25.07.2022
Google Analytics 4 & Datenschutz – Was Unternehmen jetzt beachten müssen
Welche Features bringt Google Analytics 4 (GA 4) mit sich? Werden Einwilligungsbanner nun obsolet? Und worauf müssen sich Unternehmen datenschutzrechtlich einstellen?
Google hat eine neue Version seines beliebten Online-Marketingtools Google Analytics vorgestellt: Google Analytics 4 (GA 4). Die neue Generation des Analysetools wird die Vorgängerversion Universal Analytics (UA) ablösen. Viele Unternehmen haben bereits UA eingesetzt, um das Nutzungsverhalten auf der eigenen Unternehmenswebseite der User nachzuvollziehen und damit eine erfolgreiche Marketingstrategie zu entwickeln. Voraussichtlich ab dem 01. Juli 2023 soll dies standardmäßig nicht mehr über UA stattfinden, sondern ausschließlich über GA 4 erfolgen können. Welche neuen Features GA 4 mit sich bringt, ob Einwilligungsbanner nun obsolet werden und worauf sich Unternehmen datenschutzrechtlich einstellen müssen, zeigen wir in diesem Beitrag.
Universal Analytics-Properties (UA): der bisherige Einsatz
UA war bisher für Unternehmen, die vor dem 14. Oktober 2020 begonnen haben, das Analysetool zu nutzen, der Standard-Property-Typ für Webseiten. UA-Property ermöglichte ein geräteübergreifendes Tracking, womit nicht nur auf Webseiten, sondern auch in Apps und anderen digitalen Geräten übergreifend nachvollzogen und analysiert werden konnte. Bisher wurden dafür verschiedene Tracking-Technologien wie Pixel, Cookies und Skripte angewendet. Verwendet eine Webseite Google Analytics, wird bei deren Aufruf die entsprechende Technologie aktiv. Dann werden Informationen, wie eindeutige Identifier, entweder auf dem Endgerät mittels Cookies gespeichert oder es erfolgt ein Zugriff auf bereits gespeicherte Informationen im Endgerät, wie beispielsweise zum Betriebssystem, zum Browser oder zur Bildschirmgröße, mittels Skripten und Pixel. Nähere Ausführungen zu Google Analytics UA finden Sie hier auf unserem Blog.
Neues Analysetool: GA 4
Funktionsweise
GA 4 sammelt sowohl Webseiten- als auch App-Daten, um das Verhalten von Nutzenden nachzuvollziehen. Ebenfalls wie bei der Vorgängerversion UA, verarbeitet GA 4 dabei personenbezogene Daten. Zu den erfassten Daten gehören unter anderem die Verweildauer auf der Webseite, demografische Merkmale wie Sprache und Standort, oder der zum Aufruf genutzte Browser. Die Besonderheit bei GA 4 liegt im Einsatz von Künstlicher Intelligenz (KI) und Machine-Learning für die Datenauswertung. Der Zugriff auf die Daten des Nutzenden erfolgt weiterhin über Cookies, Skripte und Pixel. Zur Messung und Auswertung der Nutzungsdaten kommt nun jedoch KI, insbesondere maschinelles Lernen, durch Anwendung von Algorithmen zum Einsatz. Die Algorithmen messen automatisiert anhand von Ereignisdaten (sog. Events), und nicht wie vormals bei UA anhand von sitzungsbasierten Daten (sog. Hits), das Nutzungsverhalten des individuellen Nutzenden. Unter Events fallen zum Beispiel Scrolls bis zum Seitenende, Klicks auf externe Links, Downloads oder Pageviews. Der diese Events auslesende Algorithmus kann spezifisches Nutzungsverhalten auch auf anderen Geräten wiedererkennen, wodurch eine geräteübergreifende Verhaltensanalyse möglich ist. Kommt es daher zu verschiedenen separaten Sitzungen an verschiedenen Geräten, kann GA 4 anhand von User-ID, Google-ID, oder Geräte-ID die Sitzungen automatisiert zu einer einheitlichen geräteübergreifenden Benutzererfahrung zusammenfassen. Maschinelles Lernen kommt auch beim sog. Modelling von Conversions zum Einsatz. Unter Conversions versteht man einen Vorgang, bei dem der Adressat einer Marketing-Botschaft eine gewünschte Aktion ausführt. Eine Conversion liegt zum Beispiel vor, wenn auf einer Webseite eine Werbeanzeige geschaltet wird, welche sodann geklickt wird. Es kann aber zum Beispiel vorkommen, dass eine Werbeanzeigeninteraktion mit einem anderen Gerät stattfindet als die konkrete Bestellung der beworbenen Ware. Um dies nachvollziehen zu können und hiervon marketingtechnisch zu profitieren, kann durch Conversion Modelling eine Brücke geschlagen werden.
Kostenfreie Expertise im E-Mail-Postfach
Alle wichtigen Neuigkeiten zum Datenschutz & zur Informationssicherheit einmal monatlich bequem im E-Mail-Postfach – natürlich kostenlos.
Prognosefähigkeit
Die von GA 4 verwendete KI ist außerdem in der Lage, das Verhalten einzelner Zielgruppen vorherzusagen. Durch die Analyse der Events kann der zugrundeliegende Algorithmus eine Prognose für künftiges Nutzungsverhalten aufstellen. Das Analysetool GA 4 trackt sich verändernde Kundenbedürfnisse und kann somit künftige Nutzungsmuster vorhersagen. Unternehmen, die GA 4 nutzen, erhalten automatisch eine Benachrichtigung über verschiedene Trends in den Daten, die die KI ausgewertet hat. GA 4 analysiert darüber hinaus auch die Abwanderungswahrscheinlichkeit eines Nutzenden von der Webseite und kann z.B. auch die Kaufwahrscheinlichkeit und den möglichen Umsatz prognostizieren.
Geänderte Voreinstellungen
Änderungen gegenüber UA finden sich auch in den voreingestellten Optionen. So ist beispielsweise bei GA 4 die IP-Anonymisierung bereits automatisch voreingestellt, wohingegen dies bei UA nur optional auswählbar war. Auch die automatische Löschung alter Besucher-Logs ist in GA 4 standardmäßig auf 14 Monate voreingestellt. Besucher-Logs werden nun, je nach individueller Einstellung, nach mindestens 2 bis maximal 14 Monaten gelöscht. Vorher war es bei UA möglich, die Logs über eine weitaus längere Zeitspanne zu speichern.
Durch KI und maschinelles Lernen ist GA 4 auch in der Lage Bots zu erkennen und diese von der Analyse von vorneherein auszuschließen.
Ihre Lösung für den besten Datenschutz
Die Grundlage jeder guten Geschäftsbeziehung ist Vertrauen. Stärken Sie die Beziehung zu Ihren Kunden mit unserer Expertise im Datenschutz. Damit sichern Sie Ihrer Unternehmung einen starken Wettbewerbsvorteil und können sich voll auf Ihr Geschäft konzentrieren.
Was Unternehmen bei der Verwendung von GA 4 beachten müssen
Ist bei Verwendung von GA 4 ein Einwilligungsbanner nötig?
Ja, ein Einwilligungsbanner ist immer noch notwendig! Zwar funktioniert die Auswertung des Nutzungsverhaltens durch GA 4 maßgeblich mittels KI und maschinellem Lernen, jedoch werden immer noch Cookies sowie Skripte und Pixel verwendet, um auf Informationen im Endgerät aktiv zuzugreifen. Sofern das Setzen von Cookies und die Verwendung von Skripten und Bildern (Pixeln) nicht manuell abgeschaltet wird, kommen solche immer noch zum Einsatz. Für den rechtskonformen Zugriff und Einsatz von Cookies, Skripten und Pixeln bedarf es aus datenschutzrechtlicher Sicht der Einwilligung des Nutzenden. Die Einwilligungspflicht für nicht unbedingt erforderliche Speicherungen und Zugriffe, etwa durch Cookies, Skripte und Pixel, ist explizit in § 25 TTDSG geregelt. Vor der Einwilligung dürfen keine Cookies gesetzt und keine Skripte oder Pixel von GA4 ausgeführt werden. Erst nach der Einwilligung dürfen entsprechende Technologien von GA4 verwendet werden. Nähere Hintergründe zum TTDSG, der Einwilligungspflicht nach § 25 TTDSG und rechtkonformen Einwilligungsbannern finden Sie hier auf unserem Blog.
Abschluss eines Auftragsverarbeitungsvertrags (AVV)
Unternehmen, die einen Google-Dienst auf ihrer Webseite verwenden wollen, worunter auch GA 4 fällt, müssen einen AVV mit Google Ireland Limited abschließen. Denn mit der Nutzung von GA 4 erfolgt die Verarbeitung der getrackten Nutzungsdaten durch Google Ireland Limited im Auftrag des jeweiligen Webseitenbetreibers als Verantwortlichem.
Optionale Einstellungen
Sehr empfehlenswert ist es für Unternehmen von den optionalen Einstellungsmöglichkeiten Gebrauch zu machen, um die Nutzung von GA 4 so datenschutzfreundlich wie möglich auszugestalten. Darunter fällt beispielsweise, die automatische Löschungsfrist alter Besucher-Logs zu verkürzen. Zu empfehlen ist zudem, die Zurücksetzung der Aufbewahrungsdauer bei erneuter Aktivität abzuwählen. Ansonsten beginnt diese bei neuer Aktivität immer wieder neu zu laufen und verlängert damit stets die Speicherdauer. Auch die Möglichkeit der Deaktivierung der Erfassung genauer Orts- und Positionsdaten sowie genauer Gerätedaten ist eine sinnvolle Option.
Aktualisierung der Datenschutzerklärung
Bei Verwendung von GA 4 muss auch die Datenschutzerklärung entsprechend angepasst werden. Der Webseitenbesucher muss darüber aufgeklärt werden, dass GA 4 Nutzungsdaten auswertet und KI verwendet. Außerdem muss der Nutzende über sein Widerrufsrecht informiert werden und darüber, dass die Anonymisierung der IP-Adresse durch GA 4 automatisch voreingestellt ist. Darüber hinaus sollte in der Datenschutzerklärung die Deaktivierung der Erfassung genauer Orts- und Positionsdaten sowie genauer Gerätedaten aufgenommen werden, soweit diese vorgenommen wurde.
Fazit
Die neue Funktionsweise von GA 4 bringt spannende neue Möglichkeiten und Erkenntnisse in die Marketing-Welt. Wie zuverlässig die KI funktioniert, wird sich im Laufe der Zeit herausstellen. Jedoch können mittels der Prognose des Nutzungsverhaltens völlig neue Marketing- und Werbemaßnahmen getroffen werden, womit sich Unternehmen noch erfolgreicher vermarkten können. Bis einschließlich 30. Juni 2023 können in UA-Properties neue Daten erhoben und verwendet werden. Ab dem 01. Juli 2023 haben Unternehmen, die UA genutzt haben, noch mindestens sechs Monate lang Zugriff auf zuvor verarbeitete Daten in UA-Properties. Daten, die weiter von Bedeutung sind, sollten unbedingt exportiert werden.
Unser Team an Datenschutzexpert:innen steht Ihnen gerne bei der datenschutzkonformen und optimierten Verwendung von Google Analytics beratend zur Verfügung. Kontaktieren Sie uns gerne!
Weitere Neuigkeiten
23.09.2024
NIS2-Richtlinie: Anwendungsbereich, Anforderungen & notwendige Maßnahmen
Am 16.01.2023 trat die NIS2-Richtlinie EU-weit in Kraft. Nachdem des zugehörige Umsetzungsgesetz mehrfach geändert wurde, liegt mittlerweile der wohl finale Entwurf vor und das Inkrafttreten der NIS2-Anforderungen rückt immer näher. Eine Vielzahl von Unternehmen steht nun vor der Frage, ob sie dem Anwendungsbereich der NIS2-Richtlinie unterfallen, welche Pflichten sie treffen und wie sie diese Pflichten durch geeignete Maßnahmen erfüllen können. Wir haben die Anforderungen und notwendigen Maßnahmen für Sie aufbereitet.
Weiterlesen … NIS2-Richtlinie: Anwendungsbereich, Anforderungen & notwendige Maßnahmen
10.09.2024
Konzerndatenschutz: Anforderungen & Rechtsgrundlagen für die Datenübermittlung im Konzern
Wenn Konzerne nach außen wie innen als eine geschlossene Einheit auftreten, sollten Datenübermittlungen zwischen ihren einzelnen Unternehmen auf den ersten Blick kein besonderes Problem darstellen. Doch den Konzern als eigenen datenschutzrechtlich Verantwortlichen, kennt die Datenschutz-Grundverordnung nicht. Und damit sind auch Datenübermittlungen im Konzern nicht automatisch rechtlich zulässig. Wir geben in diesem Beitrag einen Überblick über die wichtigsten Fragestellungen, Anforderungen und Lösungsmöglichkeiten im Bereich Datenübermittlung in Konzernen.
26.08.2024
Datenschutzmanagementsystem (DSMS): Ihr Schlüssel zur DSGVO-Compliance
Um den Anforderungen der Datenschutz-Grundverordnung (DSGVO) gerecht zu werden, empfiehlt sich ein Datenschutzmanagementsystem (DSMS). Denn damit lassen sich die datenschutzrechtlichen Anforderungen regeln, planen, umsetzen und kontrollieren. Das vereinfacht die Compliance für Unternehmen und deren Mitarbeiter:innen wesentlich. Lesen Sie hier, wie der DSGVO-konforme Aufbau eines DSMS gelingt, wer im Unternehmen dafür Verantwortlich ist und welche Software Ihnen helfen kann.
Weiterlesen … Datenschutzmanagementsystem (DSMS): Ihr Schlüssel zur DSGVO-Compliance