Beratungstermin

Google Analytics nicht DSGVO-konform? Was ist da los?

Sarah Ganahl
04.05.2022 08:27:17

Viel Aufruhr rund um Google Analytics - aber was ist überhaupt los?

Im Sommer 2020 wurde das EU-US Privacy Shield vom Europäischen Gerichtshof (EuGH) gekippt. Dies hatte grosse Auswirkungen auf einige US-Dienste, darunter auch Google Analytics. Ersten Entscheidungen zufolge ist der Einsatz des Tools in der EU rechtswidrig. Das Problem? Es werden die allgemeinen Grundsätze der Datenübermittlung in ein Drittland verletzt, denn Google Analytics sendet persönliche Informationen von Nutzern an die Google-Zentrale in den USA. Die grösste Kritik, welche die Datenschützer hierbei ausüben, besteht darin, dass Google IP-Adressen übertrage und in den eigenen Datenschutzbestimmungen zu wenig darüber aufkläre, welche Daten überhaupt gespeichert werden. Laut DSGVO ist das kein ausreichendes Datenschutzniveau.

Welche Folgen hätte ein Verbot von Google Analytics?

Die Gespräche rund um das Thema "Google Analytics und DSGVO" sind und bleiben interessant. Während den Diskussionen stellt sich natürlich auch die Frage "Was wäre, wenn Google Analytics in der EU tatsächlich verboten werden würde, da es nicht datenschutzkonform einsetzbar ist?" Die Antwort darauf: Chaos.

Google Analytics hat einen Marktanteil von über 80%, somit wären 4 von 5 Web-Analytics-Nutzer betroffen. Aber nicht nur europäische Webseitenbetreiber würde es schwer treffen, auch US-Unternehmen würden darunter leiden. EU-Betreiber müssten zu einem Analysetool wechseln, welches ihre Server in der EU hat und US-Unternehmen würden ganz Europa als Absatzmarkt verlieren. Die Wahrscheinlichkeit, dass dieser Fall eintritt, ist jedoch sehr gering. Ende März 2022 machten die USA und die EU erste Schritte in Richtung eines neuen transatlantischen Datenschutzabkommens, dem sogennanten "Trans-Atlantic Data Privacy Framework" oder auch "Privacy Shield 2.0". Dadurch soll ein sicherer und geschützter Datenverkehr zwischen der EU und der USA erneut gewährleistet werden.

Wie ist der Stand der Verhandlungen?

Seit Ende März gibt es grosse Neuigkeiten in Sachen "Google Analytics und DSGVO". In einer gemeinsamen Mitteilung berichteten die USA und die EU gemeinsam über das neue Datenschutzabkommen, namens "Trans-Atlantic Data Privacy Framework" (TADPF). Dieses befindet sich erst in der Startphase, sollte aber in naher Zukunft in Kraft treten. Laut der Kommission soll es ein "neues Regelwerk und verbindliche Garantien” enthalten. Dadurch werden die persönlichen Daten von EU-Bürgern vor dem Zugriff von US-Geheimdiensten geschützt, mit Aussnahme es handelt sich um den Schutz der nationalen Sicherheit. Dafür wird ein neues zweistufiges Rechtsbehelfssystem eingeführt, welches auch ein spezielles Gericht umfassen wird. Ausserdem soll es laut Kommission strengere Auflagen für US-Unternehmen geben, die Daten von EU-Bürgern verarbeiten. Darüber hinaus hat man sich auch auf "spezifische Überwachungs- und Überprüfungsmechanismen" geeinigt.

Wie reagiert die Öffentlichkeit?

Die Reaktionen rund um das neue Data Privacy Framework gehen in sehr unterschiedliche Richtungen. In der Politik findet die neue Datenschutzbestimmung grossteils Zustimmung. Man sieht es als "dauerhafte Grundlage" für einen sicheren Datenverkehr zwischen der EU und der USA. Von der Unternehmerseite hört man jedoch noch keine 100%-ige Zufriedenheit. Rebekka Weiß vom Digitalverband Bitkom meint, dass die politischen Entscheidungen "nur der dringend notwendige erste Schritt" seien. Unternehmen bräuchten "rasch Rechtssicherheit, damit die bestehende Datenblockade endlich aufgelöst werden kann". Laut US-Regierung sei man momentan damit beschäftigt, die Vereinbarungen in die nötigen Rechtsdokumente umzusetzen. 

Der österreichische Datenschutzaktivist und Jurist Max Schrems, der bereits im Rahmen von "Schrems I" und "Schrems II" die beiden vorherigen Datenschutzabkommen zu Fall brachte, sieht das neue Urteil kritisch. "Wir hatten bereits 2015 ein rein politisches Abkommen, das keine Rechtsgrundlage hatte. Nach allem, was man hört, könnten wir das gleiche Spiel jetzt ein drittes Mal spielen", äussert er sich dazu. Man werde den finalen Text "gründlich analysieren und es nötigenfalls anfechten", so Schrems. Er selbst geht davon aus, dass dieses Urteil erneut vor dem Europäischen Gerichtshof verhandelt werden wird.

Welche Tools sind neben Google Analytics noch betroffen?

Nicht nur Google Analytics leidet unter der Absetzung des Privacy Shields. Auch viele andere US-Tools sind betroffen - ganz egal ob es sich um eine Marketing-Automation-Lösung, einen Mailanbieter oder einen Analysedienst handelt. Der Europäischen Datenschutzbeauftragte (EDSB) hat in einer entsprechenden Mitteilung klargestellt, dass selbst die Platzierung eines Cookies durch einen US-Anbieter einen Verstoss gegen die DSGVO darstellen würde. Cookies sind Datenpakete, die von Webbrowsern und Internetseiten erzeugt werden, um individuelle Nutzerdaten zu speichern. Daneben verkündete die belgische Datenschutzaufsichtsbehörde, dass "das System, mit dem Werbetreibende im Internet Einwilligungen für Targeted Advertising (= zielgerichtete Werbung) einsammeln, nicht den Grundsätzen von Rechtmässigkeit und Fairness entsprechen." Dies wurde vom Interactive Advertising Bureau (IAB) inzwischen auch bestätigt

Konkret gab es folgende Fälle:

  • Max Schrems persönlich hat neben Google Analytics auch konkret Beschwerde gegen Facebook eingereicht, hierbei sind die Untersuchungen noch am Laufen. 
  • Das Verwaltungsgericht Wiesbaden hat die Nutzung von Cookiebot untersagt. Dieses Urteil ist jedoch durch die nächst höhere Instanz aus formellen Gründen aufgehoben worden, wie auch Cookiebot selbst berichtet
  • Ein weiterer, sehr beliebter Dienst wurde im Rahmen einer Bewertung des Bayerischen Landesamtes für Datenschutzaufsicht (BayLDA) als "nicht ohne Weiteres mit der DSGVO vereinbar" eingestuft. Hierbei handelt es sich um den Newsletter-Versender Mailchimp.
  • Auch Google Web Fonts ist betroffen, da hierbei die IP-Adresse des Nutzers an Google und damit auf Server in den USA übertragen wird. Das Landgericht München I hat entschieden, dass Website-Betreiber, die Google Fonts nutzen, dies unterlassen müssen bzw. unter Umständen sogar Schadensersatz an die Besucher der Website zahlen muss, sofern dies gefordert bzw. eingeklagt wird.

Wie reagiert eigentlich Google darauf?

Am 16. März 2022 teilte Google die Antwort auf das "Schrems II"-Urteil mit. Diese lautet: “Google Analytics 4”. In einer offiziellen Pressemitteilung heisst es, dass Google Analytics 4 "unter der Berücksichtigung des Datenschutzes entwickelt wurde, um sowohl Kunden als auch deren Nutzern ein besseres Erlebnis zu bieten. Es soll Unternehmen dabei helfen, den sich entwickelnden Bedürfnissen und Nutzererwartungen gerecht zu werden, mit umfassenderen und detaillierteren Kontrollen für die Datenerfassung und -nutzung." 

Die wichtigste Änderung aus Sicht des EU-Datenschutzes, ist, dass standardmässig eine automatische Anonymisierung der IP-Adressen schon bei der Erfassung der Daten durchgeführt wird. Diese Anonymisierung ist zwingend vorgegeben und kann nicht ausgeschaltet werden. Allerdings ist dadurch trotzdem eine Identifizierung der betreffenden Website-Nutzer nicht vollständig ausgeschlossen. Es besteht nämlich weiterhin die Möglichkeit, dass einzelne Informationen, die von Google Analytics 4 zu einem bestimmten Pseudonym gesammelt werden, verknüpft werden können. Dadurch können Rückschlüsse auf die Identität der einzelnen Benutzer und deren Verhalten auf Webseiten gezogen werden und sogar auf anderen Webseiten wiedererkannt werden. 

Es bleibt deshalb noch offen, ob die Änderungen durch Google Analytics 4 die Bedenken der EU-Datenschutzbehörden hinsichtlich der Einhaltung der DSGVO ausräumen wird oder nicht.

Welche Alternativen gibt es?

Es gibt natürlich Alternativen, wenn man die Nutzung von Google Analytics umgehen möchte. Die beliebtesten sind hierbei Matomo und Piwik Pro. Beide Lösungen sind Open Source und bieten datenschutzkonformes Datentracking an. Sie zählen beide zu den besten Alternativen zu Google Analytics, man sollte sich aber auf jeden Fall auch den Nachteilen bewusst werden: 

  • Wenn man in etwa die gleichen Funktionen verwenden möchte, die Google Analytics gratis zur Verfügung stellt, muss man bei diesen Tools einiges an Geld in die Hand nehmen
  • Ausserdem kann es bei einer Umstellung von Google Analytics auf ein anderes Tool natürlich auch passieren, dass ein Teil des Datenbestandes verloren geht. 
  • Man darf auch nicht vergessen, dass derzeit Verhandlungen im Gange sind, um Google Analytics wieder datenschutzkonform möglich zu machen, wobei es noch offen ist, wie diese Entscheidung schlussendlich ausfallen wird. 

Ein Nachteil, der bis auf Weiteres nicht umgangen werden kann, ist der Einsatz von Remarketing. Das ist eine Methode, gezielte Werbung für Personen zu schalten, die die Unternehmens-Website bereits besucht oder eine bestimmte Aktion durchgeführt haben. Die Datenschutzstelle Liechtenstein geht jedoch davon aus, dass Kampagnen-Tracking bzw. Remarketing in Zukunft kaum mehr möglich sein wird, da die individuellen Online-Kennungen nicht mehr vorhanden sind. 

Auch andere Plattformen und Tools, wie zum Beispiel Facebook Pixel oder der Linkedin Insight Tag, können laut aktueller DSGVO-Rechtssprechung nicht konform eingesetzt werden. Wir empfehlen deshalb, eine Risikoanalyse durchführen zu lassen, und auf Basis dieser eine Entscheidung zum Thema zu treffen.

Was tun? Umsteigen oder Abwarten?

Wer nicht auf die Funktionen von Google Analytics verzichten möchte, kann folgende Schritte durchführen:

  1. Die "Data Processing Terms for all Google Products" (DPAs) müssen akzeptiert werden.
  2. Ein Hinweis auf mögliche Datenübermittlung in Drittstaaten muss in den Datenschutzbestimmungen angeführt werden.
  3. Es muss die Einwilligung von Websitebesucherinnen und -besuchern eingeholt werden. Die Cookie-Banner werden dadurch umfangreicher, da klar über die Risiken aufgeklärt werden muss.
  4. Man muss sicherstellen können, dass keine personenbezogenen Daten einfliessen. Hierfür kann man die IP-Anonymization verwenden. Laut Marco Blocher, Jurist bei Noyb, sollte man dies aber kritisch betrachten. "Die von Google angebotene IP-Anonymisierung schafft das Problem nicht aus der Welt", sagt der Datenschützer. “Allein schon weil sie die UUIDs nicht mitumfasst”, lautet die Erklärung dazu. UUID ist die Abkürzung für Universally Unique Identifier, was soviel wie "weltweit eindeutige Kennzeichnung" bedeutet. Zusätzlich dazu geschieht laut dem Datenschützer die Anonymisierung erst auf den Servern von Google, also nachdem die Daten übermittelt wurden. Google versichert jedoch, dass “die IPs anonymisiert oder maskiert werden, sobald die Daten bei Google Analytics eingehen und noch bevor sie gespeichert oder verarbeitet werden”. 
  5. Es sollte eine Umstellung auf eine neue Tracking-Technologie namens "Server-Side-Tagging" durchgeführt werden. Darunter versteht man, dass die Tracking-Informationen direkt auf den eigenen Server geschrieben werden. 

Mit der Umsetzung all dieser Schritte ist jedoch keine vollständig DSGVO-konforme Nutzung gewährleistet. Dies ist nur ein vorläufiger Schritt in Richtung Konformität und besser, als das Thema gänzlich zu ignorieren. Wir können hierbei nur nochmals empfehlen, eine Risikoanalyse durchführen zu lassen, bevor man einen falschen (und möglicherweise nicht rechtskonformen) Weg einschlägt.

Design ohne Titel

Weitere Hilfe benötigt?

 

Wenn Sie noch offene Fragen zum Thema haben, helfen wir Ihnen gerne weiter!

Kontaktieren Sie uns!

Blog abonnieren