Ein bahnbrechendes Urteil der Österreichischen Datenschutzbehörde DSB erklärte Anfang 2022 GoogleAnalytics für nicht DSGVO-konform. Doch: Was soll an einem Statistik-Werkzeug illegal sein?

Max Schrems, der umtriebige österreichische Datenschutzaktivist, der schon das "Safe Harbour"-Abkommen und die Folgeregelung "Privacy-Shield" zu Fall brachte, erstritt erneut ein bahnbrechendes Urteil vor der Österreichischen Datenschutzbehörde DSB, das für nahezu alle Website-Betreiber in der EU Handlungsbedarf nach sich zieht: GoogleAnalytics wurde für nicht DSGVO-konform erklärt.

Inzwischen hat auch die französische Datenschutzbehörde ein vergleichbares Urteil erlassen und auch aus den Niederlanden hört man Ähnliches. Da es sich um EU-Recht handelt, genügt bereits die Entscheidung eines einzigen Landes - sie hat Gültigkeit für die gesamte EU!

Kurz nach diesen Urteilen veranstaltete die nö. Wirtschaftskammer ein hochkarätig besetztes Webinar zum Thema. Und bestätigte: nicht nur GoogleAnalytics, der Einsatz ALLER US-Tools verstösst gegen die DSGVO!

"Wieso darf Google ein illegales Werkzeug überhaupt anbieten?", hört man inzwischen oft. Doch diese Frage ist falsch gestellt, dann natürlich ist GoogleAnalytics selbst nicht illegal, sondern dessen Einsatz unter bestimmten rechtlichen und technischen Rahmenbedingungen.

Wo liegt das Problem genau?

Durch Einbinden des GoogleAnalytics-Skripts in eine Website werden nicht nur anonyme statistische Daten erhoben. "Im Hintergrund" fließen zahlreiche Daten an Google (und Dritte), die den Websitebesucher wiedererkennbar, "identifizierbar" machen, um ihm aufgrund dieser Kenntnisse zielgerichtet personalisierte Werbung präsentieren zu können - was das eigentliche Geschäftsmodell hinter all den so freigiebig angebotenen Google-Services ist.

  1. Unter diesen, mittels Cookies erhobenen Daten sind die IP-Adresse und andere Daten, anhand derer Google den PC und damit letztlich den Besucher selbst eindeutig identifizieren kann (und dies selbst dann, wenn die "IP-Anonymisierung" aktiviert ist, wie bei allen Kundenwebsites von interact!multimedia). Damit sind das "personenbezogene Daten" und daher fällt diese Datenverarbeitung unter die DSGVO.
  2. Die erhobenen Daten werden an Google übertragen - und Google ist ein Unternehmen mit Sitz in den USA. Es unterliegt daher US-Gesetzen, darunter dem sog. CloudAct, der das Unternehmen zwingt, seine zB. mit GoogleAnalytics erhobenen Daten jederzeit an US-Behörden (darunter auch US-Geheimdienste) herausgeben zu müssen. Dies auch dann, wenn Google argumentiert, die Daten würden auf Servern in der EU verarbeitet - es zählt der Unternehmessitz, welchem Gesetz man unterliegt. Dies kommt einer anlasslosen Massenüberwachung aller Internetnutzer gleich - und das ist nicht zulässig.
  3. Da in den USA (mit Ausnahme von Kalifornien) kein annähernd zur DSGVO vergleichbares Datenschutzrecht existiert, haben die Besucher von Websites, auf denen GoogleAnalytics eingesetzt wird, keine Möglichkeit, sich gegen diese Datenweitergabe zu wehren oder deren Löschung zu verlangen. Die DSGVO verbietet genau das: das Übertragen personenbezogener Daten nach außerhalb der EU, wo kein durchsetzbares Datenschutzrecht herrscht.
  4. Zudem gibt Google die erhobenen Daten an zahllose, nicht transparent gemachte Dritte (andere Unternehmen...) weiter, tw. werden diese auch verkauft. Die Betroffenen haben keine Möglichkeit, zu erfahren, wer die Daten erhält, noch können sie sich dagegen wehren. Auch das verstößt gegen die DSGVO.
  5. Die ungeliebten Cookiebanner versuchen, europäische Internetnutzer vor diesen Verstössen zu schützen. Klicken sie jedoch auf "Alle zulassen" (oder gibt es gar keine Möglichkeit, abzulehnen, wie dies noch immer auf zahlreichen Websites der Fall ist), findet die Datenübermittlung trotzdem statt. Da die Werbsitebetreiber aber selbst nicht wissen, an wen aller GoogleAnalytics die Daten ihrer Besucher weitergibt, ist selbst die so eingeholte Zustimmung der Besucher nicht ausreichend und daher ungültig.

Auch Google selbst kann daran wenig ändern, denn das eigentliche Problem sind die äußerst mangelhaften Datenschutzgesetze in den USA. Google könnte allenfalls Analytics so verändern, dass keine personenbezogenen Daten mehr verarbeitet werden - für die reinen Statistikfunktionen sind diese natürlich nicht notwendig. Doch würde Google damit sein lukratives Geschäftsmodell verlieren, den Internetnutzern personalisierte Werbung zuzuspielen. Weder damit, noch mit einer echten Änderung der US-Gesetzeslage ist in nächster Zeit zu rechnen, ganz im Gegenteil scheinen sich EU und USA in ihren neuen Verhandlungen wieder auf eine zahnlose Regelung einigen zu wollen....

Was ist nun zu tun?

Im Grunde gibt es fünf Möglichkeiten:

  1. GoogleAnalytics wird einfach wie bisher weiter betrieben. Hier ist tatsächlich zu befürchten, dass man, zwar nicht gleich, aber doch früher oder später vor Gericht landen könnte. Bei einem Strafrahmen von 2 Millionen Euro oder 4% des Jahresumsatzes ein relativ riskantes Vorgehen.
  2. GoogleAnalytics wird in der neuen Version "GoogleAnalytics 4"  verwendet, das laut Google "datenschutzfreundlicher" sei. Worin diese Datenschutzfreundlichkeit besteht, außer dass keine Cookies mehr zur Datenverarbeitung eingesetzt werden, bleibt jedoch verborgen. IP-Adressen und User-Fingerprints werden weiterhin übertragen - und DAS sind ja die eigentlichen Probleme. Trotz relativ hohem Umstellungsaufwand wird das eigentliche Problem dadurch nicht gelöst, die Folgen sind wie bei Möglichkeit 1.
  3. GoogleAnalytics wird ersatzlos deaktivert. Man verliert dann jegliche Kenntnis über Zustand und Nutzung einer Website, welche Besucherquellen die meisten Umsätze oder welche "Kanäle" die meisten Besucher oder Newsletterabonnenten bringen. Suchmaschinenoptimierungs- und andere Online-Marketingmaßnahmen sind nicht mehr analysier- und steuerbar, sogar Angriffe auf die Website könnten unentdeckt bleiben. So ein Blindflug ohne Webanalyse ist keinesfalls empfehlenswert.
  4. GoogleAnalytics wird technisch umgebaut, sodass es keine personenbezogenen Daten mehr in die USA überträgt. Das ist prinzipiell möglich ("serverside tracking"), aber technisch aufwändig und daher nur mit darauf spezialisierte Dienstleister machbar. Die laufenden(!) Kosten betragen meist ab € 500.- monatlich(!). Für Websites ohne ausgeprägtes datengetriebenes Geschäftsmodell keine sinnvolle und leistbare Option...
  5. GoogleAnalytics wird durch eine Alternative ersetzt, die NUR anonymisierte und nicht-personenbezogene Daten erhebt, diese immer innerhalb der EU verarbeitet und sie an niemanden weitergibt. Dabei soll ihr Funktionsumfang möglichst ähnlich GoogleAnalytics und natürlich möglichst kostengünstig sein. Dies halten wir für die die derzeit vernünftigste Lösung.

interact!multimedia entwickelt gerade genau diese Alternative für die Kunden! Basis wird die europäische Open-Source-Webanalytik-Plattform "Matomo" (ehemals "Piwik") sein. Damit ein Maximum an Datenschutz gewährleistet werden kann, betreiben wir diesen Service für alle unsere Kunden dann auf einem eigenen Server bei unserem Partner-Hoster in Wien und nicht auf einem Cloud-Server. So gehören diese Daten nur unseren Kunden selbst, sie werden an niemanden weitergegeben und sie verlassen niemals Österreich bzw. die EU. Wir können diesen Service so auch deutlich günstiger realisieren.

Wenn auch Sie an einer datschutzfreundlichen Webtracking-Lösung interessiert sind:

Kontaktieren Sie uns!