Datenschutz

Nota Bene: Einsatz von Google Analytics

Aktualisiert am

1) Information der österreichischen Datenschutzbehörde zur Entscheidung über die Verwendung von Google Analytics

Die Datenschutzbehörde hat sich im Rahmen eines Beschwerdeverfahrens mit der Vereinbarkeit von Google Analytics und der Datenschutz-Grundverordnung (DSGVO) befasst. Bei Google Analytics handelt es sich um ein Google-Tool, mit dem Betreiber einer Website detaillierte Berichte über das Nutzerverhalten von Website-Besuchern erstellen können.

Beim Aufruf einer Website, die Google Analytics verwendet, wird dem Browser des Besuchers eine Google Analytics Kennnummer zugeordnet. Besucher können anhand dieser Kennnummer individualisiert und unterschiedlich behandelt werden. Zusätzlich besteht die Möglichkeit, diese Kennnummer mit weiteren Informationen zu kombinieren, wie etwa mit der IP-Adresse oder gewissen Browserdaten. Durch diese Kombination entsteht ein einzigartiger digitaler Fußabdruck, der dem Benutzer des Browsers zugeordnet werden kann. Wenn ein Besucher während des Aufrufs einer solchen Website in sein Google Konto eingeloggt ist, kann die Information über den Websitebesuch auch dem jeweiligen Google Konto zugeordnet werden.

Im Beschwerdeverfahren wurde festgestellt, dass dieser digitale Fußabdruck auch an die Server von Google LLC mit Sitz in den USA übermittelt wurde. Der Betreiber der Website und Google LLC haben Standarddatenschutzklauseln (in der Fassung des Durchführungsbeschlusses der Europäischen Kommission 2010/87/EU vom 5. Februar 2010) abgeschlossen. Ausgehend von der Rechtsprechung des Gerichtshofs der Europäischen Union in C‑311/18 („Schrems II“) wurde diese Datenübermittlung als unzulässig beurteilt, weil kein angemessenes Schutzniveau für die übermittelten personenbezogenen Daten, wie gemäß Artikel 44 DSGVO gefordert, gegeben war. Die zusätzlich zu den Standarddatenschutzklauseln implementierten Maßnahmen waren aus Sicht der Datenschutzbehörde nicht effektiv, da diese die seitens des EuGH aufgezeigten Überwachungs- und Zugriffsmöglichkeiten durch US-Nachrichtendienste nicht beseitigt haben.

Die österreichische Datenschutzbehörde hat daher mit Bescheid festgestellt, dass Website-Betreiber das Tool Google Analytics (jedenfalls auf Grundlage des im Bescheid festgestellten Sachverhalts) nicht in Einklang mit der DSGVO einsetzen können.  (Quelle: https://www.dsb.at)

 

2) e-recht24: Tipps und Lösungsvorschläge

Das Wichtigste zusammengefasst:

  • Wenn Sie Google Analytics rechtsicher nutzen möchten, holen Sie die Einwilligung Ihrer Nutzer ein.
  • Aktivieren Sie in Google Universal Analytics oder älteren Versionen die Funktion "anonymize IP", damit nur noch verkürzte IP-Adressen Ihrer Besucher gespeichert werden.
  • Wählen Sie möglichst datenschutzfreundliche Einstellungen in Google Analytics – deaktivieren Sie alle Funktionen, die Sie nicht benötigen.
  • Ermöglichen Sie Ihren Nutzern, dem Tracking Ihrer Daten zu widersprechen, nachdem sie eine Einwilligung erteilt haben.

Viele Websitebetreiber nutzen nicht ausschließlich die aktuelle Version Google Analytics 4, sondern auch ältere Versionen wie Google Universal Analytics (GA3).

Das Problem: Das alte Universal Analytics (GA3) erfüllt nicht die Auflagen der Datenschutzbehörden hinsichtlich DSGVO und Datenschutz. Da die Version durch Google ohnehin ab Juni 2023 abgeschaltet wird, sollten Sie bereits jetzt auf GA4 umstellen, falls Sie die alte Version nutzen und weiterhin bei Google Analytics bleiben möchten.

Was sagen die deutschen Datenschutzbehörden dazu?
Nach den Entscheidungen anderer europäischer Aufsichtsbehörden wird erwartet, dass die deutsche Datenschutzbehörde eine ähnliche Entscheidung treffen wird. Schon in den letzten Jahren positionierten sich die deutschen Aufsichtsbehörden immer eindeutiger gegen den Einsatz von Google Analytics.

2019 gaben die deutschen Datenschutzbehörden in einen „Rundumschlag“ 14 Pressemitteilungen zum Thema „Cookies, Tracking Tools und Einwilligungen“ heraus. Jedes der 16 Bundesländer (bis auf Mecklenburg-Vorpommern und Baden-Württemberg) in einer eigenen Mitteilung und mit anderen und teilweise abweichenden Argumenten. Die Grundaussage war aber bei allen gleich: Dienste, die wie Google Analytics die Daten von Webseitenbesuchern auswerten und nutzen, sind nur noch mit Einwilligung erlaubt. Egal ob mit oder ohne Cookies.

Der aktuelle Stand 2022
All den oben genannten Fällen liegt jedoch eine alte Rechts- und Sachlage zugrunde – denn sie beruht auf Entscheidungen aus dem Jahr 2020. Folgende Punkte haben sich mittlerweile geändert:

  • Neue Standardvertragsklauseln der EU-Kommission
  • IP-Kürzung in der EU
  • Trans-Atlantic Data Privacy Framework (ab 1. Quartal 2023)
  • Mit den 2021 veröffentlichten neuen Standardvertragsklauseln können sich US-Unternehmen verpflichten, die Rechte und die personenbezogenen Daten von EU-Bürgern zu schützen. Auch Google hat darauf reagiert und die neuen Standardvertragsklauseln in die eigenen AGB aufgenommen.

Laut Google werden zudem ab der aktuellen Google Analytics Version (GA4) die IP-Adressen nicht mehr auf US-Servern, sondern auf EU-Servern gekürzt. Das war ein wesentlicher Punkt, den die Datenschützer bei der Verwendung von Google Analytics kritisierten. Da das mit GA3 nicht möglich ist, sollten Seitenbetreiber auf die aktuelle Version umstellen. Ohnehin wird GA3 ab Mitte 2023 eingestellt.

Mit dem „Trans-Atlantic Data Privacy Framework“ soll zudem der Datenschutz von EU-Bürgern in den USA verbessert werden, insbesondere wenn personenbezogene Nutzerdaten von der EU in die USA übertragen werden. Geplant ist das für das 1. Quartal 2023.

Soll ich Google Analytics jetzt überhaupt noch verwenden?

Grundsätzlich ist es für Website-Betreiber auch weiterhin nicht verboten, Dienste wie Google Analytics zu verwenden – selbst, wenn diese umstritten sind. Sonst würde das im Umkehrschluss bedeuten, dass Sie im Internet überhaupt keine US-Dienste mehr verwenden dürften – einschließlich Microsoft, Google Maps etc. Was Sie aber als Websitebetreiber tun müssen: Bestimmte technische Maßnahmen ergreifen, um den Google Analytics-Datenschutz auf Websites zu erhöhen.

Möchten Sie Google Analytics weiterverwenden, sollten Sie zunächst auf die aktuelle Version GA4 umstellen. Verzichten Sie darauf, weiterhin Universal Analytics (GA3) zu nutzen – denn das lässt sich kaum datenschutzkonform einsetzen.

 

Quellenhinweis: Der Inhalt des Abschnitts "Tipps & Lösungsvorschläge" stammt von e-recht24, bzw. kann der vollständige Inhalt hier nachgelesen werden!

Ähnliche Beiträge

Neue Phishing-Masche mit Adobe InDesign

Google Fonts

Google Fonts – Stellungnahme der österreichischen Datenschutzbehörde

Bedrohungen und Gefahren durch Malware, Ransomware, Spyware, Trojaner und Viren

Datenschutzerklärung per Link anzeigen oder durch einen Klick „nachweislich“ akzeptieren lassen?

Viren waren gestern – Moderne Bedrohungen heißen Malware oder Ransomware

Spitzenwertung für Emsisoft in „Advanced in the Wild“-Malware-Test