Ist Google Analytics illegal in der EU? Diese 3 wichtigen Entscheidung von Aufsichtsbehörden solltest Du kennen!
RA Rauchfuss
Weitere Aufsichtsbehörden haben sich kritisch zu Google Analytics geäußert. In diesem Beitrag erfährst Du, was Du jetzt tun musst und welche Einstellungen du laut der Aufsichtsbehörde bei Google Analytics vornehmen musst.
Seit meinem letzten Blog-Beitrag zu Google Analytics hat sich einiges getan. Darin hatte die Österreichische Datenschutzbehörde Google Analytics verboten. Vermehrt werde ich gefragt:
Ist Google Analytics illegal in der EU?
Themen
Erste Aufsichtsbehörde sagt: Google Analytics ist illegal in der EU
Seitdem das Privacy Shield Abkommen vom EuGH gekippt wurde, stehen Datenübermittlungen an US-Anbieter auf wackeligen Beinen. Denn eine solide Rechtsgrundlage für einen datenschutzkonformen Datentransfer gibt es nicht mehr. Zwar hat der EuGH Mechanismen wie die Standarddatenschutzklauseln als zulässig erachtet. Einfacher ist es dadurch nicht geworden.
Update: Inzwischen wurde von der EU-Kommission ein Angemessenheitsbeschluss bezüglich den USA erlassen, der diesen ein der EU gleichwertiges Datenschutzniveau attestiert. Die Standarddatenschutzklauseln sollte man als Back-Up in der Hinterhand haben, falls der EuGH den neuen Angemessenheitsbeschluss kippt.
Der Einsatz von Tools aus den USA ist weiterhin sehr beliebt. Dazu gehört auch das verbreitete Analyse-Tool Google Analytics, welches ebenfalls aus den USA kommt.
Die Datenschutzorganisation NOYB von Max Schrems hat in einem Masseverfahren zahlreiche Beschwerden bei den Datenschutzbehörden eingelegt. Da NOYB in Österreich sitzt, wurde deren Aufsichtsbehörde ebenfalls eingeschaltet und hatte sich als erste öffentlich geäußert:
In dem 101- DalmatinerDatenschutzverstoß-Verfahren wurde seitens der EU eine eigene Task Force gegründet, sodass davon auszugehen ist, dass sich die Aufsichtsbehörden untereinander abstimmen und zu ähnlichen Ergebnissen kommen werden. Und so kam es auch.
Französische Aufsichtsbehörde hält Google Analytics auch für illegal in der EU.
Nun hat sich eine weitere Aufsichtsbehörde der Entscheidung aus Österreich angeschlossen, unter anderem die französische CNIL. Diese hat in ihrer Entscheidung gegenüber dem betroffenen Unternehmen sogar angeordnet, dass diese nicht mehr Google Analytics verwenden dürfe.
Im Ergebnis kommt auch die französische Aufsichtsbehörde zu dem Ergebnis: Google Analytics ist illegal in der EU.
Untersucht wurde Google Analytics 3, welches mittlerweile eine Update erfahren hat.
Selbst wenn Google Analytics mittlerweile ein Update (Google Analytics 4) rausgebracht hat, die eigentliche Herausforderung mit dem Datenaustausch zwischen EU und US-Servern bleibt.
Italienische Aufsichtsbehörde
Neben der französischen hat sich die italienische Aufsichtsbehörde in der Sache der österreichischen Datenschutzbehörde angeschlossen.
Auch sie kommt zu dem Schluss, dass die Übermittlung von personenbezogenen Daten in die USA dem Urteil des Europäischen Gerichtshof (Schrems II-Entscheidung) zuwiderläuft. Google Analytics ist illegal in der EU.
Nochmal zum Hintergrund: Durch das Schrems II-Urteil wurde die rechtliche Grundlage (Privacy Shield), auf welcher die Daten in die USA übermittelt werden durften, vom EuGH gekippt. Seitdem gibt es eine große Unsicherheit, wie Tools von US-Dienstleistern datenschutzkonform eingesetzt werden können.
Noch gibt es keine offizielle Stellungnahme einer deutschen Aufsichtsbehörde. Dies ist meiner Meinung allerdings nur noch eine Frage der Zeit. Denn bei den 101 angestoßenen Verfahren wird mit Sicherheit auch ein Fall dabei sein, wo eine der 17 deutschen Aufsichtsbehörden zuständig ist. 17? Ja 17! Denn jedes Bundesland hat seine eigene Datenschutzbehörde (das macht 16) und dann gibt es noch die Bundesbehörde, den Bundesbeauftragten für Datenschutz. Macht also zusammen 17 deutsche Datenschutzbehörden.
Was sagen die anderen Länder dazu?
In anderen Ländern wurde unterschiedlich damit umgegangen. So wurden zB Verfahren eingestellt, weil die betroffenen Unternehmen Google Analytics von ihrer Website heruntergenommen haben. Aus Sicht der Behörden hatte sich das Verfahren damit „erledigt“. Eine etwas fragwürdige Entscheidung, denn der Verstoß (vorausgesetzt das ist auch einer) ist ja trotzdem erst einmal da und kann deswegen nicht einfach ungeschehen gemacht werden. Entsprechende hätte es hier auch zu einer Fallprüfung kommen müssen, auch wenn das Ergebnis gewesen wäre, das sei gar kein Verstoß. Ob der Verstoß dann noch anhält, ist eine andere Frage und könnte durchaus für die Frage der Konsequenzen eine Rolle spielen.
Meines Erachtens, werden die deutschen Aufsichtsbehörden anders verhalten und zunächst den Einsatz von Google Analytics kritisch prüfen und bewerten. Ob Sie daraus dann Bußgelder oder Anordnungen ableiten, das steht auf einem anderen Blatt.
Wie kann ich Google Analytics trotzdem noch nutzen?
Dazu sind einige Einstellungen vorzunehmen.
Die französische Aufsichtsbehörde CNIL hat hierzu eine Stellungnahme veröffentlicht.
Im Ergebnis schlägt die Behörde als einen Weg vor, einen Proxy-Server dazwischen zu schalten, damit kein direkter Datenfluss an die USA geht. Dieser Proxy-Server hat die Aufgabe, die Daten erst zu anonymisieren, bevor diese dann an die Google-Analytics Server in den USA übertragen werden.
Dabei muss der dazwischengeschaltete Server folgende Kriterien erfüllen:
keine Übermittlung von IP-Adressen an das Webanalysetool, welches das Tracking vornimmt
Benutzerkennung (User-ID) muss durch den Proxy-Server ersetzt werden (effektive Pseudonymisierung)
Löschung der Referrer-Information (die Information, von wo die Benutzer auf die Website gekommen sind
Entfernung aller Parameter in den gesammelten URLs
Wiederaufbereitung von Informationen, die an der Generierung eines digitalen Fingerabdrucks beteiligt sein können
keine standortübergreifende (cross-site) oder deterministische ID-Erhebung
Löschung aller Daten, die eine Reidentifikation ermöglichen würden (Deanonymisierung)
Selbstverständlich muss der Server auch unter solchen Bedingungen gehostet werden, die gewährleisten, dass die von ihm verarbeiteten Daten nicht in Länder außerhalb der EU übertragen werden, die nicht im Wesentlichen dem im europäischen Wirtschaftsraum vorgesehenem Niveau entspricht. Viele sprechen daher auch vom serverseitigem Tracking, indem Google Analytics auf den eigenen Servern eigebunden wird.
Klingt kompliziert, kostspielig und nervenaufreibend? Gut möglich. Wie wäre es stattdessen mit einer Alternative, die einfacher DSGVO-konform zu implementieren ist?
Wie sieht es mit dem „neuen“ Google Analytics 4 aus?
Google hat in seinem Update zahlreiche Einstellungen angepasst. Zwar ist die Speicherdauer nun erheblich verkürzt (statt 26 Monate nun maximal 14 Monate). Das Grundproblem bleibt. Denn bevor die Daten an die US-Server übermittelt werden, muss eine echte Anonymisierung vorgenommen werden. Dies ist mit dem neuen Google Analytics 4 immer noch problematisch, denn es werden immer noch eindeutige Nutzer-IDs gesammelt und außerhalb der EU verarbeitet. Selbst wenn diese vorher auf EU-Servern pseudonymisiert werden, erfolgt ein Transfer dieser Pseudonyme an Google LLC, USA. Damit bleibt das Problem, dass personenbezogene Daten in ein Drittland übermittelt werden, bestehen. Datenschutzrechtlich ändert sich daher nicht viel.
Wann ist mit einer Lösung zu rechnen?
Was es braucht ist ein neues - rechtsgültiges - Abkommen zwischen der EU und den USA.
Das Grundproblem liegt ja in dem Transfer von personenbezogenen Daten in die USA ohne ein angemessenes Datenschutzniveau. Das Abkommen, das den Transfer lange ermöglichte, gibt es nicht mehr. Bis dahin gibt es unbefriedigende Behelfslösungen. Tatsächlich ist das Grundproblem wohl nur auf politischer Eben zu lösen. Denn wir brauchen ein neues Abkommen zwischen den USA und der EU - und zwar ein rechtssicheres. Das heißt, dass unsere personenbezogenen Daten auch wirklich geschützt werden.
Wie steht es um ein neues Abkommen mit den USA für einen rechtssicheren Datenaustausch?
Die erste gute Nachricht war ein Tweet. Ein Tweet von Frau von der Leyen und Joe Biden hat erkennen lassen, dass die USA und die EU ein neues Abkommen wollen. Toll! Eine politische Absichtserklärung. Wann es soweit ist und wie das Abkommen konkret aussehen soll, das wissen wir noch nicht. Fakt ist, die Verhandlungen werden nicht einfach, zumal die Befugnisse für US-Behörde gerade erst um den Passus „Wirtschaftsspionage“ erweitert wurden, um auf personenbezogene Daten zugreifen zu dürfen. Schade, dass darüber kaum berichtet wird.
Update: Inzwischen sind die Verhandlungen vorangeschritten und die EU-Kommission hat einen Vorschlag erarbeitet. Dieser muss nun noch seinen Weg durch die Institutionen machen. Mit etwas Glück gibt es vielleicht Mitte 2023 einen so genannten Angemessenheitsbeschluss, der einen Datentransfer in die USA wieder rechtssicher macht.Update zum Update: Er ist da! Tatsächlich Mitte 2023 in Kraft getreten.
Hoffen wir mal, dass diesmal auch wirklich ein angemessenes Datenschutzniveau erreicht wird. Besser als in den vorigen zwei Abkommen mit den USA.
Das erste Abkommen hieß damals übrigens „Safe Harbor“ und wurde vom EuGH in der ersten von Max Schrems betriebenen Klage gekippt. Ebenso wie dessen Nachfolger „Privacy Shield“ vom EuGH gekippt wurde. Wieder von Max Schrems, weshalb das Urteil auch „Schrems II“ genannt wird. Und so sind alle Datenschützern gespannt, wie der Nachfolger von Safe Harbor und Privacy Shield heißen wird. Vielleicht heißt das neue Abkommen ganz plump Privacy Shield 2.0. Oder aber auch Safe Shield oder Privacy Harbor. Vielleicht gibt es dann auch bald ein Schrems III-Urteil… wer weiß.
Update: Das neue Abkommen heißt Data Privacy Framework. Ob es gekommen ist um zu bleiben? Nunja, wir werden sehen...
Mein Tipp:
Überprüfe, zu welchem Zweck Du Google Analytics wirklich brauchst und informiere dich, ob Du nicht eine europäische Alternative nutzen kannst, um denselben Zweck zu erreichen. Hierzu gibt es einige auch kostenlose und open-source Alternativen. Ich selbst benutze z.B. Matomo und hoste das auf meinem eigenen Server. Damit bleiben die Daten bei mir.
Fun Fact: Das ganze geht auch ohne Cookies, sodass ich dann auch keinen Cookie-Banner dafür bräuchte. Cool, oder?
Es gibt aber auch Fathom und andere Möglichkeiten, den Traffic auf der Website datenschutzfreundlich auszuwerten.
Auch wenn es Stimmen gibt, die behaupten man könne mit einigen Einstellungen doch noch Google Analytics DSGVO-konform betreiben - ich kann das nicht empfehlen. Denn der Einsatz von Google Analytics ist (derzeit) nicht rechtssicher. Vor allem nicht in den mitgelieferten Voreinstellungen. Hier sind „einige“ Anpassungen nötig.
Es mag sein, dass in einigen Fällen nur Google Analytics als Lösung in Frage kommt. Wenn dem tatsächlich so ist, dann sollte man die Recherche und die Abwägung sauber dokumentieren, damit man im Zweifel das auch belegen kann. Denn wenn die Aufsichtsbehörde auf dich als verantwortliche Stelle zukommt und dich auf deinen Einsatz von Google Analytics anspricht, dann solltest Du in der Lage sein, den Einsatz GUT erklären bzw. rechtfertigen zu können. Mit „gut“ meine ich natürlich überzeugend. Dafür brauchst Du dann auch die richtigen Argumente und musst zeigen können, dass Du dich intensiv mit den Produkten am Markt auseinander gesetzt und eine sorgfältige Abwägung vorgenommen hast. Ich kann Dir bei dieser komplexen Aufgabe helfen.
Noch eins vorab: Das Argument „Google Analytics ist aber kostenlos“ überzeugt die Datenschutzbehörde nicht - mich übrigens auch nicht… Denn rate mal, warum es dich kein Geld kostet. 😉
Kurzum: Mach es Dir daher nicht unnötig schwer und schau dich lieber nach einer EU-Alternative um. Dann stellt sich auch die Frage nicht mehr: „Ist Google Analytics illegal in der EU?“. Vermutlich ist es sogar kostengünstiger als die notwendigen Programmierungen machen zu lassen und die datenschutzrechtliche Abwägung vornehmen zu lassen.
Aber hey, ich freue mich trotzdem über Mandate und helfe Dir gerne bei der Analyse. Meld Dich gerne bei mir 🙂
Hier gehts zur kostenpflichtigen Rechtsberatung:
Code Snippet ma-customfonts 3.4.2
Sie müssen den Inhalt von hCaptcha laden, um das Formular abzuschicken. Bitte beachten Sie, dass dabei Daten mit Drittanbietern ausgetauscht werden.
