Ist Google Analytics nach der DSGVO rechtswidrig? Was Sie wissen müssen
Von Frankreich bis Finnland haben die Aufsichtsbehörden in der gesamten EU entschieden, dass die Nutzer von Google Analytics gegen das Gesetz verstoßen.
Aber bedeutet dies, dass Google Analytics in der EU illegal ist? Was ist an der Verwendung von Google Analytics nach der DSGVO falsch? Und gibt es eine DSGVO-konforme Möglichkeit, Google Analytics zu konfigurieren?
Das ist kompliziert. Dieser Artikel erklärt alles, was Sie über Google Analytics und die DSGVO wissen müssen.
Die Vorgeschichte: Überwachung, Snowden und Schrems
Warum ist die Verwendung von Google Analytics in der EU ein Problem? In erster Linie wegen der Art und Weise, wie Google personenbezogene Daten aus der EU in die USA überträgt.
Die Geschichte beginnt im Jahr 2013, als Edward Snowden enthüllte, wie Google und andere Technologieunternehmen die Daten von Menschen an US-Geheimdienste weitergeben. Diese Enthüllungen wurden zu einem Problem für US-Unternehmen, die in Europa tätig sind, wo die Menschen ein Grundrecht auf Privatsphäre und Datenschutz haben.
Gemäß der DSGVO (und ihrer Vorgängerin, der Datenschutzrichtlinie) dürfen Unternehmen keine personenbezogenen Daten aus der EU in ein "Drittland" (einschließlich der USA) übermitteln, ohne dass Schutzmaßnahmen vorhanden sind, die eine Überwachung durch ausländische Regierungen verhindern.
Das Problem ist jedoch, dass die in der DSGVO vorgesehenen internationalen Übermittlungsgarantien nicht immer funktionieren. Das bedeutet, dass jeden Tag unzählige illegale Datenübermittlungen stattfinden.
Schrems I und II
In den zehn Jahren nach den Snowden-Enthüllungen hat der Gerichtshof der Europäischen Union (EuGH) die Übermittlung personenbezogener Daten aus der EU in die USA erheblich erschwert.
Die vom österreichischen Datenschutzaktivisten Max Schrems angestoßenen EuGH-Fälle Schrems I" und Schrems II" hatten erhebliche Auswirkungen auf Google und seine Nutzer.
In diesen Fällen wurden zwei Rahmenregelungen für den Datentransfer ("Safe Harbor" und "Privacy Shield") für ungültig erklärt, die Google jeweils für die Übermittlung von Daten aus der EU in die USA nutzte.
Nach Schrems II setzte Google seine Datenübermittlungen über eine andere Schutzmaßnahme, die so genannten Standardvertragsklauseln (SCC), fort (/blog/scc-definiteve-guide). SCCs sind Vertragsklauseln, die Google dazu verpflichten, die personenbezogenen Daten, die es aus der EU importiert, zu schützen.
Aber SCCs sind auch problematisch. Im Rahmen seines Schrems-II-Urteils stellte der EuGH fest, dass SCCs keine Garantie dafür bieten, dass Daten vor der Überwachung durch die US-Regierung sicher sind.
Diese grundlegende Schwachstelle ist der Grund, warum EU-Unternehmen, die Google Analytics nutzen, gegen das Gesetz verstoßen könnten - es gibt keine wirksamen Schutzmaßnahmen, um die Privatsphäre der Nutzer umfassend zu schützen.
Entscheidungen gegen Google Analytics
Einen Monat nach dem Urteil in der Rechtssache Schrems II reichten Max Schrems und seine Kampagnengruppe noyb [101 Beschwerden] (https://noyb.eu/en/101-complaints-eu-us-transfers-filed) über Websites ein, die Google Analytics und das Facebook-Pixel verwenden.
"Das Gericht hat eindeutig festgestellt, dass man die SCCs nicht verwenden kann, wenn der Empfänger in den USA unter diese Massenüberwachungsgesetze fällt", sagte Schrems damals in einer Erklärung. "Es scheint, dass US-Unternehmen immer noch versuchen, ihre EU-Kunden vom Gegenteil zu überzeugen."
Fast 18 Monate später begannen die Datenschutzbehörden in der gesamten EU, auf der Grundlage dieser Beschwerden Entscheidungen zu treffen.
Europäischer Datenschutzbeauftragter
Die [erste Entscheidung] (https://noyb.eu/sites/default/files/2022-01/Case%202020-1013%20-%20EDPS%20Decision_bk.pdf) über Google Analytics kam vom Europäischen Datenschutzbeauftragten (EDSB), der den Datenschutz bei den EU-Institutionen regelt.
Im Januar 2022 wies der EDSB das Europäische Parlament an, die Nutzung von Google Analytics einzustellen, da "keine angemessenen Schutzmaßnahmen gegen die Überwachung durch die USA vorhanden waren ".
Die Regulierungsbehörde wies auch darauf hin, dass in den kommenden Monaten mehrere weitere Entscheidungen zu Google Analytics erwartet werden.
Österreich
Später im Januar 2022 wurde Österreichs DSB die erste nationale Datenschutzbehörde, die ein Unternehmen, das Google Analytics verwendet, sanktioniert.
Die österreichische Datenschutzbehörde stellte fest, dass Google Analytics bestimmte Informationen sammelt, die als "personenbezogene Daten" im Sinne der DSGVO eingestuft werden können. Zu diesen Datenpunkten gehören eindeutige IDs, die Google jedem Nutzer zuweist, die IP-Adresse des Nutzers und Browserinformationen.
Google argumentierte, dass es neben den SCCs auch andere Sicherheitsvorkehrungen getroffen habe, um personenbezogene Daten vor der US-Regierung zu schützen.
Diese "zusätzlichen Maßnahmen" genügten der österreichischen Datenschutzbehörde jedoch nicht. Die Aufsichtsbehörde erklärte, es sei unklar, ob Google den Zugriff auf personenbezogene Daten durch US-Geheimdienste "tatsächlich verhindern oder einschränken" könne, und ordnete an, dass die Website Google Analytics nicht mehr verwenden dürfe.
Frankreich
Im Februar 2022 war Frankreichs CNIL die nächste Datenschutzbehörde, die eine Sanktion für die Verwendung von Google Analytics erließ. Die CNIL erließ zwei andere Google-Analytics-Entscheidungen am selben Tag.
Die französische Datenschutzbehörde stellte außerdem fest, dass Googles zusätzliche Maßnahmen "nicht ausreichen, um die Zugänglichkeit dieser Daten für US-Geheimdienste auszuschließen ".
"Solange Google LLC die Möglichkeit hat, auf die Daten natürlicher Personen im Klartext zuzugreifen, können solche technischen Maßnahmen nicht als wirksam angesehen werden", so die CNIL in ihrer ersten Entscheidung.
Die CNIL wies jeden Website-Betreiber an, die DSGVO einzuhalten - zum Beispiel, indem er Google Analytics nicht einsetzt oder "ein Tool verwendet, das keine Übertragung außerhalb der EU vorsieht ".
Italien
Im Juni 2022 schloss sich die italienische Datenschutzbehörde der Liste der Aufsichtsbehörden an, die die Verwendung von Google Analytics [sanktioniert] (https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9782874#english) haben.
Die italienische Datenschutzbehörde zog ähnliche Schlussfolgerungen wie andere Aufsichtsbehörden in Bezug auf Google Analytics und internationale Übermittlungen.
Die Aufsichtsbehörde hob ferner hervor, dass selbst mit Googles zusätzlichen Kontrollen, wie z. B. der Kürzung der IP-Adresse, die Verwendung von Google Analytics rechtswidrig sei, "da Google in der Lage ist, solche Daten durch zusätzliche Informationen anzureichern, die es besitzt".
Die italienische Entscheidung unterstreicht einen weiteren problematischen Aspekt der Verwendung von Google-Tools.
Google hat eine riesige Menge an persönlichen Daten über Milliarden von Menschen gesammelt. Wenn man dem Unternehmen zusätzliche persönliche Daten zur Verfügung stellt, erhöht sich die Wahrscheinlichkeit, dass Einzelpersonen identifiziert werden können, auch wenn das Risiko noch so gering erscheint.
Finnland
Im Januar 2023 erließ die finnische Datenschutzbehörde als letzte Aufsichtsbehörde eine [Entscheidung] (https://tietosuoja.fi/-/apulaistietosuojavaltuutettu-antoi-huomautuksen-kirjastojen-aineistohakutietojen-valittymisesta-yhdysvaltalaisyritys-googlelle?languageId=en_US) gegen die Verwendung von Google Analytics.
Die Aufsichtsbehörde wies mehrere Bibliotheken an, die Verwendung von Google Analytics auf ihren Websites einzustellen und alle über die Plattform erhobenen personenbezogenen Daten zu löschen.
Die finnische Entscheidung steht im Einklang mit den anderen oben genannten Entscheidungen: Die Verwendung von Google Analytics zur Übermittlung personenbezogener Daten in die USA verstößt gegen die DSGVO.
Andere Datenschutzbehörden
Alle Datenschutzbehörden waren in gewissem Maße an den Entscheidungen zu Google Analytics beteiligt, da die Beschwerden über den Europäischen Datenschutzausschuss (EDPD) behandelt wurden, in dem alle EU-Datenschutzbehörden vertreten sind.
Die [dänische Datenschutzbehörde] (https://www.datatilsynet.dk/english/google-analytics/use-of-google-analytics-for-web-analytics) hat Hinweise veröffentlicht, um Organisationen vor der Verwendung von Google Analytics zu warnen, obwohl sie keine Entscheidung gegen eine bestimmte Organisation erlassen hat, die das Tool verwendet.
Eine Google-Analytics-Beschwerde wurde von der spanischen Datenschutzbehörde abgewiesen. Dies scheint jedoch darauf zurückzuführen zu sein, dass die Website die Verwendung des Tools eingestellt hatte, bevor die Datenschutzbehörde die Entscheidung erließ.
Ist Google Analytics in der EU ungesetzlich?
Warum verbietet die EU Google Analytics nicht einfach ganz?
Mehrere Datenschutzbehörden haben darauf hingewiesen, dass Google Analytics nicht auf legale Weise verwendet werden kann. Die Datenschutzbehörden sind jedoch nicht befugt, europaweite Verbote für die Verwendung bestimmter Produkte auszusprechen.
Die [dänische Datenschutzbehörde] (https://www.datatilsynet.dk/english/google-analytics/use-of-google-analytics-for-web-analytics) hat beispielsweise erklärt, dass Google Analytics "nicht ... rechtmäßig verwendet werden kann ", es sei denn, der Nutzer ergreift zusätzliche Maßnahmen, die über die von Google bereitgestellten hinausgehen.
Unter Bezugnahme auf die internationalen Datenübertragungen, die bei der Verwendung von Google Analytics stattfinden, hat die französische Datenschutzbehörde erklärt, dass sie "diese Übertragungen für illegal hält ".
In einer Pressemitteilung mit dem Titel "Italienische Datenschutzbehörde verbietet Google Analytics " erklärte die Aufsichtsbehörde, sie wolle "alle italienischen Website-Betreiber, sowohl öffentliche als auch private, auf die Rechtswidrigkeit der Datenübertragungen in die USA aufmerksam machen, die sich aus der Verwendung von GA ergeben".
Die EU-Regulierungsbehörden sind der Ansicht, dass es - zumindest bei Verwendung der Google-Einstellungen - unmöglich ist, Google Analytics im Rahmen der DSGVO legal zu nutzen.
Kann Google Analytics jemals DSGVO-konform sein?
Angenommen, es ist illegal, Google Analytics mit den Standardeinstellungen zu verwenden: Können Nutzer die Plattform anpassen, um sie DSGVO-konform zu machen?
Seit der Entscheidung der österreichischen Datenschutzbehörde hat Google Analytics neue Einstellungen hinzugefügt, die den Nutzern mehr Kontrolle über die von dem Tool gesammelten Daten geben. Diese scheinen jedoch die Probleme der Plattform mit der DSGVO nicht zu lösen.
Können Sie Google Analytics so konfigurieren, dass es DSGVO-konform ist?
Unter Verwendung der in der Plattform verfügbaren Einstellungen (denen die Nutzer bei der Anmeldung zugestimmt haben) können Nutzer Google Analytics offenbar nicht so konfigurieren, dass es der DSGVO entspricht.
Die dänische Datenschutzbehörde hat eine [Analyse] (https://www.datatilsynet.dk/english/google-analytics) der Einstellungen von Google vorgelegt. Die Aufsichtsbehörde kam zu dem Schluss, dass auch wenn Google Analytics "so konfiguriert ist, dass so wenig Daten wie möglich erfasst werden", die Verwendung des Tools dennoch gegen die DSGVO verstößt.
Wie bereits erwähnt, können Nutzer Google Analytics so konfigurieren, dass personenbezogene Daten verschlüsselt werden.
Laut der dänischen Datenschutzbehörde stellt Googles Implementierung der Verschlüsselung jedoch keine wirksame zusätzliche technische Maßnahme dar, da die Verschlüsselung von Google in den Vereinigten Staaten durchgeführt wird".
Ist Google Analytics 4 DSGVO-konform?
Google Analytics 4 enthält zusätzliche Einstellungen, von denen Google behauptet, dass sie die Compliance-Probleme der Plattform lösen könnten.
Die dänische Datenschutzbehörde weist jedoch darauf hin, dass aufgrund der Tatsache, dass Google Analytics 4 immer noch einige personenbezogene Daten in die USA überträgt, "gewisse grundlegende Ähnlichkeiten" mit dem Vorgängerprodukt bestehen bleiben und dass es nicht möglich sein wird, die neue Plattform mit den Einstellungen von Google rechtmäßig zu nutzen.
Google Analytics 4 verspricht, IP-Adressen zu verwerfen, nachdem sie verwendet wurden, um den Standort des Nutzers zu bestimmen.
Die dänische Datenschutzbehörde sagt jedoch, dass diese IP-Adressen von Googles US-Servern protokolliert werden könnten, wo sie "mit (anderen) von Google Analytics erfassten Daten abgeglichen werden können".
Können Sie Google Analytics konform machen?
Die Nutzer erklären sich damit einverstanden, Google Analytics gemäß den mit Google vereinbarten Bedingungen auszuführen. Theoretisch wäre es jedoch möglich, Googles eigene Datenschutzmaßnahmen zu ergänzen und die Plattform DSGVO-konform zu nutzen.
Die französische Datenschutzbehörde stellt eine mögliche technische Lösung vor: die Implementierung eines "Reverse Proxy" und die Erfüllung von sieben spezifischen Bedingungen, um sicherzustellen, dass keine personenbezogenen Daten die EU verlassen.
Die Umsetzung dieses zusätzlichen Schutzes könnte jedoch gemäß den Bedingungen von Google riskant sein und die Leistung beeinträchtigen.
Selbst die französische Datenschutzbehörde stellt fest, dass die von ihr vorgeschlagene Lösung "kostspielig und komplex sein kann und möglicherweise nicht immer den operativen Anforderungen von Fachleuten entspricht".
"Um diese Schwierigkeiten zu vermeiden, ist es für Gewerbetreibende auch möglich, eine Lösung zu verwenden, bei der keine personenbezogenen Daten in Länder außerhalb der Europäischen Union übertragen werden", so die französische Datenschutzbehörde.
Alternativen zu Google Analytics
Wie noyb in einer [Pressemitteilung] (https://noyb.eu/en/austrian-dsb-eu-us-data-transfers-google-analytics-illegal) über seine Google Analytics-Beschwerden sagte:
"Obwohl es viele Alternativen gibt, die in Europa gehostet werden oder selbst gehostet werden können, verlassen sich viele Websites auf Google... "
Try Wide Angle Analytics!
Aufgrund der Art und Weise, wie Google Analytics Cookies und andere Tracker verwendet, erfordert das Tool standardmäßig eine Zustimmung. Wir haben auch gesehen, dass die Plattform realistischerweise nicht so konfiguriert werden kann, dass die unrechtmäßige Übermittlung personenbezogener Daten in die USA vermieden wird.
Es gibt viele legale Alternativen zu Google Analytics, die die Privatsphäre respektieren. Lesen Sie unseren Leitfaden zu den besten Google Analytics-Alternativen im Jahr 2023, um mehr zu erfahren.