ihnen.
