Im Sommer 2020 wurde das EU-US Privacy Shield vom Europäischen Gerichtshof (EuGH) gekippt. Dies hatte grosse Auswirkungen auf einige US-Dienste, darunter auch Google Analytics. Ersten Entscheidungen zufolge ist der Einsatz des Tools in der EU rechtswidrig. Das Problem? Es werden die allgemeinen Grundsätze der Datenübermittlung in ein Drittland verletzt, denn Google Analytics sendet persönliche Informationen von Nutzern an die Google-Zentrale in den USA. Die grösste Kritik, welche die Datenschützer hierbei ausüben, besteht darin, dass Google IP-Adressen übertrage und in den eigenen Datenschutzbestimmungen zu wenig darüber aufkläre, welche Daten überhaupt gespeichert werden. Laut DSGVO ist das kein ausreichendes Datenschutzniveau.
Die Gespräche rund um das Thema "Google Analytics und DSGVO" sind und bleiben interessant. Während den Diskussionen stellt sich natürlich auch die Frage "Was wäre, wenn Google Analytics in der EU tatsächlich verboten werden würde, da es nicht datenschutzkonform einsetzbar ist?" Die Antwort darauf: Chaos.
Google Analytics hat einen Marktanteil von über 80%, somit wären 4 von 5 Web-Analytics-Nutzer betroffen. Aber nicht nur europäische Webseitenbetreiber würde es schwer treffen, auch US-Unternehmen würden darunter leiden. EU-Betreiber müssten zu einem Analysetool wechseln, welches ihre Server in der EU hat und US-Unternehmen würden ganz Europa als Absatzmarkt verlieren. Die Wahrscheinlichkeit, dass dieser Fall eintritt, ist jedoch sehr gering. Ende März 2022 machten die USA und die EU erste Schritte in Richtung eines neuen transatlantischen Datenschutzabkommens, dem sogennanten "Trans-Atlantic Data Privacy Framework" oder auch "Privacy Shield 2.0". Dadurch soll ein sicherer und geschützter Datenverkehr zwischen der EU und der USA erneut gewährleistet werden.
Seit Ende März gibt es grosse Neuigkeiten in Sachen "Google Analytics und DSGVO". In einer gemeinsamen Mitteilung berichteten die USA und die EU gemeinsam über das neue Datenschutzabkommen, namens "Trans-Atlantic Data Privacy Framework" (TADPF). Dieses befindet sich erst in der Startphase, sollte aber in naher Zukunft in Kraft treten. Laut der Kommission soll es ein "neues Regelwerk und verbindliche Garantien” enthalten. Dadurch werden die persönlichen Daten von EU-Bürgern vor dem Zugriff von US-Geheimdiensten geschützt, mit Aussnahme es handelt sich um den Schutz der nationalen Sicherheit. Dafür wird ein neues zweistufiges Rechtsbehelfssystem eingeführt, welches auch ein spezielles Gericht umfassen wird. Ausserdem soll es laut Kommission strengere Auflagen für US-Unternehmen geben, die Daten von EU-Bürgern verarbeiten. Darüber hinaus hat man sich auch auf "spezifische Überwachungs- und Überprüfungsmechanismen" geeinigt.
Die Reaktionen rund um das neue Data Privacy Framework gehen in sehr unterschiedliche Richtungen. In der Politik findet die neue Datenschutzbestimmung grossteils Zustimmung. Man sieht es als "dauerhafte Grundlage" für einen sicheren Datenverkehr zwischen der EU und der USA. Von der Unternehmerseite hört man jedoch noch keine 100%-ige Zufriedenheit. Rebekka Weiß vom Digitalverband Bitkom meint, dass die politischen Entscheidungen "nur der dringend notwendige erste Schritt" seien. Unternehmen bräuchten "rasch Rechtssicherheit, damit die bestehende Datenblockade endlich aufgelöst werden kann". Laut US-Regierung sei man momentan damit beschäftigt, die Vereinbarungen in die nötigen Rechtsdokumente umzusetzen.
Der österreichische Datenschutzaktivist und Jurist Max Schrems, der bereits im Rahmen von "Schrems I" und "Schrems II" die beiden vorherigen Datenschutzabkommen zu Fall brachte, sieht das neue Urteil kritisch. "Wir hatten bereits 2015 ein rein politisches Abkommen, das keine Rechtsgrundlage hatte. Nach allem, was man hört, könnten wir das gleiche Spiel jetzt ein drittes Mal spielen", äussert er sich dazu. Man werde den finalen Text "gründlich analysieren und es nötigenfalls anfechten", so Schrems. Er selbst geht davon aus, dass dieses Urteil erneut vor dem Europäischen Gerichtshof verhandelt werden wird.
Nicht nur Google Analytics leidet unter der Absetzung des Privacy Shields. Auch viele andere US-Tools sind betroffen - ganz egal ob es sich um eine Marketing-Automation-Lösung, einen Mailanbieter oder einen Analysedienst handelt. Der Europäischen Datenschutzbeauftragte (EDSB) hat in einer entsprechenden Mitteilung klargestellt, dass selbst die Platzierung eines Cookies durch einen US-Anbieter einen Verstoss gegen die DSGVO darstellen würde. Cookies sind Datenpakete, die von Webbrowsern und Internetseiten erzeugt werden, um individuelle Nutzerdaten zu speichern. Daneben verkündete die belgische Datenschutzaufsichtsbehörde, dass "das System, mit dem Werbetreibende im Internet Einwilligungen für Targeted Advertising (= zielgerichtete Werbung) einsammeln, nicht den Grundsätzen von Rechtmässigkeit und Fairness entsprechen." Dies wurde vom Interactive Advertising Bureau (IAB) inzwischen auch bestätigt.
Konkret gab es folgende Fälle:
Am 16. März 2022 teilte Google die Antwort auf das "Schrems II"-Urteil mit. Diese lautet: “Google Analytics 4”. In einer offiziellen Pressemitteilung heisst es, dass Google Analytics 4 "unter der Berücksichtigung des Datenschutzes entwickelt wurde, um sowohl Kunden als auch deren Nutzern ein besseres Erlebnis zu bieten. Es soll Unternehmen dabei helfen, den sich entwickelnden Bedürfnissen und Nutzererwartungen gerecht zu werden, mit umfassenderen und detaillierteren Kontrollen für die Datenerfassung und -nutzung."
Die wichtigste Änderung aus Sicht des EU-Datenschutzes, ist, dass standardmässig eine automatische Anonymisierung der IP-Adressen schon bei der Erfassung der Daten durchgeführt wird. Diese Anonymisierung ist zwingend vorgegeben und kann nicht ausgeschaltet werden. Allerdings ist dadurch trotzdem eine Identifizierung der betreffenden Website-Nutzer nicht vollständig ausgeschlossen. Es besteht nämlich weiterhin die Möglichkeit, dass einzelne Informationen, die von Google Analytics 4 zu einem bestimmten Pseudonym gesammelt werden, verknüpft werden können. Dadurch können Rückschlüsse auf die Identität der einzelnen Benutzer und deren Verhalten auf Webseiten gezogen werden und sogar auf anderen Webseiten wiedererkannt werden.
Es bleibt deshalb noch offen, ob die Änderungen durch Google Analytics 4 die Bedenken der EU-Datenschutzbehörden hinsichtlich der Einhaltung der DSGVO ausräumen wird oder nicht.
Es gibt natürlich Alternativen, wenn man die Nutzung von Google Analytics umgehen möchte. Die beliebtesten sind hierbei Matomo und Piwik Pro. Beide Lösungen sind Open Source und bieten datenschutzkonformes Datentracking an. Sie zählen beide zu den besten Alternativen zu Google Analytics, man sollte sich aber auf jeden Fall auch den Nachteilen bewusst werden:
Ein Nachteil, der bis auf Weiteres nicht umgangen werden kann, ist der Einsatz von Remarketing. Das ist eine Methode, gezielte Werbung für Personen zu schalten, die die Unternehmens-Website bereits besucht oder eine bestimmte Aktion durchgeführt haben. Die Datenschutzstelle Liechtenstein geht jedoch davon aus, dass Kampagnen-Tracking bzw. Remarketing in Zukunft kaum mehr möglich sein wird, da die individuellen Online-Kennungen nicht mehr vorhanden sind.
Auch andere Plattformen und Tools, wie zum Beispiel Facebook Pixel oder der Linkedin Insight Tag, können laut aktueller DSGVO-Rechtssprechung nicht konform eingesetzt werden. Wir empfehlen deshalb, eine Risikoanalyse durchführen zu lassen, und auf Basis dieser eine Entscheidung zum Thema zu treffen.
Wer nicht auf die Funktionen von Google Analytics verzichten möchte, kann folgende Schritte durchführen:
Mit der Umsetzung all dieser Schritte ist jedoch keine vollständig DSGVO-konforme Nutzung gewährleistet. Dies ist nur ein vorläufiger Schritt in Richtung Konformität und besser, als das Thema gänzlich zu ignorieren. Wir können hierbei nur nochmals empfehlen, eine Risikoanalyse durchführen zu lassen, bevor man einen falschen (und möglicherweise nicht rechtskonformen) Weg einschlägt.