Ist Google Analytics DSGVO-konform?

Kurze Antwort: Es ist kompliziert.

Die dänische Datenschutzbehörde (DPA) hat kürzlich Missverständnisse über die Legalität von Google Analytics in der EU klargestellt, nach irreführenden Berichten in den Medien. Die Verwirrung entstand aus dem Fall "Schrems II" des Gerichtshofs der Europäischen Union (EuGH) im Juli 2020, der die meisten Übertragungen personenbezogener Daten aus dem Europäischen Wirtschaftsraum (EWR) in die USA unter der Allgemeinen Datenschutzverordnung (DSGVO) für illegal erklärte. Dies führte zu zahlreichen Beschwerden der Datenschutzgruppe "noyb", die europäische Unternehmen der Verletzung der DSGVO durch die Nutzung von Google Analytics und Meta Pixel beschuldigte. Infolgedessen stellten mehrere Regulierungsbehörden der EU fest, dass die Nutzung von Google Analytics illegal ist.

Der Kern des Problems drehte sich darum, ob Google Analytics den DSGVO-Regeln für internationale Datenübertragungen entspricht. Wenn eine Website oder App Google Analytics verwendet, werden personenbezogene Daten von Besuchern an Googles Server in den USA gesendet. Nach dem Urteil Schrems II wurden solche Übertragungen weitgehend als illegal angesehen. Die EU-Regulierungsbehörden verboten Google Analytics jedoch nicht direkt, sondern betonten, dass es nicht legal verwendet werden könne, ohne zusätzliche Sicherheitsvorkehrungen. Die französische DPA schlug beispielsweise vor, einen Proxy-Server zu verwenden, um direkte Datenübertragungen in die USA zu umgehen.

Im Juli 2023 nahm die Europäische Kommission eine neue Angemessenheitsentscheidung an, das EU-US-Datenschutzrahmenabkommen (DPF), das legale personenbezogene Datenübertragungen an US-Unternehmen, einschließlich Google, ermöglicht. Dieser Rahmen ist Teil der laufenden Bemühungen, Datenübertragungen unter Wahrung der Datenschutzgesetze zu erleichtern, obwohl seine Dauerhaftigkeit aufgrund potenzieller rechtlicher Herausforderungen unsicher ist. Dennoch macht das DPF die Verwendung von Google Analytics zur Übertragung personenbezogener Daten aus dem EWR an Google nicht mehr per se illegal.

Trotz dieser Entwicklung umfasst die DSGVO mehr als nur Datenübertragungen. Sie bezieht sich auf alle Aspekte der Verarbeitung personenbezogener Daten und wirft zusätzliche Bedenken für Nutzer von Google Analytics auf. Fragen wie die rechtliche Grundlage für die Verarbeitung personenbezogener Daten, Datenverarbeitungsvereinbarungen, gemeinsame Verantwortlichkeiten zwischen Datenverantwortlichen und -verarbeitern sowie die Rechte der betroffenen Personen bleiben relevant. Unternehmen, die Google Analytics verwenden, müssen beispielsweise eine klare rechtliche Grundlage, wie die Zustimmung, haben und die Einhaltung der DSGVO in ihren Datenverarbeitungsvereinbarungen mit Google sicherstellen.

Während das neue EU-US-DPF einige rechtliche Probleme im Zusammenhang mit transatlantischen Datenübertragungen gemildert hat, erfordert die Verwendung von Google Analytics in der EU weiterhin eine sorgfältige Berücksichtigung verschiedener DSGVO-Anforderungen. Unternehmen müssen die Notwendigkeit und Art der personenbezogenen Daten, die sie über Google Analytics sammeln, bewerten, sicherstellen, dass sie eine legitime rechtliche Grundlage für die Verarbeitung solcher Daten haben und bereit sein, die Rechte der betroffenen Personen zu adressieren. Darüber hinaus bedeutet die Möglichkeit zukünftiger rechtlicher Herausforderungen für das DPF, dass Organisationen wachsam und anpassungsfähig bleiben müssen, um eine fortlaufende Einhaltung der EU-Datenschutzgesetze zu gewährleisten.

Sie möchten mehr erfahren? Lesen Sie unsere ausführliche Analyse.

---

Angesichts dieser anhaltenden rechtlichen Komplexitäten und Unsicherheiten im Zusammenhang mit Google Analytics könnten Unternehmen, die in der EU tätig sind, in Erwägung ziehen, DSGVO-konforme, in der EU ansässige Analyse-Lösungen wie Wide Angle Analytics zu übernehmen. Diese Alternativen sind speziell darauf ausgerichtet, den strengen Datenschutzstandards der DSGVO zu entsprechen und bieten einen sichereren und konformeren Ansatz für Datenanalysen.

Durch die Verwendung von Wide Angle Analytics können Unternehmen sicherstellen, dass ihre Datenanalysepraktiken den EU-Vorschriften entsprechen, das Risiko rechtlicher Herausforderungen minimieren und das Vertrauen ihrer Nutzerbasis durch die Priorisierung von Datenschutz und Datensicherheit aufrechterhalten. Die in der EU ansässigen Lösungen bieten oft den zusätzlichen Vorteil, Daten innerhalb der EU zu halten, was die Einhaltung weiter vereinfacht und eine praktikable, langfristige Alternative zu herkömmlichen Analysewerkzeugen darstellt, die in Europa rechtlich geprüft werden.