Ist Google Analytics jetzt in der EU legal? Nicht unbedingt...
Die dänische Datenschutzbehörde (DPA) hat eine Pressemitteilung als Reaktion auf einige irreführende Nachrichtenberichte über Google Analytics herausgegeben.
"In letzter Zeit haben mehrere Medien geschrieben, dass Google Analytics laut der (dänischen DPA) wieder legal geworden ist", heißt es in einer Übersetzung der Erklärung der dänischen DPA.
"Jedoch hat die Datenschutzbehörde nicht entschieden, ob Google Analytics legal ist", fährt die Erklärung fort.
Also ist Google Analytics jetzt in der EU legal? War es jemals illegal? Was hat sich geändert? Lassen Sie uns die Verwirrung klären.
Wie kam es zu dieser Verwirrung um Google Analytics?
Einige Veröffentlichungen haben in den letzten Jahren vereinfachte Behauptungen über den Status von Google Analytics in der EU und dem weiteren Europäischen Wirtschaftsraum (EWR) gemacht.
Das Problem begann nach dem Fall "Schrems II" am Gerichtshof der Europäischen Union (EuGH) im Juli 2020.
Nach dem Urteil des EuGH im Fall Schrems II wurden die meisten Übertragungen personenbezogener Daten vom Europäischen Wirtschaftsraum (EWR) in die USA unter der Allgemeinen Datenschutzverordnung (DSGVO) illegal.
Eine Datenschutzgruppe namens "noyb" (None of Your Business) reichte 101 Beschwerden ein und beschuldigte europäische Unternehmen der Verletzung der DSGVO durch die Nutzung der beliebten Tracking-Tools Google Analytics und Meta Pixel.
Seitdem haben Regulierungsbehörden in EU-Ländern - einschließlich Österreich, Frankreich, Italien, Dänemark, Finnland, Norwegen und Schweden - festgestellt, dass Website-Betreiber das Gesetz durch die Nutzung von Google Analytics gebrochen haben.
Was geschah in den Entscheidungen zu Google Analytics?
Diese europäischen Regulierungsbehörden untersuchten ob Google Analytics gegen die DSGVO-Regeln zu "internationalen Datentransfers" verstößt.
Einfach ausgedrückt, tritt ein internationaler Datentransfer auf, wenn eine Organisation im EWR personenbezogene Daten mit einer Organisation außerhalb des EWR teilt.
Wenn ein Website- oder App-Betreiber Google Analytics verwendet, sammeln sie verschiedene persönliche Daten von Besuchern. Diese Daten werden an Google gesendet und können auf Googles US-Servern analysiert werden.
Ist es illegal, personenbezogene Daten außerhalb des EWR zu übertragen?
Nein, ein internationaler Datentransfer ist unter bestimmten Bedingungen unter der DSGVO erlaubt:
- Wenn der Empfänger in einem Land ist, das eine "Angemessenheitsentscheidung" von der Europäischen Kommission erhalten hat, oder
- Wenn die Parteien Sicherheitsmaßnahmen eingerichtet haben, um die persönlichen Daten zu schützen.
Wie bemerkt, wurden die meisten Übertragungen persönlicher Daten in die USA nach dem "Schrems II-Fall" im Juli 2020 illegal, was 1. Die Angemessenheitsentscheidung der USA für ungültig erklärte und 2. Feststellte, dass die meisten Sicherheitsmaßnahmen für Datentransfers in die USA ineffektiv waren.
Das bedeutete, dass **
jedes Unternehmen, das vollständig untersucht wurde, weil es Google Analytics nutzte, als gesetzeswidrig befunden wurde**.
Hier ist ein Beispiel aus Schwedens jüngstem Fall gegen das Telekommunikationsunternehmen Tele2, eines von vier schwedischen Unternehmen, die letzten Monat für die Nutzung von Google Analytics sanktioniert wurden:
Die schwedische DPA sagt, dass Tele2 Artikel 44 der DSGVO verletzt hat, der die allgemeine Regel enthält, dass internationale Datentransfers nur unter bestimmten Bedingungen erlaubt sind:
Für diese Verletzung des GDPR erhielt Tele2 eine Geldstrafe von 1 Million Euro.
War also Google Analytics in der EU illegal?
Zum Zeitpunkt dieser DPA-Entscheidungen war es praktisch unmöglich, Google Analytics legal im EWR zu verwenden.
Aber die Regulierungsbehörden haben Google Analytics nicht verboten und waren generell vorsichtig, wenn sie ihre Ansichten über das Tool äußerten.
Zum Beispiel, sehen Sie sich diese September 2022 Erklärung der dänischen DPA an:
Die DPA sagte, dass dänische Unternehmen "das Tool in seiner aktuellen Form nicht verwenden können, ohne zusätzliche Maßnahmen zu ergreifen". Allerdings stellte der Regulierer auch fest, dass die von Google bereitgestellten Standardeinstellungen es nicht ermöglichten, das Tool rechtmäßig zu verwenden.
Die französische DPA schlug sogar eine komplizierte Methode vor, Google Analytics zu modifizieren, indem ein Proxy-Server verwendet wurde, um die Übertragung persönlicher Daten in die USA zu vermeiden (während sie zugab, dass der Prozess "kostspielig und komplex" sein könnte).
Ist Google Analytics jetzt also im EWR legal?
Wiederum, es ist kompliziert.
Im Juli 2023 hat die Europäische Kommission eine neue "Angemessenheitsentscheidung" in Bezug auf die USA verabschiedet.
Unternehmen im EWR können jetzt legal personenbezogene Daten an Unternehmen übertragen, die sich für den EU-US-Datenschutzrahmen (DPF) angemeldet haben - einschließlich Google.
Aber die dänische DPA weist darauf hin, dass es eine Vereinfachung ist zu sagen, dass Google Analytics jetzt "legal" ist.
Aber löst das EU-US-DPF das Problem des Datenübertragungs von Google Analytics?
Ja, dank des DPF ist die Verwendung von Google Analytics zur Übertragung personenbezogener Daten aus dem EWR an Google an sich nicht mehr illegal - vorerst.
Das DPF ist der dritte Versuch eines Datenübertragungsrahmens der Europäischen Kommission und der US-Regierung.
Die vorherigen beiden US-Angemessenheitsbeschlüsse wurden vom EuGH für ungültig erklärt (weshalb Google Analytics fast drei Jahre lang gegen die DSGVO verstoßen hat…).
Max Schrems, der die Fälle anführte, die zu den beiden vorherigen US-Angemessenheitsentscheidungen führten. Und er plant, auch das EU-US-DPF vor Gericht anzufechten.
Die Legalität der Datenübertragung über Google Analytics könnte also nur ein paar Jahre anhalten.
Und wie die dänische Datenschutzbehörde anmerkt, kann man Google Analytics auch auf andere Weise illegal verwenden. Die DSGVO umfasst alle Verarbeitungen personenbezogener Daten - nicht nur Datenübertragungen.
Try Wide Angle Analytics!
Aber sammelt Google Analytics personenbezogene Daten?
Ja, oder besser gesagt, Nutzer von Google Analytics sammeln personenbezogene Daten.
Google Analytics erfasst Informationen wie IP-Adressen und Angaben zum Browser, Gerät und zur Website-Aktivität des Besuchers.
Solche Informationen sind nicht immer personenbezogene Daten. Aber Informationen sind personenbezogene Daten, wenn sie zur Identifizierung einer Person verwendet werden, wie es bei Google Analytics der Fall ist.
Aber anonymisiert Google Analytics nicht IP-Adressen?
Nutzer von Google Analytics können einen Teil der IP-Adresse eines Besuchers löschen, bevor Google sie erhält.
Aber die Aktivierung dieser Einstellung bedeutet nicht unbedingt, dass keine personenbezogenen Daten gesammelt werden - eine "anonymisierte" IP-Adresse kann personenbezogene Daten sein, wenn sie mit anderen Informationen kombiniert wird.
Hier erklärt die schwedische Datenschutzbehörde dies im Tele2-Beschluss:
Wenn selbst ein Teil der IP-Adresse in Verbindung mit anderen Daten zur Identifizierung einer Person verwendet wird, dann handelt es sich um personenbezogene Daten, die von der DSGVO abgedeckt werden.
Was sind einige der anderen DSGVO-Bedenken bezüglich Google Analytics?
Die dänische Datenschutzbehörde weist darauf hin, dass es viele andere rechtliche Probleme gibt, die man vor der Verwendung von Google Analytics berücksichtigen muss.
Die dänische Datenschutzbehörde erwähnt „unter anderem“:
- Rechtsgrundlage
- Datenverarbeitungsvereinbarung
- Geteilte Verantwortlichkeiten
- Rechte der betroffenen Personen
Betrachten wir, wie jedes dieser DSGVO-Konzepte auf Google Analytics angewendet wird.
Rechtsgrundlage für Google Analytics
Die DSGVO fordert von „Datenverantwortlichen“ (dazu gehört jedes Unternehmen, das Google Analytics verwendet), eine „Rechtsgrundlage“ für die Verarbeitung personenbezogener Daten.
Es gibt sechs Rechtsgrundlagen unter der DSGVO, darunter:
- Einwilligung: Sie haben die informierte, eindeutige, freiwillig gegebene Erlaubnis einer Person, personenbezogene Daten zu verarbeiten.
- Vertrag: Sie müssen personenbezogene Daten verarbeiten, um Ihre vertraglichen Verpflichtungen zu erfüllen.
- Berechtigte Interessen: Sie können personenbezogene Daten im Interesse Ihres eigenen Unternehmens unter bestimmten Bedingungen verarbeiten, solange Ihre Interessen nicht durch die Rechte und Freiheiten der Menschen übertroffen werden.
Aufgrund der Interaktion der DSGVO mit einem anderen Gesetz, der ePrivacy-Richtlinie, ist es gut etabliert, dass **Google Analytics die Zustimmung er
fordert**. Das bedeutet "echte" Zustimmung: Keine "dark patterns" sind unter der DSGVO erlaubt.
Datenverarbeitungsvereinbarung von Google Analytics
Unter der DSGVO können Sie einen „Auftragsverarbeiter“ beauftragen, personenbezogene Daten in Ihrem Auftrag zu verarbeiten. Aber Sie müssen eine „Datenverarbeitungsvereinbarung“ haben, um sicherzustellen, dass der Verarbeiter Ihren Anweisungen und der DSGVO im Allgemeinen folgt.
Wenn Sie Google Analytics verwenden, ist Google Ihr Auftragsverarbeiter—für einige Daten, in einigen Kontexten.
Google hat eine standardisierte Datenverarbeitungsvereinbarung. Aber als Datenverantwortlicher liegt es in Ihrer Verantwortung, sicherzustellen, dass die Vereinbarung der DSGVO entspricht.
Geteilte Verantwortlichkeiten mit Google
Die dänische Datenschutzbehörde erwähnt „geteilte Verantwortlichkeiten“ unter der DSGVO.
Wenn Google als Ihr Auftragsverarbeiter handelt, sind Sie für alles, was Google mit den Daten macht, die Sie über Google Analytics teilen (vorausgesetzt, Google hält sich an die Datenverarbeitungsvereinbarung), haftbar. Diese Verantwortlichkeiten werden nicht mit Google geteilt - sie liegen bei Ihnen.
Aber Google agiert auch als separater Verantwortlicher—und möglicherweise als „gemeinsamer Verantwortlicher“—in anderen Kontexten.
Damit Google personenbezogene Daten, die über Google Analytics gesammelt wurden, für eigene Zwecke verwenden kann (Google Analytics ist schließlich kostenlos…), können Benutzer die „Measurement Controller-Controller Data Protection Terms“ des Unternehmens eingehen.
„Das bedeutet, Google kann auf die Analytics-Daten, die Kunden mit uns teilen, zugreifen und sie analysieren, um das Online-Verhalten und Trends besser zu verstehen und unsere Produkte und Dienstleistungen zu verbessern“, sagt Google.
Aber laut einer deutschen Gerichtsentscheidung von 2020, ist Google auch in einer „gemeinsamen Verantwortlichen“-Beziehung mit seinen Nutzern.
Diese Entscheidung (die ausgesetzt wurde, bis ein Berufungsverfahren anhängig ist) könnte große Auswirkungen auf Google Analytics-Nutzer haben.
Gemeinsame Verantwortliche müssen festlegen, welche Aspekte der DSGVO-Einhaltung von welchem Verantwortlichen durchgeführt werden. Wenn festgestellt wird, dass Google Analytics „gemeinsame Verantwortliche“ mit Google sind, könnte das Fehlen einer solchen Vereinbarung ein bedeutendes Problem für beide Parteien darstellen.
Rechte der betroffenen Personen
Da Google Analytics personenbezogene Daten sammelt, müssen Sie die Rechte der betroffenen Personen gemäß der DSGVO in Bezug auf diese Daten einhalten.
Wenn eine Person Ihre Website besucht und Sie über Google Analytics ihre personenbezogenen Daten erfassen, hat sie das Recht, unter anderem zu verlangen, dass Sie eine Kopie der Daten bereitstellen oder die Daten löschen.
Für die meisten Unternehmen ist es relativ unwahrscheinlich, eine Anfrage zu den Rechten der betroffenen Personen in Bezug auf Google Analytics-Daten zu erhalten. Aber Sie müssen auf diese Möglichkeit vorbereitet sein und die Rechte der Menschen in Ihrer Datenschutzerklärung erklären.
Fazit: Es gibt immer noch DSGVO-Bedenken bezüglich Google Analytics
Die jüngsten Fortschritte bei den EU-US-Datenübertragungen bedeuten, dass es nicht mehr illegal ist, personenbezogene Daten in die USA zu übertragen.
Aber wie die dänische Datenschutzbehörde anzeigt, müssen Sie viele andere Aspekte der DSGVO berücksichtigen, bevor Sie Google Analytics verwenden, einschließlich:
- Welche Arten personenbezogener Daten beabsichtigen Sie, über Google Analytics zu sammeln?
- Verwenden Sie Google Analytics, um unnötige personenbezogene Daten zu sammeln?
- Haben Sie eine Rechtsgrundlage für die Verwendung von Google Analytics?
- Haben Sie die obligatorischen Vereinbarungen mit Google überprüft?
- Sind Sie darauf vorbereitet, die Rechte der betroffenen Personen in Bezug auf Google Analytics-Daten zu unterstützen?
- Haben Sie einen Notfallplan, falls das EU-US-DPF für ungültig erklärt wird?