Um Google Analytics wird es zunehmend lauter: Der Webanalysedienst von Google gerät immer wieder ins Visier von Datenschützern. Jetzt hat Österreich ernst gemacht: Laut der Datenschutzbehörde ist Google Analytics rechtswidrig. Steht Google Analytics in der EU vor dem Aus?

Dass das Trackingtool Google Analytics keine reine weiße Weste mehr hat, ist unter Datenschützern längst bekannt. Laut der österreichischen Datenschutzbehörde handelt Google Analytics rechtswidrig im Sinne der EU-Datenschutzgrundversorgung (DSGVO). Dieser Rechtsspruch basiert auf einer Beschwerde der österreichischen Datenschutzorganisation Noyb (noneofyourbusiness) von Max Schrems gegen eine Website und Google selbst. 

Google Analytics ist ein beliebtes Tool zur Webanalyse, vielen Datenschützern jedoch ein Dorn im Auge, weil das Unternehmen seinen Sitz in den USA hat – und dem dortigen Recht unterliegt. Damit werden die Daten der Nutzer in der EU nicht ausreichend geschützt. 

Doch welche Auswirkungen hat die österreichische Rechtsprechung für den Nutzen von Google Analytics in Deutschland? Wir klären auf:

Was macht Google Analytics?

Google Analytics (GA) ist ein beliebtes Tool, um Nutzerdaten einer Website zu analysieren. Aus den Daten wird ein ausführliches Benutzerprofil erstellt. Es zeigt unter anderem auf, wie der Benutzer sich verhält: Wie lange verweilt er auf einer Website, wie kam er dahin, was kauft er, was teilt er in sozialen Medien, und noch vieles mehr. Für Unternehmen ein vorteilhaftes Mittel, denn dadurch können sie bessere Werbekampagnen ausarbeiten/starten – für die Benutzer allerdings ein Einschnitt ihrer Privatsphäre und somit ein Verstoß gegen den Datenschutz.

Während Sie sich auf einer Website umschauen, schaut sich auch Google Analytics in Ihren Daten um und erhebt dabei unter anderem folgende Daten:

  • Wie lange Sie auf der Website waren 
  • An welchem Datum und zu welcher Uhrzeit die Website besucht wurde
  • Ob etwas bestellt wurde
  • Ob ein Konto erstellt wurde
  • Ob Favoriten hinzugefügt wurden
  • Ob etwas in sozialen Medien geteilt wurde
  • Wie Sie auf die Website gekommen sind (über eine Suchmaschine, E-Mail, Direkteingabe)
  • Welches Betriebssystem benutzt wird

Google Analytics ist mitnichten das einzige Trackingtool für die Datenanalyse einer Website, jedoch das meistgenutzte: Nach einer Studie von mediaworx von 2020 mit 81 Versicherern nutzen 52% Google Analytics als Trackingtool. Die Zahl aller Websites, die das Analysetool des US-amerikanischen Unternehmens Google nutzen, liegt Schätzungen zufolge bei 50-80%.

Diskrepanz mit der DSGVO

Der Nutzen von Google Analytics ist dabei auch nicht das alleinige Problem. Das Problem besteht darin, dass Google Analytics die personenbezogenen Daten aus der EU an die USA übermittelt – und dies widerspricht dem Datenschutz der Datenschutzgrundverordnung der EU, kurz DSGVO

Die DSGVO ist eine Reihe von Gesetzen zum besseren Datenschutz. Sie ist EU-weit standardisiert, seit dem 25. Mai 2018 anwendbar und ist für alle Unternehmen gültig, die in der EU Online-Dienste anbieten – unabhängig von ihrem Standort. 

Die DSGVO vereinheitlicht u.a., wie die Unternehmen die Daten der Onlinebesucher erheben, verarbeiten und speichern. Nutzerdaten dürfen nur noch gesammelt werden, wenn dieser dem zustimmt. Diese Entscheidung kann jederzeit widerrufen werden.

MaxSchrems 03 c GeorgMolterer 768x512 1 |
Max Schrems – copyright by GeorgMolterer

Um den Datenschutz europäischer Nutzer zu schützen, wurde basierend auf dem Urteil „Schrems-II“ des Europäischen Gerichtshofs (EuGH, Urt. 16.07.2020, Rs. C-311/18) vom Europäischen Datenschutzausschuss (EDSA) die „Empfehlungen 01/2020 zu Maßnahmen zur Ergänzung von Übermittlungstools zur Gewährleistung des unionsrechtlichen Schutzniveaus für personenbezogene Daten“ festgelegt. Diese besagen, dass „der im Europäischen Wirtschaftsraum (EWR) geltende Schutz für personenbezogene Daten auch überall dort gewährleistet sein muss, wohin die Daten übermittelt werden. Wenn personenbezogene Daten in ein Drittland übermittelt werden, darf dies nicht dazu führen, dass das für sie geltende Schutzniveau hinter dem im EWR (=Europäischen Wirtschaftsraum) gewährten zurückbleibt oder verwässert wird“.

Um diese Gesetzeslücke zu schließen versprach Google, dass die betroffenen EU-Bürger informiert werden, falls US-Geheimdienste nach ihren Daten fragen würde. Auch werde jede Anfrage sorgfältig geprüft. Zudem kann die IP-Adresse der Nutzer durch Google Analytics anonymisiert werden. Beim Datenaustausch zwischen der EU und den USA greifen sogenannte Standardvertragsklauseln. Dabei handelt es sich um Mustervorlagen für spezielle Datenschutzverträge. Die EU-Kommission hat Anfang Juni 2021 eine aktualisierte Version herausgegeben, die auch seit September 2021 bei Google Analytics eingebaut. 

Der Österreichischen Datenschutzbehörde tragen diese Maßnahmen und Standardvertragsklauseln aber nicht genügend zum Schutz bei. Sie ist besorgt, dass der US-Geheimdienst die Möglichkeit hat, auf die Daten zuzugreifen oder die Identität des Nutzers zu kennen. Denn US-Geheimdienste wie die NSA oder das FBI hätten das Recht sowie auch die technischen Möglichkeiten, auf verschlüsselte Daten zuzugreifen. Laut US-Recht unterliegt Google derer Überwachung und kann somit keinem EU-Bürger ein angemessenes Schutzniveau gemäß Artikel 44 bieten.

Prozess gegen Google Analytics beginnt

Der Österreichischen Datenschutzbehörde (DSB) reichts: Aufgrund einer Beschwerde des Datenschutzvereins Noyb von Max Schrems gegen eine Website die Google Analytics nutzt, wurde der Teilbeschluss erlassen, dass Google Analytics gegen Artikel 44 der EU-Datenschutzgrundversorgung verstoße. Es sei rechtswidrig, personenbezogene Daten in die USA zu übermitteln. Die Nutzung in Österreich ist somit nicht mehr legal.

Doch Noyb ging nicht nur gegen den Websitebetreiber, sondern auch gegen Google vor. Schließlich werde das Trackingtool zur Webanalyse von Google angeboten. Diese Beschwerde wurde vom DSB jedoch abgelehnt. Denn rechtswidrig handle der Datenexporteur, in diesem Fall der Betreiber der Website, und nicht Google als Datenimporteur.

Was bedeutet das Österreichische Urteil für die EU?

Der aktuelle Fall aus Österreich betrifft aber nicht mehr nur das ehemalige Kaiserreich: Auch seitens der niederländischen Aufsichtsbehörde für persönliche Daten (AP) wurde rasch darauf reagiert. Sie ergänzte die seit 2018 bestehende „Anleitung zur datenschutzfreundlichen Einrichtung Google Analytics‘ mit folgendem Hinweis: „Bitte beachten: Die Verwendung Google Analytics‘ ist möglicherweise bald nicht mehr erlaubt“.

Die Rechtsprechung in Österreich ist zwar erst ein Teilbescheid, und es wird vom DSB geprüft, ob gegen weitere Bestimmungen der DSGVO verstoßen wird. Klar ist jedoch, dass zukünftig auch weitere Datenschutzbehörden der EU-Staaten vor den EuGH treten werden. Denn aus juristischer Sicht spielt es keine Rolle, ob Google die in die USA übermittelten IP-Adressen und andere personenbezogene Daten anonymisiert – denn ist der Datensatz erst im Land der unbegrenzten Möglichkeiten, reicht der Schutz der DSGVO nicht mehr aus.

Rechtsanwalt Christian Solmecke schätzt die Lage wie folgt ein:

Google Analytics kann aktuell nur hoffen, das beklagte Websitebetreiber ein Rechtsmittel gegen den Teilentscheid erheben wird. Dann geht das Verfahren erst zum österreichischen Bundesverwaltungsgericht und möglicherweise am Ende zum EuGH. Der hat dann die Möglichkeit, eine Entscheidung zu treffen, die auch für andere Mitgliedstaaten bindend wäre. Ob die mögliche EuGH-Entscheidung dann aber im Sinne von Google ausfallen wird, ist fraglich.

Update: Google verliert auch in Frankreich

Laut der Französischen Datenschutzbehörede CNIL reichen auch die von Google getroffenen zusätzlichen Schutzmaßnahmen nicht aus, um den Zugriff durch US-Geheimdienste auszuschließen.

Die einflussreiche französische Datenschutzbehörde CNIL hat entschieden, dass der Einsatz von Google Analytics auf Webseiten mit europäischen Besuchern nicht mit der Datenschutz-Grundverordnung (DSGVO) vereinbar ist.

Quelle: https://www.heise.de/

Darf Google Analytics noch in Deutschland genutzt werden?

Für Deutschland ist das Ganze nicht ganz neu: Bereits Ende 2021 wurde gegen die Hochschule Rhein-Main eine Eilentscheidung des Verwaltungsgerichts (VG) Wiesbaden erlassen. Die Website übertrug nicht anonymisierte IP-Adressen an die USA.

Zusätzlich wurde von der deutschen Aufsichtsbehörde im Rahmen der neuen Orientierungshilfe für Anbieter:innen von Telemedien (also Websites oder Apps) vom 20. Dezember 2021 ein ähnlicher Beschluss wie in Österreich getroffen. Sie ist der Ansicht, dass

der reine Abschluss von Standarddatenschutzklauseln wie den von der EU-Kommission beschlossenen Standardvertragsklauseln nicht ausreicht. Es ist darüber hinaus im Einzelfall zu prüfen, ob das Recht oder die Praxis des Drittlandes den durch die Standardvertragsklauseln garantieren Schutz beeinträchtigen und ob ggf. ergänzende Maßnahmen zur Einhaltung dieses Schutzniveaus zu treffen sind. Eine detaillierte Anleitung zum Vorgehen bei der erforderlichen Prüfung hat der Europäische Datenschutzausschuss veröffentlicht.

Gerade im Zusammenhang mit der Einbindung von Dritt-Inhalten und der Nutzung von Tracking-Dienstleistungen werden allerdings oft keine ausreichenden ergänzenden Maßnahmen möglich sein. In diesem Fall dürfen die betroffenen Dienste nicht genutzt, also auch nicht in die Webseite eingebunden werden. Personenbezogene Daten, die im Zusammenhang mit der regelmäßigen Nachverfolgung von Nutzerverhalten auf Webseiten oder in Apps verarbeitet werden, können grundsätzlich nicht auf Grundlage einer Einwilligung nach Art. 49 Abs. 1 lit. a DS-GVO in ein Drittland übermittelt werden. Umfang und Regelmäßigkeit solcher Transfers widersprechen regelmäßig dem Charakter des Art. 49 DS-GVO als Ausnahmevorschrift und den Anforderungen aus Art. 44 S. 2 DS-GVO.“

Alternativen zu Google Analytics

wiredminds website de 768x512 1 |

Wer Google Analytics nutzt, kann sich nicht sicher sein, dass Daten in die USA übertragen werden. Dabei gibt es in Deutschland auch gute Alternativen zur Webanalyse mit Google Analytics. Mit dem Einsatz von LeadLab erhalten Sie sämtliche Analysen Ihrer Websitebesucher legal und sicher. Unsere Funktionen stimmen nicht nur mit der DSGVO überein, sondern darüber hinaus auch mit dem Bundesdatenschutzgesetz. Denn wir nutzen das Fachwissen unabhängiger Datenschutz-Juristen und unserem internen Datenschutz-Experten. Probieren Sie es selbst aus mit einem Testaccount

In unserem Interview mit unserem Consultant und Datenschutzexperten Günter Jobst erfahren Sie genau, warum LeadLab absolut rechtssicher von Ihnen genutzt werden kann.