Die Tracking-Tools von Big Tech: Google Analytics und das Meta-Pixel
Mit Tools wie Google Analytics und dem Meta Pixel können Unternehmen verfolgen, wie Menschen ihre Websites nutzen, und gezielt verhaltensorientierte Werbung schalten.
Aber diese Produkte liefern den US-Tech-Giganten auch jeden Tag persönliche Daten über Millionen von Menschen. Aus diesem Grund gehen die Aufsichtsbehörden in der EU und darüber hinaus hart gegen die Verwendung der "kostenlosen" Tracking-Technologie von Google und Meta vor.
In diesem Artikel wird erklärt, warum einige der rechtlichen Probleme im Zusammenhang mit Google Analytics und dem Meta Pixel gelöst sind (vorerst), aber auch einige andere Fallstricke für den Datenschutz, die für die Analyse- und Marketing-Tools von Big Tech immer noch relevant sind.
1. Das Problem der Datenübertragung ist (vorerst) gelöst
Im September 2022 veröffentlichte die dänische Datenschutzbehörde eine Pressemitteilung über Google Analytics.
"Die Datenschutzgrundverordnung soll die Privatsphäre der europäischen Bürger schützen. Das bedeutet unter anderem, dass Sie in der Lage sein sollten, eine Website zu besuchen, ohne dass Ihre Daten in den falschen Händen landen", sagte ein Rechtsberater der DPA.
Wir haben die möglichen Einstellungen von Google Analytics sorgfältig geprüft und sind zu dem Schluss gekommen, dass das Tool in seiner derzeitigen Form nicht ohne zusätzliche Maßnahmen genutzt werden kann."
Seit Januar 2022 haben die Aufsichtsbehörden in Österreich, Dänemark, Finnland, Frankreich, Italien, Norwegen und Schweden eine Vielzahl von Website-Betreibern wegen der Installation der Tracking-Tools von Google und Meta verwarnt, sanktioniert und manchmal mit Geldstrafen belegt.
Die meisten dieser Fälle konzentrierten sich jedoch auf die Datenübermittlung in die USA - ein Problem, das vor kurzem (aber vielleicht nur vorübergehend) gelöst wurde.
Google und Meta gegen Max Schrems
Die meisten der jüngsten Fälle von Online-Tracking in der EU betrafen internationale Datenübermittlungen.
Wir werden uns nicht weiter mit dem Thema befassen - lesen Sie Is Google Analytics Illegal Under the GDPR?, um einen detaillierten Einblick in das Thema zu erhalten.
Kurz gesagt: Bei der Übermittlung personenbezogener Daten in Länder außerhalb des Europäischen Wirtschaftsraums (EWR) müssen Sie gemäß der DSGVO sicherstellen, dass die Daten ein im Wesentlichen gleichwertiges" Schutzniveau erhalten wie in der EU.
In der Entscheidung des Gerichtshofs der Europäischen Union (EuGH) vom Juli 2020 Schrems II wurde festgestellt, dass die Übermittlung personenbezogener Daten in die USA im Allgemeinen nicht diesem strengen Standard entspricht.
Das Gericht stellte fest, dass die USA nicht über einen ausreichend starken Menschenrechtsrahmen verfügen und dass Personen, die von US-Strafverfolgungsbehörden überwacht werden, kein wirksames Verfahren haben, um Verletzungen ihrer Privatsphäre anzufechten.
Der Beschwerdeführer in diesem bahnbrechenden Fall, der Datenschutzaktivist Max Schrems, reichte 101 Folgebeschwerden über Websites ein, die Google Analytics und das Meta Pixel unter Verstoß gegen die Datenübertragungsregeln der Datenschutz-Grundverordnung verwenden.
Diese 101 Beschwerden sind der Grund dafür, dass sich so viele Fälle von Google Analytics und Meta Pixel auf die Datenübermittlung konzentriert haben.
Die Beschwerden von Schrems waren fast alle erfolgreich. In allen Fällen stellten die Datenschutzbehörden fest, dass die mit diesen Produkten erhobenen personenbezogenen Daten ohne angemessenen Schutz in die USA übermittelt wurden.
The EU-US Data Privacy Framework
Das Problem der Datenübermittlung in die USA ist mit der Annahme des EU-US-Datenschutzrahmens (EU-US DPF) vorerst gelöst.
Europäische Organisationen können rechtmäßig personenbezogene Daten an Unternehmen übermitteln, die im Rahmen der EU-US-DSGVO selbst zertifiziert sind, auch wenn sie Google Analytics und den Meta Pixel verwenden.
Allerdings könnte die EU-US-DSGVO nicht ewig gelten.
Max Schrems hat die beiden Vorgänger der EU-US-DSGVO, "Privacy Shield" und "Safe Harbor", zu Fall gebracht und hofft, das Gleiche auch mit dem neuen Rahmenwerk zu erreichen.
Ein weiterer Verfechter des Schutzes der Privatsphäre, der französische Politiker Phillippe Latombe (der auch für die französische Datenschutzbehörde arbeitet), hat bereits eine Klage gegen die EU-US-DSGVO im Wege der EU-Nichtigkeitsklage eingereicht.
Sollte der neue Rahmen scheitern, könnte die Übermittlung personenbezogener Daten an Google und Meta erneut illegal werden. Unternehmen, die diese Tools nutzen, müssen diese Ungewissheit akzeptieren, bis der EuGH in dieser Frage entschieden hat.
Im Moment ist die Datenübermittlung bei der Verwendung von Google Analytics und Meta Pixel jedoch kein Problem. Aber, wie wir sehen werden, gibt es andere potenzielle Fallstricke im Zusammenhang mit diesen Produkten.
2. Das Problem war schon immer größer als die Datenübertragungen
Das Problem der Datenübermittlung ist also gelöst, oder zumindest auf Eis gelegt. Aber die Aufsichtsbehörden haben Google Analytics- oder Meta-Pixel-Nutzer bereits vor dem Schrems-II-Fall bestraft - und tun dies auch weiterhin, selbst nachdem die EU-US-DSGVO verabschiedet wurde.
Hier sind drei Beispiele für Google- und Meta-Tracking-Fälle, bei denen es nicht um Datenübertragungen geht.
Dänischer Datenschutzbeauftragter: Oktober 2023
Am 6. Oktober gab die dänische Datenschutzbehörde bekannt, dass sie eine Firma für Gartengeräte bei der Polizei angezeigt hat, weil sie angeblich unrechtmäßig personenbezogene Daten gesammelt und mit Google und Meta geteilt hat.
Im ersten Fall, der nicht mit der Weitergabe von Google Analytics oder Meta Pixel zusammenhängt, seit die EU-US-DSGVO in Kraft getreten ist, empfahl die Datenschutzbehörde dem Unternehmen, Texas Andreas Petersen, eine Geldstrafe in Höhe von 20.000 DKK (rund 2.682 Euro).
(Übrigens ist es in Dänemark üblich, Verstöße gegen die DSGVO der Polizei zu melden, wenn eine Geldstrafe empfohlen wird).
Das Bußgeld der dänischen Datenschutzbehörde gegen Texas Andreas Peterson besteht aus zwei Elementen: Erhebung personenbezogener Daten und Weitergabe personenbezogener Daten - in beiden Fällen ohne rechtliche Grundlage.
In ihrem Leitfaden für 2020, Verarbeitung personenbezogener Daten über Website-Besucher (auf Dänisch), stellt die Datenschutzbehörde fest, dass Tracking-Tools IP-Adressen, Geräte-IDs, Geräte-Fingerabdrücke und Informationen über den Browserverlauf eines Nutzers erfassen können.
"Eine einzelne Information an sich" stellt vielleicht keine personenbezogenen Daten dar. Aber wenn Sie "eine Vielzahl von Informationen" sammeln, verarbeiten Sie wahrscheinlich persönliche Daten.
Die Verarbeitung personenbezogener Daten nach der DSGVO erfordert immer eine "Rechtsgrundlage" - etwas, das Texas Andreas Peterson angeblich nicht hatte.
Beachten Sie, dass Google Analytics so konfiguriert werden kann, dass es unterschiedliche Mengen an personenbezogenen Daten erfasst. Das Unternehmen erklärt, dass Google Analytics 4 (GA4) "keine IP-Adressen protokolliert oder speichert".
Aber "Verarbeitung" bedeutet mehr als nur "Erfassen und Speichern ". Auch das Sammeln und Löschen personenbezogener Daten ist immer noch eine Art von "Verarbeitung", und das Sammeln personenbezogener Daten über Cookies erfordert in der Regel eine Einwilligung.
Spanisch DPA: November 2020
Im November 2020 untersuchte die spanische Datenschutzbehörde Vorwürfe, dass der spanische Opferverband (bekannt als "JAVA") illegal Aufnahmen auf seiner Website veröffentlicht hatte. Während ihrer Untersuchung besuchte die DPA die Website von JAVA und stellte fest, dass sie Google Analytics einsetzte.
Die spanische Datenschutzbehörde stellte fest, dass auf der Website von JAVA die Cookies _ga`, _gat und _gid gesetzt wurden, die alle mit Google Analytics verbunden sind.
JAVA hatte ein Cookie-Banner - wie es bei der Verwendung von Google Analytics immer erforderlich ist -, hatte aber keine Schaltfläche "Alle ablehnen" hinzugefügt. Daher entschied die Datenschutzbehörde, dass das Unternehmen persönliche Daten ohne angemessene Rechtsgrundlage mit Google austauschte.
Die kombinierten Datenschutzverstöße brachten JAVA eine Geldstrafe in Höhe von 8.000 Euro ein.
Französisch DPA: November 2020
Die Verwendung von Google Analytics war eines der Themen in einer weitreichenden Entscheidung der französischen Datenschutzbehörde gegen den Supermarkt Carrefour.
Die französische Datenschutzbehörde stellte fest, dass Carrefour es versäumt hatte, vor dem Setzen von Google Analytics-Cookies auf den Geräten seiner Website-Besucher eine Zustimmung einzuholen.
Insbesondere stellte die Datenschutzbehörde fest, dass es "unbestritten" sei, dass Google-Analytics-Cookies "mit (anderen) Daten abgeglichen werden können ", um Nutzer in verschiedenen Kontexten zu identifizieren. Der in die Privatsphäre eingreifende Charakter dieser Datenverarbeitung war ein Faktor bei der Entscheidung über die Sanktionierung des Unternehmens.
Die französische Datenschutzbehörde verhängte eine Geldstrafe in Höhe von 2,25 Millionen Euro gegen Carrefour (die nicht einvernehmliche Nutzung von Google Analytics war nur einer von mehreren Rechtsverstößen).
3. Das Problem erstreckt sich über Europa hinaus
Auch außerhalb des strengen EU-Datenschutzes nehmen die Aufsichtsbehörden die Nutzung der Tracking-Tools von Big Tech ins Visier.
In den USA gibt es kein allgemein anwendbares Datenschutzgesetz auf Bundesebene. Dennoch sehen sich US-Unternehmen mit Durchsetzungsmaßnahmen konfrontiert, weil sie Google Analytics und den Meta Pixel verwenden.
FTC-Durchsetzung
Das ganze Jahr 2023 hindurch ist die Federal Trade Commission (FTC) auf einem Amoklauf in Sachen Datenschutz. Cookies und Pixel haben für diese zunehmend aktive Bundesbehörde höchste Priorität.
Trotz ihrer begrenzten und etwas veralteten rechtlichen Befugnisse hat die FTC Verfahren gegen mehrere Unternehmen eingeleitet, die beschuldigt werden, sensible Daten mit Google und Meta zu teilen.
In einem Blogbeitrag vom März mit dem Titel Lurking Beneath the Surface: Hidden Impacts of Pixel Tracking hebt die FTC zwei ihrer Durchsetzungsmaßnahmen aus dem Jahr 2023 hervor - gegen den Ferntherapie-Anbieter BetterHelp und den Arzneimittel-Discounter GoodRX.
Obwohl beide Unternehmen im Gesundheitssektor tätig sind, fällt keines von ihnen unter das wichtigste amerikanische Gesetz zum Schutz der Privatsphäre im Gesundheitswesen, den Health Insurance Portability and Accountability Act (HIPAA).
Die FTC verfolgte jedoch die Tracking-Aktivitäten dieser und anderer Unternehmen nach anderen Gesetzen, nämlich dem FTC Act (einem Verbraucherschutzgesetz) und der Health Breach Notification Rule.
Die FTC sagt, dass Gesundheitsunternehmen, die Pixel und Cookies ohne Zustimmung verwenden, eine Sicherheitsverletzung " ermöglichen könnten - ein Zeichen dafür, wie ernst die Aufsichtsbehörde das Online-Tracking nimmt.
HIPAA-Brief
Unternehmen, die unter das Gesetz zum Schutz der Privatsphäre im Gesundheitswesen (HIPAA) fallen, sind bei der Weitergabe von "geschützten Gesundheitsinformationen" (PHI) eingeschränkt.
In der Vergangenheit betrachteten die Behörden PHI als die Krankenakten der Menschen sowie "offensichtliche" Identifikatoren wie Namen und Kontaktdaten der Patienten. Diese enge Sichtweise von Gesundheitsinformationen ändert sich jedoch.
Im Juli sandte die HIPAA-Behörde, das Office for Civil Rights (OCR), ein Schreiben an 130 Gesundheitsdienstleister, in dem sie auf die Risiken und Bedenken im Zusammenhang mit "Technologien wie dem Meta/Facebook-Pixel und Google Analytics" hinweist.
Das Schreiben, das gemeinsam mit der FTC verfasst wurde, erinnert die Gesundheitsdienstleister daran, dass "HIPAA-regulierte Einrichtungen keine Tracking-Technologien in einer Weise verwenden dürfen, die zu einer unzulässigen Offenlegung von PHI gegenüber Dritten führen würde".
Das OCR hat seit Ende 2022 auf die Risiken der Tracking-Tools von Google und Meta hingewiesen.
Ein strengeres regulatorisches Umfeld hat einige Unternehmen wie den Ferntherapie-Anbieter Cerebral dazu veranlasst, ihre Kunden proaktiv über HIPAA-Verletzungen aufgrund der Verwendung von Google Analytics und Meta Pixel zu informieren.
Und in einer Sammelklage gegen Meta vom August 2022 wird behauptet, dass rund 633 Krankenhäuser die Tracking-Tools des Social-Media-Riesen unter Verstoß gegen den HIPAA verwenden.
4. Der Einsatz aufdringlicher Tracking-Tools kann Ruf und Vertrauen schädigen
Wir haben gesehen, dass sich viele Behörden darauf konzentrieren, die Verwendung von aufdringlichen Tracking-Tools zu regulieren. Die meisten Websites, die Google Analytics und den Meta-Pixel einsetzen, werden jedoch nicht mit Durchsetzungsmaßnahmen konfrontiert.
Doch selbst dort, wo diese Tools legal eingesetzt werden, werden sich die Öffentlichkeit und die Medien der inhärenten Datenschutzrisiken bewusst.
NHS-Meta-Tracking-Skandal
Im Mai veröffentlichte der Guardian eine Untersuchung über eine "Datenpanne" im britischen Nationalen Gesundheitsdienst (NHS). Die Zeitung enthüllte, dass das Meta Pixel auf den Websites von 20 NHS Trusts installiert war.
Der Guardian wies auf den sensiblen Charakter der Webseiten hin, auf denen der Tracker installiert war und die Themen wie HIV, Selbstverletzung und "beunruhigendes Sexualverhalten" behandelten.
Der NHS teilte Daten über die Interaktionen der Nutzer mit diesen Websites mit Facebook, zusammen mit den IP-Adressen der Besucher und in einigen Fällen auch mit ihren Facebook-IDs.
Das Pixel war auf einigen dieser Seiten bereits seit mehreren Jahren vorhanden, was bedeutet, dass wahrscheinlich Daten über Millionen von Menschen in Gefahr waren.
Polizei-Überwachungsskandal
Zwei Monate nach der Veröffentlichung der NHS-Untersuchung berichtete der Guardian darüber, wie britische Polizeikräfte den Meta Pixel auf hochsensiblen Webseiten installiert hatten.
Die Geschichte enthüllte, dass Facebook Details von Personen erhielt, die ein Formular ausgefüllt hatten, um "sicher und vertraulich Vergewaltigung oder sexuelle Übergriffe zu melden".
Eine Polizeibehörde erklärte, sie habe den Zählpixel-Code zunächst auf ihren Einstellungsseiten installiert. Die Polizei beabsichtigte, das Tool zu nutzen, um Personen auf Facebook wieder anzusprechen, die ihre Bewerbungen auf der Website der Polizei aufgegeben hatten.
Als ob diese beabsichtigte Verwendung des Meta-Pixels nicht schon unheimlich genug wäre, verbreitete sich die Tracking-Technologie irgendwie auf Seiten, auf denen Tracking zweifellos unangebracht (und wahrscheinlich illegal) ist.
Der Guardian-Artikel zitiert den Datenschutzforscher Mark Richards, der die Verwendung von Pixeln in diesem Zusammenhang damit vergleicht, "jemanden zu bitten, ein Verbrechen anzuzeigen, während ein Fremder im Raum ist".
Big Tech's Tracking Tools: Der Anfang vom Ende?
Während sich Einzelpersonen, Aufsichtsbehörden und Gesetzgeber auf den Online-Datenschutz konzentrieren, haben große Technologieunternehmen versucht, ihre Produkte als harmlos und nicht aufdringlich darzustellen.
Und da das Problem des Datentransfers zwischen der EU und den USA zumindest vorübergehend gelöst ist, sind Tools wie Google Analytics und das Meta Pixel gemäß der Datenschutz-Grundverordnung nicht mehr grundsätzlich illegal.
Aber es besteht immer noch Rechtsunsicherheit bei der Weitergabe so vieler persönlicher Daten an die Tech-Giganten. Viele Unternehmen setzen diese Tools rechtswidrig ein - oder nutzen sie auf eine Weise, die hochsensible Daten über schutzbedürftige Personen offenlegen könnte.
- Europäische Regulierungsbehörden gehen weiterhin gegen Unternehmen vor, die illegale Tracking-Tools einsetzen.
- US-Regulierungsbehörden sind zunehmend bestrebt, Unternehmen zu bestrafen, die diese Tools in sensiblen Bereichen einsetzen.
- Die Öffentlichkeit scheint unzufrieden damit zu sein, dass so viele ihrer persönlichen Daten ohne ihre Zustimmung an Google und Meta weitergegeben werden.
Verantwortungsbewusste Unternehmen sollten daher vermeiden, sich zu sehr auf die Tracking-Produkte von Big Tech zu verlassen.