Google Analytics nicht DSGVO-konform

Feststellungen von EU-Datenschutzbehörden

Die österreichische Datenschutzbehörde hatte vor kurzem entschieden, dass die Einbindung von Google Analytics auf Webseiten gegen die Datenschutzgrundverordnung verstößt (https://www.dsb.gv.at/download-links/bekanntmachungen.html#Google_Analytics). Zuvor hatten die Datenschützer in Wien aufgrund einer Beschwerde der Datenschutzorganisation „noyb“ eine Fallprüfung durchgeführt und festgestellt, dass eine Einwilligung für den Einsatz von Google Analytics fehle. Konkret fehlte die erforderliche Einwilligung für die Drittlandübermittlung (Art. 49 Abs. 1 lit. a) DSGVO), da Google alle Analytics-Daten ausnahmslos in die USA übermittelt und dort verarbeitet.

Wieso ist die Drittlandübermittlung aus Sicht des europäischen Datenschutzes so brisant, obschon davon auszugehen ist, dass Google die Daten sicher transferiert und auch die Aufbewahrung der Daten streng geschützt ist? Die Antwortet hierauf ist kurz: der CLOUD-Act (Clarifying Lawful Overseas Use of Data Act).

Der Cloud Act ermöglicht den Zugriff von US-amerikanischen Behörden auf sämtliche Unternehmens- und Kundendaten von Cloud- und Kommunikationsanbietern, sofern das Unternehmen seinen Sitz in den USA hat bzw. dem US-amerikanischen Recht unterliegt. Dies bedeutet im Umkehrschluss, dass ebenfalls auf personenbezogene Daten von EU-Bürgern auf EU-Servern zugegriffen werden kann, wenn ein US-Dienstleister eingesetzt wird.

Die französische Datenschutzbehörde ging deshalb noch einen Schritt weiter als die österreichische und kam zu dem Ergebnis, dass Google Analytics gar nicht in der EU einsetzbar ist, weil Google nicht genug unternehme, um die Daten europäischer Bürger vor dem Zugriff durch amerikanische Geheimdienste zu schützen (https://www.cnil.fr/en/use-google-analytics-and-data-transfers-united-states-cnil-orders-website-manageroperator-comply). Auch die Niederlande haben angekündigt, einen Beschluss wegen Google Analytics zu erlassen.

Festzuhalten ist, dass aus Sicht des europäischen Datenschutzes erhebliche Bedenken beim Einsatz von Google Analytics bestehen. Auch wenn die oben genannten Beschlüsse von Behörden nicht automatisch ein Verbot bedeuten, so haben diese eine gewisse Relevanz und es besteht die Gefahr von Bußgeldern, da sich Gerichte diese Behördenentscheidungen orientieren, weshalb auch Schadensersatzklagen von Betroffenen drohen.

Empfohlene Vorgehensweise

Die vermeintliche Lösung des Problems könnte die Einholung einer entsprechenden Einwilligung bei den Webseitenbesuchern sein. Was aber sehr simpel klingt, ist in der Praxis aber kaum umsetzbar. Einerseits müsste den Betroffenen vor Abgabe der Einwilligung eine große Menge an detaillierten Informationen rund um die Drittlandübermittlung zur Verfügung gestellt werden, was den Webseitenauftritt optisch mindert und von der Usability drastisch verschlechtert – nur aufgrund von Google Analytics! Gleichzeitig müssen die Risiken, die durch den Cloud Act, FISA 702 usw. entstehen, durch die dargelegten Informationen von den betroffenen Personen verstanden werden.

Auf der anderen Seite ist zu erwarten, dass eine Vielzahl der Webseitenbesucher keine entsprechende Einwilligung abgeben wird, sofern die Website in ihrer derartigen Gestalt überhaupt noch für Ihre Webseitenbesucher interessant ist.

Daher wird empfohlen, auf Dienste wie Google Analytics zu verzichten. Sofern analytische Daten unverzichtbar sind, sollte auf eine europäische Lösung zurückgegriffen werden. Zudem sollte der Anbieter im Hinblick auf den Cloud-Act keine Niederlassung in den USA haben.

Eine Alternative zu Google Analytics wäre zum Beispiel das Tool Matomo Analytics. Dieses kann kostenfrei auf eigenen Servern oder auf einem europäischen Matomo-Server (Frankreich) betrieben werden, siehe https://matomo.org/.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Bitte füllen Sie dieses Feld aus.
Bitte füllen Sie dieses Feld aus.
Bitte gib eine gültige E-Mail-Adresse ein.

Menü