Google Signals: Neue Analytics-Features datenschutzrechtlich bedenklich?

News

Google Analytics ist immer wieder Thema im Datenschutz. Alleine schon wegen der Frage, wie man es datenschutzkonform einsetzt. Nun befinden sich neue Funktionen für Analytics im Rollout – Google Signals. Kann man diese bedenkenlos aktivieren oder wird dann der Datenschutz mal wieder von Google mit Füßen getreten?

Wie nutzt man Google Signals?

Wir möchten zunächst darauf hinweisen, dass uns zum Zeitpunkt dieses Beitrags nur Informationen von Google selbst über den Funktionsumfang und die damit zusammenhängende Datenverarbeitung zur Verfügung stehen. Google Signals (im deutschen auch Google-Signale) ist eine Erweiterung von Google Analytics, die sich aktuell noch als BETA-Version im Rollout befindet und daher wahrscheinlich auch noch nicht jedem Analytics-Nutzer zur Verfügung steht.

Wenn Sie jedoch Analytics auf Ihrer Website einsetzen, kann es sein, dass Google Ihnen anbietet Signals zu aktivieren. Wenn Sie dies tun, werden durch die Signals-Funktionen, die Steuerelemente für Remarketing und Funktionen für Werbeberichte ersetzt.

Was macht Google Signals?

Durch Google Signals werden dem Analytics-Nutzer weitergehende Statistiken über die Besucher seiner Website zur Verfügung gestellt. Soweit nichts Neues, meinen Sie?

Doch!

Denn Google nutzt für diese Statistiken die Log-ins im Google-Netzwerk und führt damit ein Cross Device Tracking durch. Cross Device Tracking soll ermöglichen, dass verschiedene Besuche einer Website einem Besucher zugeordnet werden können, auch wenn dieser den Inhalt über verschiedene Geräte abruft. Google stellt mit Signals Berichte über die geräteübergreifenden Nutzeranzahlen, sowie zu verschiedenen Gruppen von Nutzern zur Verfügung, welche auf verwendeten unterschiedlichen Gerätekombinationen basieren. Dazu nutzt Google die Daten der Nutzer, die in ihren Google-Konto-Einstellungen die Option „personalisierte Werbung“ aktiviert haben. Für die Berichtsdaten gilt laut Google ein fester, vordefinierter Grenzwert:

„Die Berichte beruhen wie andere Analytics-Berichte auf Stichproben. Diese werden erhoben, wenn die Daten für Ihren festgelegten Zeitraum 250.000 Sitzungen überschreiten. Die Stichprobenerhebung findet für Standard- und 360-Properties auf Ebene der Property statt.

Für die Berichtsdaten gilt ein fester, vom System definierter Grenzwert. Damit soll verhindert werden, dass ein Betrachter eines Berichts Rückschlüsse auf die Identität eines einzelnen Nutzers ziehen kann. Enthält eine Datenzeile weniger Nutzer als vom Grenzwert festgelegt, wird sie ausgeschlossen.“

Auch die Funktionen, die momentan in Remarketing enthalten sind, werden noch erweitert. Für Zielgruppen können dann Anzeigen geräteübergreifend für Google-Nutzer ausgeliefert werden, die personalisierte Werbung aktiviert haben.

Datenschutzrechtliche Einordnung

Dem Analytics-Nutzer werden keine konkreten Nutzerprofile zugänglich gemacht. Er erhält lediglich die Statistiken, welche auf Anmeldungen und Gerätetypen aller Nutzer basieren, die in einem Google-Konto angemeldet waren und eine Conversion ausgeführt haben. Diese müsste der Analytics-Nutzer auch grundsätzlich verwenden dürfen, da es sich dabei für ihn nicht um personenbezogene Daten handelt.

Google selbst allerdings hat die Möglichkeit diese Daten auf einzelne Nutzer zurück zu führen, da diese über ihr Google-Konto eingeloggt sind. Die Konto-Einstellung „personalisierte Werbung“ scheint zumindest derzeit ein Opt-out zu sein, womit Google, aktuell keine Einwilligung für das Cross Device Tracking einholt, sondern lediglich eine Widerspruchsmöglichkeit zur Verfügung stellt.

Dafür sprechen die Angaben des Google-Supports:

„Werbung

Hier können Sie personalisierte Werbung deaktivieren oder Ihre Werbe-ID zurücksetzen.“

Eine Einwilligung (zumindest mittels Opt-in) dürfte hierfür jedoch erforderlich sein, zumal die DSK dies ja bereits für „normales“ Tracking annimmt, bei welchem der Betroffene nicht über sämtliche Geräte verfolgt wird.

Vergleich mit Facebook-Insights

Fraglich ist, wie sehr Facebook-Insights den Funktionen von Google Signals ähnelt. Denn auch hier erhält der Betreiber einer Facebook-Fanpage Statistiken über deren Besucher, welche nach derzeitigem Stand allerdings etwas ausführlicher sind, als die durch Google Signals verfügbaren Berichte.

Jedoch bleibt abzuwarten wie dies Aufsichtsbehörden und Gerichte bewerten, da Facebook-Insights ein Grund für die Entscheidung des EuGH zur gemeinsamen Verantwortlichkeit bei Facebook-Fanpages war. Es bleibt mithin fraglich, ob auch bei Google Signals ein Joint-Controller-Verhältnis anzunehmen ist.

Was sollte man also nun als Nutzer von Google Analytics tun?

Nach jetzigem Stand sollte es – auch unter Datenschutzgesichtspunkten – möglich sein, Google Signals zu aktivieren, da der Analytics-Nutzer (zumindest nach bisherigem Stand und Angaben von Google aufgrund des großen Personenkreises) nur bis zur Anonymität pseudonymisierte Statistiken erhält.

Allerdings sollte aus Transparenzgründen ein entsprechender Abschnitt in die Datenschutzerklärung aufgenommen werden. Für Formulierungsvorschläge fragen Sie am besten einen qualifizierten Datenschutzbeauftragten.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

3 Kommentare zu diesem Beitrag

  1. „bis zur Anonymität pseudonymisierte Statistiken“

    Diese widersprüchliche Formulierung ist wirklich erheiternd. Vielleicht sollte man hier doch nochmal eine andere Formulierung suchen, anderenfalls bleibt der ansonsten recht ordentliche Beitrag dann doch eher als Postillon-Meldung im Gedächtnis. ;)

    • Natürlich liegen Sie damit richtig, dass Anonymisierung und Pseudonymisierung streng voneinander zu trennen sind. Dennoch sollte hier die anonymisierende Wirkung der Pseudonymisierung – wie sie auch von Rossnagel in der Zeitschrift für Datenschutz 2018, 243 ff. beschrieben wird – zum Ausdruck gebracht werden. Denn Google kann die Daten der Statistiken mittels Zuordnung zu dem jeweiligen Google-Konto auch einer konkreten Person zuordnen. Dem Analytics-Nutzer fehlt jedoch dieses Zusatzwissen von Google, weshalb es ihm zumindest nicht in legaler Weise möglich sein dürfte die Daten bestimmten Personen zuzuordnen und diese daher für ihn letztlich anonym sind.

  2. Hallo dateschutzbeauftragter-info-Team!
    Als Consultant für Google Analytics schätze ich eure Beiträge zu einem rechtskonformen Einsatz von GA sehr und lasse sie ständig in die Beratungsarbeit für meine Klienten einfließen. Ich freue mich ausserdem sehr, dass ihr so schnell auf das neue Feature der Google Signals eingegangen seid. Die Auslegung, dass für Google Signals kein Einverständnis eingeholt werden muss, halte ich aber an dieser Stelle für etwas mißverständlich:
    Aktiviert man Google Signals in einer Google Analytics Property aktiviert man automatisch die Advertising Features und Demographischen Daten mit und kann diese nicht mehr einzeln verwalten bzw. ausschalten. Diese Features unterliegen als 3rd-Party-Cookie basierte Dienste definitiv der Zustimmungspflicht, welche durch den Websitebetreiber eingeholt werden muss. Wenn ich als Verwender von Google Analytics das Tool bisher nur 1st-Party-Cookie basiert eingesetzt und damit einen OPT-IN vermieden habe, entsteht durch die Aktivierung der Google Signals also eine Verpflichtung ein Einverständnis für Werbefeatures- und die Demographie- und Interessenberichte einzuholen – auch wenn für die Signals selbst nur ein Hinweis in den Datenschutzbestimmungen ausreicht!
    Es wäre toll, wenn ihr das für euren Artikel vielleicht noch mal nachprüfen könntet.
    Viele Grüße

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.