Liebe Leserinnen und liebe Leser,

das Internetseiten mit Google Analytics 4 getrackt werden können, ist allgemein bekannt. Das auch App-Interaktionen von Benutzern auf die gleiche Art und Weise erhoben und ausgewertet werden können, vermuten alle Benutzer und wissen ebenfalls die meinsten Benutzer. In diesem Zusammenhang beschäftigte mich eine Frage sehr: Wo verarbeitet Google Firebase die Daten von App-Benutzern (im Wirkungsbereich der DSGVO)?

Also der Reihe nach direkt zur Antwort auf diese Frage. Ich werde die Umwege und Sackgassen weglassen, denen ich bei der Informationssammlung zur Beantwortung dieser Frage erlegen bin. Davon gab es leider eine ganze Menge.

In der Regel fangen Sie als App-Product Owner damit an, Google Analytics in Ihrem Firebase-Projekt aktivieren. Hierbei werden Sie Sie aufgefordert, einen Analytics-Berichtsspeicherort auszuwählen. Dieser Standort (von A wie Afghanistan bis Z wie Zypern) kann gefühlt nicht der Serverstandort sein. Denn Serverstandorte haben bei Google eher so treffende Namen wie Changhua County, Taiwan (asia-east1), Hong Kong (asia-east2), Osaka, Japan (asia-northeast2), Mumbai, India (asia-south1), Sydney, Australia (australia-southeast1), Hamina, Finland (europe-north1), St. Ghislain, Belgium (europe-west1) oder Frankfurt, Germany (europe-west3). Lt. Google Hilfe ist die Angabe des Berichtsspeicherorts nur notwendig, um das Land oder die Region Ihres Unternehmens festzulegen, nicht das Land der Verarbeitung von Daten. Es legt praktischerweise auch die Währung für die Umsatzberichte von Google fest.

Also stellen Sie sich zu Recht die Frage, wo die Daten Ihrer App-Benutzer verarbeitet werden, wenn die in den Wirkungsbereich der DSGVO fallen. Hierzu trifft Google an mehreren Stellen eine klare Aussage: In Google Analytics 4 (die technologische Plattform von Google Firebase) werden alle Daten von Geräten, die sich in der EU befinden (basierend auf dem geografischen Standort laut IP-Adresse), über Domains und Server in der EU erhoben, bevor der Traffic zur Verarbeitung an Analytics-Server weitergeleitet wird.

Die Hilfeseite ergänzt hierzu noch, dass (bei Internetseiten oder webbasierten Apps) auch serverseitig Einstellungen an der Content Security Policy (CSP) notwendig sind, um dies zu ermöglichen. Eine weitere Hilfeseite unter der so treffenden wie nichtssagenden Bezeichnung "Datenschutz" stellt ein wirklich gut beschriebenes Diagramm zur Verfügung, in dem die Datenströme visuell aufgezeigt werden. Eine Fußnote stellt darin für Google Analytics For Firebase SDK fest: "Traffic from EU-based visitors (based on IP geo lookup) is routed to EU-based collection servers for data filtering."

Und nicht nur der Datenstrom, sondern auch die Verarbeitung als solches wird nochmal konkretisiert. In Bezug auf IP-Adressen (wir reden ja von Google Analytics 4) stellt das Diagramm klar: "For EU- based traffic, IP data is discarded from all Google logs and cannot be accessed or used for any additional use cases.". Dieser Satz ist deswegen so wichtig, weil die weitere Verarbeitung der Daten (anonymisierten) Daten zu den genannten Zwecken "Data Storage & Processing" sowie "Measurement Reporting" lt. Diagrann in den USA geschehen.

Zusammenfassend ergibt sich hieraus, dass für den Teil der Erhebung und Verarbeitung von personenbezogenen Daten für Google Analytics For Firebase SDK ausschließlich Server in den EU / dem EWR genutzt werden. Die nachfolgende Verarbeitung nicht personenbezogener Daten findet in den Vereinigten Staaten von Amerika statt.

Viele Grüße aus der Kaiserstadt Aachen

Ingo Goblirsch
 

Ingo Goblirsch LL.M.
Externer Datenschutzbeauftragter
Datenschutz | Compliance | Informationssicherheit
52076 Aachen

Foto von Patrick Schöpflin auf Unsplash. Vielen Dank!