Im Frühling 2022 haben die Datenschutzbehörden von Österreich (dsb) und Frankreich (CNIL) für Schlagzeilen zu Google Analytics gesorgt. Grund dafür waren ihre Urteile, dass Google Analytics nicht DSGVO-konform sei. Die Unsicherheit in vielen Unternehmen ist gross: Was dürfen wir überhaupt noch? Was müssen wir tun, wenn wir Google Analytics nutzen? Unsere Checkliste hilft Ihnen, Google Analytics datenschutzkonform einzusetzen.
David Rosenthal, ein Experte für Data and Technology Law, hat das Urteil aus Österreich unter die Lupe genommen. Dabei hat er gleich mehrere Punkte identifiziert, die seiner Meinung nach nicht korrekt beurteilt wurden und aus einer technischen Sicht nicht stimmen. Auch andere Quellen bestätigen, dass beim Fall (um den es in Österreich ging) nicht alle technischen Möglichkeiten ausgeschöpft wurden, die für einen DSGVO-konformen Einsatz von Google Analytics notwendig sind. Z.B. gab es keine IP-Anonymisierung und kein Cookie-Consent-Management. David Rosenthal unterstellt der noyb.eu und den Datenschutzbehörden, dass sie im europäischen Wirtschaftsraum (EWR) Website-Betreiber:innen dazu zwingen wollen, auf EWR-basierte Lösungen umzusteigen und auf die Verwendung von Google Analytics zu verzichten – unabhängig davon, wie es implementiert ist. Die Diskussion um den Einsatz von US-Dienstleistern scheint aus David Rosenthals Sicht also zunächst eher politisch motiviert zu sein.
Was genau haben denn die beiden Datenschutzbehörden beurteilt?
Folgende Grafik zeigt, dass sich die Urteile nur auf das Tool «Google Analytics» beschränkt haben. Angenommen die beiden verurteilten Unternehmen (im Beispiel A und B) hätten noch weitere Tools im Einsatz, wären diese vom Urteil nicht betroffen, da sich die Anklage auf den Einsatz von Google Analytics beschränkt. Die Urteile der dsb und CNIL betreffen ausserdem die Konfiguration X und Y aber nicht die Konfiguration Z. Man kann also nicht pauschal sagen, Google Analytics ist nicht DSGVO-konform. Urteile von Datenschutzbehörden aus weiteren Ländern gibt es bis heute noch keine. Es ist also offen, wie andere Länder die unterschiedlichen Konfigurationen beurteilen würden. Und generell offen ist die Frage, wie andere Tools beurteilt würden, da diese bis jetzt noch nicht Teil einer Anklage waren.
Schön und gut, aber da war noch der Punkt mit der Datenhaltung in den Vereinigten Staaten. Seit der Aufhebung des EU-US Privacy Shields im Juli 2020, der den Schutz von personenbezogenen Daten geregelt hat, gibt es keine rechtliche Grundlage mehr, die festhält, wie mit personenbezogenen Daten umgegangen werden muss. Und weil eben die Gesetze in den USA bezüglich Datenschutz nicht so weit gehen wie in der EU, ist der Einsatz von Google Analytics für die österreichische Datenschutzbehörde ein No-Go. Bleibt zu hoffen, dass eine neue Regelung bald geboren wird und damit wieder eine rechtliche Grundlage vorhanden ist.
Kurzer Einschub, die Anklagen bzw. Urteile aus Österreich und Frankreich richten sich gegen Google Analytics. Man darf dabei aber nicht vergessen, sehr viele andere Anbieter funktionieren nach dem genau gleichen Prinzip und speichern ihre Daten ebenfalls in den USA, sprich wären bei einer Anklage also genauso betroffen. Dabei handelt es sich nicht nur um andere Analytics-Tools sondern auch um die Marketing-Pixel von Facebook, Twitter und Co., sowie diverse Cloud-Services (z.B. ein CRM, das in der Cloud gehostet wird und Daten in den USA speichert). Denkt man jetzt über Alternativen zu Google Analytics nach, müsste man das konsequenterweise auch in den anderen Bereichen tun.
Was muss ich beim Einsatz von Google Analytics beachten?
Den Unterschied zwischen einer «legalen» und «illegalen» Nutzung von Google Analytics machen Details bei der Implementierung aus, die für Technik-Laien oder Nicht-Jurist:innen nur schwer verständlich sind. Wir haben die zentralen Punkte in einer Checkliste zusammengefasst, damit Sie Google Analytics datenschutzkonform einsetzen können.
Nutzen Sie Google Analytics datenschutzkonform? Laden Sie die Checkliste herunter.
Inwiefern schränken Sie diese Vorkehrungen bei der Nutzung von Google Analytics ein?
Grundsätzlich kann man bei der Nutzung eines Analytics-Tools zwischen zwei Anwendungsszenarien unterscheiden:
Webplattformen aufgrund des Verhaltens von Benutzer:innen verstehen und optimieren. In diesem Fall nutzen Unternehmen ein Analytics-Tool, um das Nutzungsverhalten auf seinen Webplattformen zu analysieren und die User Experience kontinuierlich zu verbessern.
Daten für Marketingzwecke sammeln und nutzen. Hierfür werden Daten aus dem Analytics-Tool mit Marketing-Plattformen geteilt (z.B. Google Marketing Platform, Google-Ads-Konten, CRM-System). Ein häufig vorkommender Fall ist das Generieren von Audiences auf Basis des Nutzungsverhaltens. Die Audiences werden dann fürs Targeting in Marketing-Kampagnen verwendet.
Im ersten Fall sind durch die Vorkehrungen, die in der Checkliste beschrieben sind, kaum Einschränkungen zu erwarten. Für die Optimierung einer User Journey sind beispielweise keine personenbezogenen Daten notwendig, sondern man schaut sich das Nutzungsverhalten pauschal oder auf Segmente heruntergebrochen an.
Im zweiten Fall werden die Analytics-Daten für Marketingzwecke (Stichwörter: Retargeting, Remarketing, Lead Nurturing, etc.) verwendet. Hier empfehle ich eine genaue Prüfung der Daten und deren Nutzung. Dies sollte von Fall zu Fall individuell angeschaut werden, da die Verwendungszwecke sehr divers sein können. Dies im Übrigen unabhängig davon, ob man Google Analytics oder ein anderes Analytics-Tool zur Datensammlung nutzt!
Empfehlung an Unternehmen, die Google Analytics einsetzen
Erstmal Ruhe bewahren. Die zwei Urteile in Österreich und Frankreich sind zunächst vor allem ein Weckruf, sich mit den Thema Datenschutz noch intensiver auseinanderzusetzen. Einmal mehr zu hinterfragen, welche Daten man eigentlich tatsächlich benötigt, für welche Zwecke diese eingesetzt werden und ob man dafür die Zustimmung benötigt und hat. Sich jetzt direkt mit der Prüfung von alternativen Tools zu befassen, ist meiner Meinung nach zu überstürzt.
Würden wir nämlich konsequent alle Dienste einstellen, welche die von der österreichischen Datenschutzbehörde angekreideten Punkte nicht erfüllen, müssten wir auf sehr viele in Websites eingebundene Dienste verzichten und müssten Abstriche machen, die Wettbewerbsnachteile mit sich bringen. Und warum würde ein Unternehmen nur Google Analytics entfernen und an anderen Stellen trotzdem dem Risiko ausgesetzt bleiben? Viel eher sollte man alles dafür tun, Daten sparsam zu sammeln und diesbezüglich transparent zu sein. Beginnen Sie betreffend Google Analytics mit unserer Checkliste und nehmen Sie die notwendigen Anpassungen an Ihrem Setup vor. Wir unterstützen Sie in diesem Prozess gerne.
Quellen:
Wer den Artikel von David Rosenthal im Detail studieren möchte – voilà: https://www.vischer.com/en/knowledge/blog/how-to-legally-use-google-analytics-in-europe-39512/
Disclaimer:
Ich bin keine Rechtsexpertin, und die Informationen in diesem Artikel sind daher auch nicht rechtsverbindlich.
Wir sind da für Sie!
Sie möchten Ihr nächstes Projekt mit uns besprechen? Gerne tauschen wir uns mit Ihnen aus.
Kontakt für Ihre digitale Lösung mit Unic
Sie möchten Ihre digitalen Aufgaben mit uns besprechen? Gerne tauschen wir uns mit Ihnen aus.
