Google Analytics verarbeitet Daten immer in den USA. Was bedeutet das für Websites und andere Google-Tools? [...]
Aufgrund einer Datenschutzbeschwerde der gemeinnützigen Organisation noyb musste Google einige Fragen der österreichischen Datenschutzbehörde beantworten. Google gibt in der Antwort an, dass alle über Google Analytics erhobenen Daten immer in den USA verarbeitet werden. Wörtlich heißt es: „All data collected through Google Analytics […] is hosted (i.e. stored and further processed) in the USA.“ Weiterhin steht dort, dass diese Daten über sogenannte Kollektor-Dienste vorher möglicherweise in anderen Ländern eingesammelt und dann in die USA geschickt werden.
Maximilian Schrems ist Initiator des Urteils, welches den Privacy Shield für ungültig erklärte. Der Privacy Shield war ein informelles Datenschutzabkommen zwischen Europa und den USA. Seit dem Urteil des Europäischen Gerichtshofs (EuGH) zum Privacy Shield gelten die USA als unsicheres Drittland. Gleichzeitig ist Schrems Ehrenmitglied der Datenschutzorganisation noyb, die Google mit der genannten Beschwerde zu der Aussage gebracht hat. Nun bleibt abzuwarten, wie die österreichische Aufsichtsbehörde im Fall noyb gegen Google entscheiden wird.
Konsequenzen für Webseiten
Für Webseiten ergeben sich aufgrund der Aussage von Google zusätzliche rechtliche Unsicherheiten. Bisher galt das Argument, dass nur an Google Ireland Daten geschickt werden. Denn Google Ireland ist Vertragspartner für europäische Firmen, die das Tracking Tool von Google einsetzen. Nun ist dieses Konstrukt über die irische Tochtergesellschaft der amerikanischen Google-Zentrale nicht mehr haltbar.
Nutzt eine Webseite Google Analytics, findet immer eine Datenverarbeitung in den USA statt. Dabei werden immer auch personenbezogene Daten in Form der Netzwerk- oder IP-adresse des Besuchers einer Webseite übertragen. Diese Adresse wird aufgrund des Internet Protokolls TCP bei jedem Abruf einer Webseite übertragen.
Bereits im Jahr 2016 stellte der EuGH fest, dass selbst dynamische IP-Adressen personenbezogene Daten sind (Urteil vom 19.10.2016 – C-582/14). Ein Jahr später bestätigte der Bundesgerichtshof (BGH) dies (Urteil vom 16.05.2017 – VI ZR 135/13).
Die USA gelten als unsicheres Drittland, weil amerikanische Gesetze der Datenschutzgrundverordnung entgegenstehen. Demnach können in den USA die Betroffenenrechte für europäische Bürger nicht garantiert werden.
Google Analytics nun immer einwilligungspflichtig
Wurde Google (Universal) Analytics in Standardausprägung betrieben, war bereits aufgrund der verwendeten Cookies eine Einwilligungspflicht gegeben. Dies ergibt sich aus Paragraph 15 Absatz 3 des Telemediengesetztes (TMG), wie der BGH im sogenannten Planet49-Urteil feststellte.
Google Analytics kann allerdings auch so konfiguriert werden, dass es ohne Cookies auskommt. In diesem Fall war bisher nicht eindeutig geklärt, ob eine Einwilligung unbedingt erforderlich ist. Jetzt ist die Rechtsunsicherheit noch größer und schlägt in Richtung Einwilligungspflicht aus.
Sind alle Google-Dienste betroffen?
Verarbeiten auch andere Dienste als Google Analytics Nutzerdaten immer in den USA? Auf diese Frage hat Google keine Antwort gegeben, obwohl danach gefragt wurde. Sollte die überwiegende Wertschöpfung des Google-Konzerns in den USA stattfinden, kann es sein, dass dort auch die meisten, vor allem aber unternehmenskritische Daten, gehalten werden. Betreiber von Webseiten mit dem Wunsch nach hoher Rechtssicherheit sollten darüber nachdenken, sich nach Alternativen für Google Tools umzusehen.
Ausweichmöglichkeiten für Webseiten
Für zahlreiche Dienste von Google gibt es bereits jetzt Ersatzprodukte. Statt Google Analytics ist vor allem für kleinere Webseiten ein lokal betriebenes Matomo sinnvoll, weil die Einwilligung bei entsprechender Konfiguration vermieden werden kann. Oft reicht es auch, wenn ein Google-Dienst einfach abgeschaltet wird, weil der Nutzen nicht feststellbar ist. Beispielsweise verwenden viele Unternehmens-Webseiten Google Maps um zu zeigen, wo sich Ihr Hauptsitz befindet. Oft wird der Standort aus der extremen Vogelperspektive gezeigt, so dass er wenig aussagekräftig ist. Eine Routenplanung hingegen könnte datenschutz– und nutzerfreundlich angeboten werden.
Google Tools zu vermeiden, bringt die Möglichkeit mit sich, auf lästige Einwilligungsabfragen zu verzichten. Die sogenannten Consent Tools oder Cookie Popups stören nicht nur den Nutzer, sondern sind oft auch fehlerhaft gestaltet. Google bekommt diesen Trend mit und sucht nach Alternativen. Hervorzuheben sind die Bildung von Interessensgruppen gleichartiger Nutzer mit Google FloC (Federated Learning of Cohorts), wenngleich dieser Ansatz umstritten ist.
*Dr. Klaus Meffert ist Geschäftsführer der IT Logic GmbH und Erfinder einer Datenschutz-Software für Webseiten. Dank dieser gewann er mehrere an ihn herangetragene juristische Auseinandersetzungen. Er besitzt über 30 Jahre IT-Erfahrung und widmet sich seit 2017 dem digitalen Datenschutz auf technischer und rechtlicher Ebene.
Be the first to comment