In einem (nicht rechtskräftigen) Bescheid hat die Datenschutzbehörde festgemacht, dass Website-Betreiber Google Analytics nicht in Einklang mit der DSGVO einsetzen können. Laut e-dialog ist die Nutzung auch weiterhin möglich – vorausgesetzt, man fährt »ein fundiertes Konzept und eine saubere Implementierung«. [...]
Die Entscheidung der österreichischen Datenschutzbehörde (DSB) auf eine Musterbeschwerde von noyb hat viel Staub aufgewirbelt. Die zentrale Aussage: Die Nutzung von Google Analytics verstößt gegen die DSGVO. »Beim Aufruf einer Website, die Google Analytics verwendet, wird dem Browser des Besuchers eine Google Analytics Kennnummer zugeordnet«, so der Wortlaut der DSB-Entscheidung. »Besucher können anhand dieser Kennnummer individualisiert und unterschiedlich behandelt werden. Zusätzlich besteht die Möglichkeit, diese Kennnummer mit weiteren Informationen zu kombinieren, wie etwa mit der IP-Adresse oder gewissen Browserdaten. Durch diese Kombination entsteht ein einzigartiger digitaler Fußabdruck, der dem Benutzer des Browsers zugeordnet werden kann. Wenn ein Besucher während des Aufrufs einer solchen Website in sein Google Konto eingeloggt ist, kann die Information über den Websitebesuch auch dem jeweiligen Google Konto zugeordnet werden.«
Und: »Im Beschwerdeverfahren wurde festgestellt, dass dieser digitale Fußabdruck auch an die Server von Google LLC mit Sitz in den USA übermittelt wurde. Der Betreiber der Website und Google LLC haben Standarddatenschutzklauseln … abgeschlossen. Ausgehend von der Rechtsprechung des Gerichtshofs der Europäischen Union in C‑311/18 (›Schrems II‹) wurde diese Datenübermittlung als unzulässig beurteilt, weil kein angemessenes Schutzniveau für die übermittelten personenbezogenen Daten, wie gemäß Artikel 44 DSGVO gefordert, gegeben war. Die zusätzlich zu den Standarddatenschutzklauseln implementierten Maßnahmen waren aus Sicht der Datenschutzbehörde nicht effektiv, da diese die seitens des EuGH aufgezeigten Überwachungs- und Zugriffsmöglichkeiten durch US-Nachrichtendienste nicht beseitigt haben.« Bedeutet das, dass Google Analytics nicht mehr genutzt werden darf?
Die Antwort von e-dialog
»Hier wurden tatsächlich Mängel nachgewiesen, wodurch die Nutzung von Google Analytics nicht rechtskonform lief. Mit einem fundierten Konzept und einer sauberen Implementierung lassen sich solche Fehler vermeiden«, erklärt Kristina Niederer, Head of Digital Analytics bei e-dialog. »Ein simpler Anbieterwechsel ist hier nicht die Lösung«, ergänzt Siegfried Stepke, Gründer und Gechäftsführer von e-dialog, »denn Google Analytics ist mittlerweile der zentrale Daten-Hub im Datadriven Marketing und unersetzbar zur Aktivierung von Daten via Targeting und Personalisierung.«
Rechtskonforme Nutzung von Digital Analytics Tools laut e-dialog
Die Antwort von e-dialog ist klar: »Der Einsatz von Google Analytics ist weiterhin und auch datenschutzkonform möglich – aber dafür müssen einige Schritte beachtet werden.« Diese sind:
- 1. Erfüllen der rechtlichen Rahmenbedingungen durch das Akzeptieren der »Data Processing Terms for all Google Products« (DPAs) in den Settings von Google Analytics und der entsprechende Hinweis in den Datenschutzbestimmungen der Website auf eine mögliche Datenübermittlung in Drittstaaten.
- 2. Bedacht auf rechtskonforme Einholung der Einwilligung von Websitebesuchern – also bevor Google Analytics feuert. Wie eine Consent Management Platform (CMP) diesen Prozess erleichtern kann, hat Sandra Wojciechowska in einem Whitepaper (https://www.e-dialog.at/wissen/consent-management/) dargestellt.
- 3. Mit den Privacy Settings im Setup von Google Analytics sicherstellen, dass keine personenbezogenen Daten (PIIs) einfließen. e-dialog empfiehlt die Nutzung von Features wie der IP-Anonymization, unterstützt Unternehmen aber auch mit detaillierten Google Analytics Audits auf Personenbezug und der optimalen Analytics-Implementierung.
- 4. Serverside Tracking ist nicht nur eine geeignete Lösung, um die Lebensdauer von 1st-Party Cookies zu erhöhen und so manchen Tracking-Blocker zu umgehen, sondern bietet auch Möglichkeiten zu kontrollieren, welche Daten in welcher Form an Google Analytics übertragen werden. Soweit die Empfehlungen von e-dialog.
Ausblick
»Die Reichweite dieser Entscheidung ist deutlich größer«, so Stepke weiter. »Einerseits sind noch zahlreiche Beschwerden von noyb anhängig und werden die Datenschutzbehörden noch länger beschäftigen. Es ist anzunehmen, dass die Entscheidungen in anderen EU-Ländern ähnlich ausfallen werden. Auch betrifft die Thematik nicht nur Google Analytics, sondern praktisch jegliche digitale Plattform. Andererseits stehen mit dem Digital Services Act und dem Digital Markets Act weitere große Reglements vor der Beschlussfassung. Diese sollen digitale Dienste und vor allem deren Umgang mit Daten – insbesondere durch große amerikanische Unternehmen – regulieren. Die Branche hofft auf praxisnahe Regulierungen. Hier ist unserer Ansicht nach die Politik gefragt, durch klare Gesetze das Standing der heimischen Unternehmen zu unterstützen und nicht ihnen und NGOs den Kampf gegen internationale Großkonzerne aufzubürden«, stellt Siegfried Stepke die Chance der digitalpolitischen Zukunft dar.
Be the first to comment