Ist der Einsatz von Google Analytics mit serverseitigem Tracking in der EU erlaubt?

Der US-Datentransfer ist aus Sicht der DSGVO immer dann problematisch, wenn personenbezogene Daten übermittelt werden. Warum also nicht einfach einen Dienst zwischenschalten, der nur noch anonymisierte Daten an Google & Co. weiterleitet? Und damit wäre das Verbot des Einsatzes von Google Analytics umgangen.

Doch so einfach ist das nicht. Denn:

Können Server Side Tracking-Dienste wirklich eine vollständige Anonymisierung der Daten erreichen?
Was gilt es, rechtlich und technisch zu berücksichtigen?
Was sind die Nachteile und Kosten dieses Verfahrens?

Dies wollen wir im Folgenden beleuchten.

Die Grundidee des Server Side Trackings

Mit dem serverseitigen Tagging werden die Daten nicht direkt zu Google geschickt, sondern landen zunächst auf dem eigenen Server oder dem eines Drittanbieters. Dort werden die Daten bearbeitet, bevor sie weiter zum Google-Server geschickt werden.

Mit der IP-Anonymisierung ist es nicht getan!

Eine Anonymisierung von Daten ist dann erreicht, wenn es unmöglich ist, die betroffene Person zu ermitteln oder in anderer Form Rückschluss auf eine konkrete Person herzustellen. Gemäß DSGVO Art. 4 Abs. 1 sind personenbezogene Daten

„alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.“

Das bedeutet im Klartext, dass es nicht allein mit der IP-Anonymisierung getan ist. Die österreichische Datenaufsicht bekräftigt dies im Verfahren gegen die Plattform netdoktor.at. Es wurde festgestellt, dass Google mittels Google Analytics so viele andere Datenpunkte sammelt, dass aus der einzigartigen Kombination Rückschlüsse auf die Einzelperson möglich sind. Google könnte vermutlich eine Verknüpfung alleine anhand des Zeitstempels und dem Link aus der Google-Suche herstellen, mindestens aber mit Zusatzinformationen aus dem sog. User Agent String wie Browser- und Betriebssystem-Version.

Außerdem werden häufig Online-Kennungen über den Referrer-Link aus Social Media-, Affiliate- und anderen Werbe-Plattformen automatisch übergeben oder können als URL-Parameter z. B. nach einem Login auf der Website enthalten sein. Doch auch derartige unbeabsichtigte personenbezogenen Informationen dürfen nicht einfach weitergeleitet werden.

Checkliste für die Anonymisierung zur Meidung des „Export-Verbots“ personenbezogener Daten in Nicht-EU-Länder:

Anonymisierung der IP-Adresse.

Entfernung oder Anonymisierung von mobilen Kennungen wie IDFA, UDID, Android-ID oder Google Advertising ID, Windows Advertising ID oder andere Windows IDs, IMEI oder IMSI, MSISDN.

Kürzung aller Referrer auf die reine Referrer-Domain ohne URL-Parameter u.Ä. (also auch Entfernung von UTM-Parametern).

Änderung von Timestamps für alle Einstiege und Aufrufe von externen Social Media Links, um eine Verknüpfung mit US-Marketing-Plattformen zu unterbinden.

Prüfung aller internen URLs, um die Übergabe von Nutzer-Kennungen bei Seitenaufrufen zu vermeiden insbesondere in geschlossenen Bereichen nach Login bzw. im Check-Out-Prozess.

Prüfung der Event-Tracking-Parameter bei Logins u.Ä., um die Übergabe von Nutzer-Kennungen zu vermeiden.

Begrenzung der technischen Geräte-Informationen auf allgemeine Gerätetypen sowie reine Browser-Namen ohne granulare Browser- und OS-Versionen (keine Weiterleitung des vollständigen User Agents).

Da Google nicht offenlegt, welche Daten in Kombination für einen Rückschluss auf die Person genutzt werden können, ist eine definitive Aussage unmöglich und der Einsatz immer mit einem erheblichen rechtlichen Risiko verbunden. Eine Identifizierbarkeit des getrackten Nutzers anhand von in Webseiten-URLs oder Referrer-Links enthaltenen Kennungen kann praktisch nie ausgeschlossen werden!

Zu beachten ist zudem, dass bereits der Anonymisierungsvorgang vor der Weitergabe an Dritte eine Verarbeitung personenbezogener Daten im Sinne der DSGVO darstellt. Hierfür muss eine Rechtsgrundlage existieren wie etwa die Einwilligung oder das überwiegende berechtigte Interesse. Im Falle der Stützung auf ein überwiegendes berechtigtes Interesse müssen alle Anforderungen im Rahmen einer Interessenabwägung erfüllt werden, auch wenn die Verarbeitung auf eigenen Servern stattfindet. Hierzu gehört u. a., dass die Anonymisierung frühestmöglich vor der eigentlichen Datenspeicherung erfolgt. Bei Cloud-Hosting darf die Speicherung obendrein nur innerhalb der EU durch einen europäischen Anbieter ohne US-Muttergesellschaft erfolgen.

Checkliste für die Verarbeitung gemäß überwiegendem berechtigten Interesse:

Auftragsverarbeiter (AV) verfolgt keine eigenen Zwecke.

Die gewonnenen Daten werden nicht über verschiedene Websites verknüpft.

Die Dauer der Beobachtung bzw. Besucher-Wiedererkennung ist auf maximal einen Tag begrenzt.

Das Widerspruchsrecht des Art. 21 Abs. 2 DSGVO wird durch eine Opt-out-Funktion gewährleistet.

Es findet kein Mousetracking oder abspielbares Session Recording statt.

Die IP-Anonymisierung erfolgt vor der Speicherung sowie vor der Verarbeitung wie z.B. der Geo-Auflösung.

Explizite Do-not-track-Einstellungen im Browser werden beachtet.

Cookie-Consent-Pflicht beachten!

Werden im Rahmen des serverseitigen Trackings Cookies oder JavaScript-Fingerprinting eingesetzt, so ist die Einwilligungspflicht nach TTDSG zu beachten. Dies gilt unabhängig von einem Personenbezug bzw. der nachgelagerten Anonymisierung.

Unzulässig ist es, wie einige der Dienste anbieten, den Einsatz des dazugehörigen Cookies als unbedingt erforderlich zu deklarieren, nur weil mittels serverseitigem Trackings auch erforderliche Zwecke wie Betrugsprävention o.Ä. verfolgt werden. Vielmehr muss eine granulare Einwilligung bzw. Ablehnung möglich sein, und zwar bei unterschiedlichen Zwecken für jeden einzelnen Zweck.

In den Leitlinien des Europäischen Datenschutz-Ausschusses zur Einwilligung wird gefordert, „dass die Einwilligung der betroffenen Person für „einen oder mehrere bestimmte“ Zwecke erteilt werden muss und dass eine betroffene Person in Bezug auf jeden dieser Zwecke eine Wahlmöglichkeit haben muss.“

Nutzer müssen den Einsatz des Server-Side Tracking Cookies ablehnen können und über alle damit verbundenen Zwecke im Vorfeld informiert werden. Wird auch nur einer der Zwecke abgelehnt, darf das Tracking Cookie nicht gesetzt werden.

Natürlich ohne Remarketing!

Bei der Evaluierung von serverseitigen Tracking-Diensten sollten die damit einhergehenden Kosten nicht außer Acht gelassen werden. Diese ergeben sich aus den Kosten für die Lizenz des Dienstes, ggf. dem separaten Cloud-Hosting oder dem eigenen Betrieb sowie den mitunter sehr hohen Implementierungsaufwand für das Tagging.

Zusätzlich sollte geprüft werden, ob es sich um einen soliden und seriösen Anbieter handelt und welche Supportleistungen angeboten werden.

Findet eine Anonymisierung wie beschrieben statt, ist ein Kampagnen-Tracking und damit auch ein Conversion Upload nicht möglich. Ein Remarketing ist ohnehin ausgeschlossen, da dies immer mit individuellen Online-Kennungen einhergeht. Außerdem sind viele Dimensionen und Messwerte (Kennzahlen) in Google Analytics nicht möglich wie bspw.: Eindeutige und neue Nutzer, Alter, Geschlecht, Gerätemodell, Anzeige, Kampagne, Keyword, Betriebssystemversion, Bildschirmauflösung, Lifetime-Werte, Nutzerbindung.

Fazit: Im Praxiseinsatz nicht DSGVO-konform

Es klingt verlockend: Volle Datenkontrolle und bedenkenlose Weiternutzung von US-Tools dank anonymisierter Daten-Weiterleitung. Doch tatsächlich anonymes Tracking ist praktisch kaum möglich. Zudem ist die Einrichtung sehr aufwändig und kostspielig. Am Ende hat man keine Rechtssicherheit, sondern lediglich eine Verschleierung des US-Tool-Einsatzes erreicht. Ob sich hierfür Kosten und Mühen lohnen, ist zweifelhaft. Nachhaltiger ist der Wechsel zu einem europäischen Anbieter, der die Verarbeitung gemäß aktueller Orientierungshilfen der Aufsichtsbehörden durchführt und nicht in zweifelhaften Graubereichen agiert.