Google Analytics – Eine Datenkrake unter Beschuss
Wird Google Analytics zur bedrohten Tierart?
Der 12. Jänner 2022 war in Österreich kein guter Tag für Google Analytics und all jene, die es für ihre Websites nutzen. Die österreichische Datenschutzbehörde hat eine wegweisende Entscheidung getroffen. Der Einsatz von Google Analytics verstößt gegen die Datenschutzgrundverordnung (DSGVO). Diese Entscheidung betrifft die Website „netdoktor.at“, aber man kann sie exemplarisch für anderen Websites verstehen. Das Urteil ist noch nicht rechtskräftig. Aufgrund des Richterspruchs „Schrems-II“ des Europäischen Gerichtshofs (EuGH) aus dem Jahr 2020, ist aber davon auszugehen, dass dieses auch bei einem Einspruch beim Bundesverwaltungsgericht nicht aufgehoben wird.
Schrems-II Urteil: Noch nie gehört?
Um das zu erklären, muss ich etwas ausholen. Der Österreicher Max Schrems hat die Initiative „NOYB – non of your business“ 2017 gegründet, um gegen Datenschutzverstöße in der EU vorzugehen. Bereits 2016 erstritt er ein Urteil beim EuGH, welches das Safe-Harbour-Abkommen für ungültig erklärt.
Nach diesem Urteil wurde „Privacy Shield“ ausgehandelt. Es war eine informelle Absprache im Bereich des Datenschutzes zwischen der EU und den USA. Sie regelte den Schutz personenbezogener Daten, die aus einem Mitgliedsstaat der EU in die USA übertragen werden. Dagegen brachte NOYB bei der irischen Datenschutzbehörde Beschwerde ein. Sie beanstandete, dass Facebook Irland seine Daten an den Mutterkonzern in den USA weiterleitet. Am 16. Juli 2020 kippt der EuGH in seinem Urteil die EU-US-Datenschutzvereinbarung „Privacy Shield“. Die vereinfacht formulierte Begründung: Mit Blick auf die Zugriffsmöglichkeiten der US-Behörden seien die Anforderungen an den Datenschutz nicht gewährleistet. Zudem sei der Rechtsschutz für Betroffene unzureichend. Dieses Urteil wurde als Schrems-II bekannt.
Google Analytics: Was ist das?
Du hast eine Website für dein Unternehmen. Die soll Besucher anziehen und zu Kund*innen werden lassen. Um Deine Website erfolgreich zu machen, ist es wichtig Daten über das Besucherverhalten zu sammeln. So kannst Du an den richtigen „Schrauben“ zum Erfolg Deiner Website drehen. Mit Google Analytics kannst Du diese Daten sammeln. Es gibt Dir unter anderem Aufschluss:
• Über die Besucheranzahl auf Deiner Seite.
• Wie lange ein Besucher auf Deiner Seite bleibt.
• Über welche Suchbegriffe Deine Seite gefunden wird.
• Welche Browser Deine Besucher nutzen.
• Über welche Endgeräte sie auf Deine Seite kommen.
• Welche Inhalte haben sich die Besucher angesehen.
• u. v. m.
Google Analytics ist ein sehr umfangreiches Tool und hat viele Vorteile sowie – aus Datenschutzgründen – einen großen Nachteil. Es speichert die Daten auf den Servern von Google.
Quiz: Mitarbeiterin des Monats oder Büroschläferin?
Teste doch mit einem Quiz, wie gute Deine Website bereits für Dich arbeitet. Ist sie die Top-Performerin oder eher die Schlaftablette der digitalen Welt.
Worin liegt das Problem?
Wenn man Google Analytics nutzt, liegt das Problem vor allem am Speicherort der Nutzerdaten. Jene Daten, die das Programm erhebt, werden auf den konzerneigenen Servern von Google gespeichert. Das Unternehmen hat seinen Hauptsitz in den USA. Daher können US-Behörden, nach amerikanischem Recht, jederzeit Zugriff auf die Daten nehmen können. Das widerspricht den europäischen Datenschutzgesetzen. Google versucht vorzubeugen. Es bietet seinen Nutzern die Möglichkeit, die Daten auf den entsprechenden Servern zu anonymisieren. Doch sobald ein Datensatz dorthin gelangt ist, macht es aus juristischer Sicht keinen Unterschied mehr, wie schnell Google diese Daten anonymisiert.
Im Folgenden gehe ich auf einige Punkte etwas näher ein, um Dir einen kurzen Überblick zu verschaffen.
Laut dem Urteil der österreichischen Datenschutzbehörde vom 12. Jänner 2022 sind folgende Punkte ausschlaggebend für die Entscheidung:
- Personenbezogene Daten dürfen von US-Anbietern nicht von der EU in die USA übermittelt werden.
- Das Datenschutzniveau in den USA ist niedriger als in der EU: EU-Bürger können sich nicht dagegen wehren, dass US-Geheimdienste auf ihre Nutzerdaten zugreifen.
- Google hat bisher keine ausreichenden Maßnahmen gesetzt, um die Nutzerdaten angemessen zu sichern.
Wie geht es nun weiter?
Die große Frage ist nun: Wie geht es weiter? Ist es möglich, Google Analytics in der EU legal einzusetzen? Laut Max Schrems gibt es für Google Analytics nur zwei Möglichkeiten: „Langfristig brauchen wir entweder einen angemessenen Datenschutz in den USA, oder wir werden am Ende getrennte Produkte für die USA und die EU haben. Ich persönlich würde einen besseren Schutz in den USA bevorzugen, aber das ist Sache des US-Gesetzgebers.„
Was kannst du nun tun?
Wenn Du Google Analytics einsetzt, solltest du es abdrehen. Das klingt jetzt hart, aber der Weiterbetrieb ist riskant. In dem Rechtsspruch der österreichischen Datenschutzbehörde wird klar: Der Websitebetreiber ist für die Sicherheit der Daten verantwortlich, nicht der US-Konzern Google.
Kläre für Dich, ob du tatsächlich ein derartiges Analysetool benötigst. Ist es unerlässlich, solltest Du auf Alternativen umsteigen. Es gibt Anbieter, die ihren Sitz in der EU haben (z. B. Plausible oder Fathom) und solche, bei denen die Daten auf deinem eigenen Server (Matomo oder Offen) gehostet werden.
Noch Fragen? Dann los 🙂
Deine Daten behandle ich selbstverständlich streng vertraulich. Nähere Informationen zur Datenverarbeitung sind in meiner Datenschutzerklärung im Kapitel „Kommunikation“ zu finden.