Neuer Paukenschlag? Aufsichtsbehörde äußert sich ablehnend zu Google Analytics.
Während Google Anayltics unter Anwender*innen aufgrund der einfachen Usability sehr beliebt ist, ist es bei Datenschützern das genaue Gegenteil. Warum eigentlich? Während Google Analytics doch für 0$ zu erstehen ist, haben wir Datenschützer doch dadurch jede Menge zu tun und zu dem Thema zu sagen. Es gibt kaum ein Thema, das unter Datenschützern so umstritten ist wie der Einsatz von Google Analytics. Dies hat verschiedene Gründe. Ein Glück – für mich, für mein Business.
Inhaltsverzeichnis
Was ist Google Analytics?
Google Analytics ist ein Statistik-Tool, mit dem das Surfverhalten auf der eigenen Website verfolgt und ausgewertet werden kann. Allgemein wird hierbei von Tracking gesprochen. Dies kann sehr aufschlussreich sein. Es kann einem aufzeigen, welche Seiten sehr beliebt sind und welche ein totaler Flopp sind. Wer online verkauft kennt das: Die Ware liegt schon im Warenkorb und plötzlich springen die Leute wieder ab. Aber warum eigentlich?
Oder sie legen erst gar nichts in den Warenkorb. Von den Surfenden ein Feedback zu erhalten, ist quasi unmöglich. Dabei wäre es schon gut zu wissen, woran das liegt, dass keiner die Produkte kauft. Habe ich mein Produkt zu wenig erklärt? Oder erschlage ich die Leute mit meinem Text? Ist etwas Entscheidendes schlecht lesbar? Nutze ich die falsche Sprache für meine Zielgruppe?
Feedback ist wichtig
Nicht zuletzt die ultimative Marketing-Analyse Frage: „Wie sind Sie auf mein Produkt aufmerksam geworden?“
Für Selbständige sind diese Infos fundamentale Informationen, um ihre Verkaufsstrategie und das Marketing auszurichten. Warum auch Stunden für ein Projekt investieren, wenn das eh keiner kauft?
Oder warum Stunden für einen Blog-Artikel investieren, wenn den eh niemand liest?
Google Analytics kann weitaus mehr über die Websiten-Besucher*innen sagen, als das oben genannte. Das liegt auch daran, dass Google auf sehr sehr sehr vielen Internetseiten implementiert ist. Sei es über Google Analytics, oder Google Fonts (Schriften), das Google ReCaptcha um Menschen von Bots zu unterscheiden, oder den Google Tag Manager.
Hab ich schon YouTube genannt? Oder GoogleMail, GoogleMaps, Google Docs, Google Office? Ist man nebenbei in seinem Google/YouTube Account eingeloggt, kann Google die gesamten Informationen zusammenführen.
Eine Vorbemerkung, bevor ich zu dem kritischen Teil übergehe:
So viel auf die Beine zu stellen, was technisch auch gut läuft und auch einfach zu bedienen ist, das verdient den notwendigen Respekt. Das muss ich Google einfach lassen. Das möchte ich diesem Artikel klipp und klar voran stellen. Punkt.
Ist Google Analytics DSGVO-konform?
Viele Datenschützer*innen waren sich da bereits lange einig. Die Antwort der Österreichischen Behörde ist: NEIN!
Aus datenschutzrechtlicher Sicht gibt es nun einiges anzumerken. Das hat nun auch die Österreichische Datenschutzbehörde getan. Hintergrund ist ein Beschwerdeverfahren, dass die von Max Schrems gegründete Organisation NOYB angestrengt hat. (Max Schrems ist Jurist und hat sich zunächst erfolgreich mit Facebook angelegt und schließlich die Abkommen zwischen der EU & den USA zwei Mal zu Fall gebracht. Beim ersten mal das Safe Harbor Abkommen im Jahr 2015 und 5 Jahre später dann das nicht bessere Nachkommen, das Privacy-Shield.)
In beiden Fällen argumentierte der EUGH, dass die USA kein dem europäischen Niveau gleichwertigen Datenschutz hätten. Unter anderen können die Nachrichtendienste nach geltendem Recht die personenbezogenen Daten, die auf den Servern von US-Anbietern liegen, herausfordern, ohne dass die betroffene Person das mitbekommt oder sich (gerichtlich) dagegen wehren kann. Das gilt auch für eventuell gespeicherte Passwörter. Vielleicht wollte der EUGH damit sagen: „unter Freunden geht sowas gar nicht.“ – nur juristischer.
Was war passiert?
Nachdem das Privacy-Shield gekippt wurde, fehlte es einer Erlaubnis, die personenbezogenen Daten in ein Drittland zu exportieren. Aus diesem Grund wurde nun tief in die Trickkiste gegriffen und geschaut, was die DSGVO denn noch für Möglichkeiten übrig hat, auf die kurzfristig zurückgegriffen werden kann. So wurden die genannten Standard-Vertragsklauseln als das neue heilige Mittel aus der Schublade geholt. Was soll das sein? Kannten bis davor die wenigsten, denn es war auch nicht dafür konzipiert, wofür es nun im breiten Umfang eingesetzt wird.
Im Prinzip ist das ein Vertrag, in dem sich die Vertragsparteien verpflichten, den notwendigen Datenschutzstandard einzuhalten und die Vorgaben der DSGVO zu achten. Dieser Vertrag muss dann noch von der EU abgesegnet werden und – das ist das Entscheidende – darf nicht einseitig abgeändert werden. Damit die EU nicht jeden einzelnen popeligen Vertrag absegnen muss, haben diese nun ein allgemeines Muster abgesegnet. Toll, oder? Wenns doch so einfach wäre, dass damit dann alles gut ist…
… ist es natürlich nicht. Denn Papier ist bekanntlich geduldig ist. Das Unterschreiben eines Vertrages alleine reicht natürlich nicht. Was interessiert „die Schlapphüte“ schon 5 Seiten DIN A 4-Vertrag zwischen einem EU-/und einem US-Unternehmen, wenn der US-Patriot Act aus einer Dienstmarke den Generalschlüssel zu allen Datenverarbeitungssystemen macht? Nach dem Motto: „Ich bin NSA, ich darf das weil ich kann das“?
Klingt bitter? So ist nunmal die amerikanische Rechtslage (ganz vereinfacht ausgedrückt).
Unter uns:
Mal ehrlich: Glaubt hier irgendwer, die Agenten lassen sich von dem fetzen Papier beeindrucken? Die Geschichte um die Snowden-Enthüllungen lehrt uns: Sie lassen sich nicht so viel beeindrucken. Aus dem Grund müssen noch weitere technische und organisatorische Maßnahmen (TOMs) getroffen werden, zB die Daten auch so anständig verschlüsseln, dass selbst wenn sie herausgegeben werden müssen, diese nicht lesbar sind.
Oder gar nicht erst dort speichern, was in die Zuständigkeit der Nachrichtendienste der nicht-EU-Staaten fällt. Das Leben könnte so einfach sein…
Das was Google Analytics in dem Beschwerdeverfahren als technische und organisatorische Maßnahmen (TOMs) präsentiert hat, um den Zugriff der US-Sicherheitsbehörden auszuschließen oder zumindest zu begrenzen, hielt die Aufsichtsbehörde für einen „nice try“, oder wie das in Juristen-Sprech heißt:
„In Bezug auf die dargelegten vertraglichen und organisatorischen Maßnahmen ist nicht erkennbar, inwiefern [die Maßnahmen] effektiv im Sinne der obigen Überlegungen sind.“
„Sofern die technischen Maßnahmen betroffen sind, ist ebenso nicht erkennbar (…) inwiefern [die Maßnahmen] die Zugriffsmöglichkeiten von US-Nachrichtendiensten auf der Grundlage des US-Rechts tatsächlich verhindern oder einschränken..“
zu deutsch: „sechs, setzen!“
Der Beschluss der Behörde
Interessant ist in dem Beschluss, dass sich dieser (noch) nicht gegen Google richtet. Denn es konnte nicht nachgewiesen werden, dass Google die Daten Dritten offenbart hat. Spricht meiner Meinung nach für einen guten Geheimdienst (Anmerkung der Redaktion). Das Unternehmen, dass Google Analytics einsetzte, musste sich nun dem Vorwurf aussetzen, dass der Einsatz nicht DSGVO-konform war.
Bisher war das auch nur ein Teilbeschluss, weshalb sich das auch noch mal ändern kann.
Ob eine Strafe verhängt wurde, ist ebenso wenig bekannt, kann aber auch nicht ausgeschlossen werden. Allgemein scheinen die Aufsichtsbehörden zunehmend die Geduld zu verlieren.
Was solltest Du jetzt tun?
Eins steht fest: Das Problem betrifft dem Grunde nach auch andere US-Anbieter.
Und das wird auch nicht die letzte Entscheidung einer Aufsichtsbehörde zu Google Analytics gewesen sein – dafür wird die neu eingerichtete EDPB-Taskforce schon sorgen! Hatte ich schon erwähnt, dass NOYB eine Massenbeschwerde angestrengt hat? Da kommt safe noch mehr…
Vielleicht sogar zu genau dem Fall, denn nun hat die Aufsichtsbehörde in Bayern in dem Fall übernommen.
Und da Anwälte nach dem Gebot des sichersten Weges beraten sollen, wäre dieser:
Finger weg von Google Analytics und anderen US-Diensten. Schau dich lieber nach datenschutzfreundlicheren Alternativen um, wie z.B. Matomo. Viele Anbieter in der EU sind mittlerweile deutlich besser geworden, auch wenn das Silicon Valley (noch) einen Vorsprung hat. So what!? Die zahlen auch nicht dein Bußgeld für dein Business…
Wenn Du Hilfe bei der Umsetzung brauchst, nimm gerne mit mir Kontakt auf:
„Datenschutz macht Spaß.
Denn bei mir bekommst du Datenschutz mit Humor.
Praxisnah?
Na logo!“
– Johannes Rauchfuss,
Rechtsanwalt für Datenschutz