Kommt es zum Verbot von Google Analytics in der EU?

Google Analytics gehört zu den beliebtesten Tracking-Tools in Deutschland und ermöglicht unzähligen Webseitenbetreibern Einblicke in das Verhalten ihrer Kunden. Nun sagen gleich mehrere europäische Datenschutzbehörden, Google Analytics sei nicht mit der DSGVO vereinbar. [...]

(c) pixabay.com

Google Analytics ermöglicht unzähligen Webseitenbetreibern Einblicke in das Verhalten ihrer Kunden. Wie kein anderer Dienstleister versteht es Google, Daten zu erfassen und auszuwerten. Datenschützer bemängelten schon in der Vergangenheit, dass dieser Wettbewerbsvorteil zulasten des Schutzes der personenbezogenen Daten geht. Nun geben gleich mehrere europäische Datenschutzbehörden diesen Bedenken recht: Google Analytics sei nicht mit der Datenschutzgrundverordnung vereinbar und die Verwendung somit gesetzeswidrig.

Vorgeschichte des drohenden Verbots

Angestoßen wurde die aktuelle Entwicklung durch eine Entscheidung im Fall „Schrems II“. Am 16.07.2020 erklärte der Europäische Gerichtshof den sogenannten „Privacy Shield“ für unzulässig. Dieses Datenschutzabkommen zwischen den USA und der EU regelte bisher die Übermittlung von personenbezogenen Daten in die USA. Durch das Urteil sah sich der österreichische Datenschutzverein noyb veranlasst, gegen 101 Unternehmen aus der EU und dem Europäischen Wirtschaftsraum vorzugehen.

Am 12. Januar 2022 kam es zu einer ersten Entscheidung. Die österreichische Datenschutzbehörde erklärte, dass das Web-Analyse-Tool Google Analytics in mehreren Punkten gegen die Vorgaben der Datenschutzgrundverordnung (DSGVO) verstoße. Vor allem die Anforderungen zur Drittlandübermittlung und die allgemeinen Grundsätze zur Datenübermittlung nach Art. 44 DSGVO werden demnach nicht eingehalten. Weitere europäische Behörden folgten der Einschätzung.

Warum steht Google Analytics überhaupt in der Kritik?

Google gilt weltweit als Experte in der Erfassung und Aufbereitung von Nutzerdaten. Jedes Mal, wenn ein Kunde eine Webseite besucht, erhält Google wichtige Informationen. Die IP-Adresse und die Cookie-Daten werden bei jedem Besuch erfasst. Hinzu kommen wichtige Informationen zum Webbrowser, dem Betriebssystem oder dem genauen Zeitpunkt des Besuchs. Die Datenmenge kann nach festgelegten Kriterien analysiert werden und gibt Betreibern so Hinweise zur Nutzung der eigenen Webseite.

Das Problem dabei: Die gesammelten Daten ermöglichen eine Identifizierung des Besuchers. Um dies zu verhindern, müssten laut DSGVO die personenbezogenen Daten besser geschützt werden. Doch diesen Vorgaben kommt Google Analytics nicht nach.

Mehr noch, Google verwendet die erhobenen Daten für eigene Zwecke und fasst diese zu ganzen Nutzerprofilen zusammen. In den Nutzungsbedingungen von Google wird dieses Vorgehen zwar erläutert, den wenigsten Usern dürfte dies aber bekannt sein. Google übermittelt die erhobenen Daten an Cloud-Rechenzentren in den USA. Ein solcher Transfer ist aber nur datenschutzkonform, wenn das Drittland – in diesem Fall die USA – über ein Datenschutzniveau verfügt, das dem EU-Recht gleichwertig ist. Dies ist in den USA nicht der Fall. Im Gegenteil, die US-Geheimdienste haben unbeschränkte Zugriff- und Eingriffsrechte, selbst auf übermittelte Daten von EU-Bürgern. Betroffene werden über einen solchen Zugriff nicht informiert und können sich somit auch nicht widersetzen.    

Auswirkungen auf die Nutzung von Google Analytics

In Deutschland herrscht seitdem große Unsicherheit über die weitere Nutzung von Google Analytics. Ende März sorgte zudem die Meldung, dass die EU-Kommission und die USA eine Überwachungsreform versprechen, für weitere Unklarheit. Der sogenannte „Trans-Atlantic Data Privacy Framework“ soll Verbindlichkeiten und Regeln enthalten, die Zugriffsrechte der US-Sicherheitsbehörden auf personenbezogene Daten eingrenzen. Die Einhaltung der EU-weiten Datenschutzregelungen wird demnach über entsprechende Verfahren garantiert. Unternehmen aus den USA, die Daten aus der EU weiterhin zur Verarbeitung in die USA übermitteln, sollen sich mittels einer Selbstzertifizierung zur Einhaltung des neuen Abkommens verpflichten.

Aktuell bleibt ungewiss, ob es sich um den nächsten gescheiterten Versuch einer datenschutzkonformen Zusammenarbeit handelt oder das Abkommen die Voraussetzungen für eine rechtmäßige Übertragung personenbezogener Daten in Drittländer erfüllt. Datenschützer weisen bereits jetzt darauf hin, dass es sich bei den in Aussicht gestellten Einschränkungen der Eingriffsbefugnisse der US-Sicherheitsbehörden nicht um den Erlass entsprechender neuer Gesetze, sondern lediglich um Verwaltungsanweisungen in Form sogenannter „Executive Orders“ handelt, bei denen die, den EU-Bürgern eingeräumte Rechtsschutzqualität doch eher fraglich erscheine.   Der Bemühungen einiger Webseitenbetreiber, die Datenübermittlung bei der Nutzung von Google Analytics über eine ausdrückliche Zustimmung der User gem. Art. 49 Abs. 1 lit. a DSGVO doch noch rechtssicher zu ermöglichen, erweist sich als wenig zielführend. Denn es handelt sich ausdrücklich um eine Ausnahmevorschrift zu Art. 44 DSGVO, die keine rechtliche Grundlage für die dauer- und massenhafte Datenübermittlung in ein Drittland sein kann.

Wechsel zu anderem Tracking-Tool?

So bleibt den meisten Webseitenbetreibern nur der Wechsel zu einem Tracking-Tool, das den Anforderungen der DSGVO entspricht. Denn die Verantwortung für eine rechtssichere Nutzung der eigenen Webseite liegt immer beim Betreiber. Bei einem datenschutzkonformen Web-Analyse-Tool werden Daten verschlüsselt oder verkürzt und ermöglichen so keine Identifizierung einzelner Nutzer. Ein Serverstandort in Deutschland oder der EU verhindert am effektivsten, dass es zu Problemen bei der Übermittlung von Daten in ein Drittland kommt.

Obwohl in Deutschland noch keine verbindliche Entscheidung vorliegt, sollten Webseitenbetreiber frühzeitig den Wechsel planen. So bleibt genügend Zeit bei der Auswahl des passenden Tools und eine schrittweise Umstellung. Google hat die bisher eingegangenen Entscheidungen der europäischen Gerichte und Datenschutzbehörden weitestgehend ignoriert. Man kann also gespannt sein, wie der Tech-Riese reagieren wird, sollte es doch zu einem europaweiten Verbot von Google Analytics kommen.

 *Hartmut Deiwick ist CEO der Löwenstark Digital Group


Mehr Artikel

News

Public Key Infrastructure: Best Practices für einen erfolgreichen Zertifikats-Widerruf

Um die Sicherheit ihrer Public Key Infrastructure (PKI) aufrecht zu erhalten, müssen PKI-Teams, sobald bei einer Zertifizierungsstelle eine Sicherheitslücke entdeckt worden ist, sämtliche betroffenen Zertifikate widerrufen. Ein wichtiger Vorgang, der zwar nicht regelmäßig, aber doch so häufig auftritt, dass es sich lohnt, PKI-Teams einige Best Practices für einen effektiven und effizienten Zertifikatswiderruf an die Hand zu geben. […]

News

UBIT Security-Talk: Cyberkriminalität wächst unaufhaltsam

Jedes Unternehmen, das IT-Systeme nutzt, ist potenziell gefährdet Opfer von Cyberkriminalität zu werden, denn die Bedrohung und die Anzahl der Hackerangriffe in Österreich nimmt stetig zu. Die Experts Group IT-Security der Wirtschaftskammer Salzburg lädt am 11. November 2024 zum „UBIT Security-Talk Cyber Defense“ ein, um Unternehmen in Salzburg zu unterstützen, sich besser gegen diese Bedrohungen zu wappnen. […]

1 Comment

  1. Es wird Zeit der Datensammelwut OHNE Kenntnisse der User einen Riegel vorzuschieben…Ich als Linux User habe eine recht Grosse Sperrdatei (Mintnanny). In dieser Sperrdatei versuche ich möglichst viele der Analysewerkzeuge – nicht nur von Google-einzutragen. Und ich setlle bei so manchem Seitenaufruf fest, das der Seitenaufbau schneller geht….

    Von Android will ich aber erst garnicht anfangen….Was da an Datenschnüffeleivorsichgeht -aus Kosten der user. ist teilweisle illegal…Daher empfehle ich Jedem Interessierten https://www.kuketz-blog.de/

Leave a Reply

Your email address will not be published.


*