Finger weg von Google Analytics?

Dürfen Sie das beliebte Tool Google Analytics unter der EU-Datenschutz-Grundverordnung (DSGVO) eigentlich noch auf Ihrer Website nutzen? In letzter Zeit haben sich mehrere Datenschutz-Aufsichtsbehörden in der EU ablehnend dazu geäußert. Sie kritisieren insbesondere die Übertragung personenbezogener Daten in die USA – aus europäischer Sicht ein unsicheres Drittland.

Dr. Evelyne Sørensen, LL.M.,  activeMind.legal Rechtsanwaltsgesellschaft

Wirtschaftsjuristin

Dr. Evelyne Sørensen berät Unternehmen und Konzerne unterschiedlicher Branchen und Größen bei allen Fragen rund um das Datenschutzrecht sowie davon betroffenen Themen aus den Bereichen Recht, Compliance und Informationssicherheit. Als Wirtschaftsjuristin und Datenschutzbeauftragte liegt ihr Fokus darauf Lösungen zu finden, statt nur Verhinderer zu sein.

 

Was ist dran an der Kritik an Google Analytics? Gibt es Möglichkeiten, das Tool dennoch zur Analyse des Traffics auf Websites einzusetzen? Welche Alternativen bieten sich an?

Google Analytics und der Datenschutz

Mehrere europäische Aufsichtsbehörden, darunter auch die deutsche, positionieren sich immer eindeutiger gegen den Einsatz von Google Analytics. Es wird insbesondere bemängelt, dass die allgemeinen Grundsätze der Datenübermittlung in ein Drittland verletzt werden, weil mit Google Analytics personenbezogene Nutzerinformationen an Google-Server in den USA weitergegeben werden.

In Österreich (Januar 2022) und Frankreich (Februar 2022) haben die Behörden den Einsatz von Google Analytics bereits untersagt. In den Niederlanden (Februar 2022) sprach die Aufsichtsbehörde zumindest eine Warnung aus.

Um die Problematik richtig einschätzen und daraus Konsequenzen ziehen zu können, ist es zunächst wichtig zu verstehen, warum Websitebetreiber durch den Einsatz von Google Analytics überhaupt in die Pflicht kommen:

Websitebetreiber sind Ersterheber von Daten und somit dafür verantwortlich, gesetzeskonforme Lösungen zu nutzen und zu implementieren. Alle Entscheidungen, die von den Aufsichtsbehörden getroffen werden, sind daher immer an die Betreiber von Websites gerichtet und nicht an Google. Sie sollten also ein klares Verständnis davon haben, wie sie wo personenbezogene Daten erheben und verarbeiten.

Verwendung personenbezogener Daten in Google Analytics

Die Annahme, dass es sich bei von Google Analytics verwendeten Nutzerdaten nicht um personenbezogene Daten handelt und keine Rückschlüsse auf Einzelpersonen gezogen werden können, ist so weit verbreitet wie unzutreffend. Sogar in den Google Analytics-Hilfen wird behauptet, dass die erfassten Nutzungsdaten keine „personenidentifizierbaren Informationen“ seien. Das ist jedoch nicht korrekt.

Google Analytics erfasst und verarbeitet personenbezogene Daten. Dass dies so ist, bleibt auch deshalb oft unbemerkt, weil die Komplexität der möglichen Einstellungen sehr hoch ist. Datenschutzrechtlich ist dies jedoch kritisch zu betrachten.

Websitebesucher sind identifizierbar

Je nachdem wie Websitebetreiber das Analyse-Werkzeug für sich konfiguriert haben und in welchem Umfang sie es nutzen, werden unterschiedliche Arten und Mengen von Informationen der Websitebesucher verarbeitet.

Daten, die immer von Google Analytics verarbeitet werden, sind die IP-Adressen und Cookie-Daten der Websitebesucher. Zusätzlich werden weitere Nutzerdaten erfasst, wie z.B. Informationen zum Browser, Betriebssystem und Datum und Uhrzeit des Website-Besuchs.

Nach Art. 4 Ziffer 1 DSGVO sind auch Online-Kennungen (in Cookies enthaltene Client-IDs oder User-IDs) als personenbezogene Daten zu betrachten. Denn hiermit sind alle jene Daten gemeint, mit denen eine natürliche Person auf irgendeine Weise identifiziert werden kann. Online-Kennungen sind explizit in der Definition erwähnt, da mit ihnen eine Zuordnung abgeleitet werden kann, die eine Person identifizierbar macht.

Ein digitaler Fußabdruck, der es erlaubt, einen Nutzer zu erkennen, stellt demnach ein personenbezogenes Datum dar. Dafür muss dieser Fußabdruck nicht einmal mit einem eindeutig bestimmbaren Datum wie dem Namen einer Person zusammengebracht werden können. Allein durch die Einzigartigkeit der Google-Analytics-Kennnummern ist die Bedingung schon erfüllt, zumal diese Kennungen mit weiteren Nutzerdaten (wie Browserdaten oder IP-Adressen) kombiniert werden. Dies macht eine Identifizierung des Nutzers noch wahrscheinlicher.

Es ist also möglich, Websitebesucher voneinander zu unterscheiden und z.B. festzustellen, ob man es mit einem wiederkehrenden oder einem neuen Besucher zu tun hat. Auch die Datenschutzkonferenz der deutschen Aufsichtsbehörden (DSK) hat bereits klargestellt, dass es sich bei den von Google Analytics erfassten Nutzungsdaten und weiteren gerätespezifischen Daten, die einem bestimmten Nutzer zugeordnet werden können, um personenbezogene Daten im Sinne der DSGVO handelt.

Achtung: Die Möglichkeit, dass eine Person identifiziert werden könnte, ist ausschlaggebend für die Anwendbarkeit der DSGVO. Es ist dabei unerheblich, ob tatsächlich eine Identifikation erfolgt.

Eindeutige Zuordnung

Eine noch eindeutigere Zuordnung kann erfolgen, wenn der Besucher einen eigenen Google-Account hat, in den er zum Zeitpunkt des Websitebesuchs eingeloggt ist (vor allem auf mobilen Endgeräten mit Android relevant).

Bei der Verarbeitung der IP-Adresse handelt es sich ebenfalls um ein personenbezogenes Datum. Besonders, weil sie – wie auch die Cookies – mit weiteren Elementen, wie den Google-Analytics-Kennnummern kombiniert werden können. Eine Kürzung der IP-Adresse kann zwar im Trackingcode veranlasst werden, sie führt jedoch nicht dazu, dass die vollständige Datenverarbeitung anonymisiert erfolgt. Zudem wird sie im ersten Schritt vollständig erhoben und erst später nachträglich anonymisiert.

Dass die Nutzer über IDs oder Kennungen bestimmbar gemacht werden, stellt keine Pseudonymisierungsmaßnahme i.S.d. DSGVO dar. Dieser Meinung ist auch die DSK, wie sie in ihrer Orientierungshilfe für Anbieter von Telemedien darstellt. Die Google-Analytics-Kennungen werden genutzt, um Besucher unterscheidbar und damit adressierbar zu machen. Die Absicht ist daher eine andere, als bei Daten, die pseudonymisiert werden, um die identifizierenden Daten zu verschleiern oder zu löschen, so dass die betroffenen Personen nicht mehr adressiert werden könnten.

Google nutzt Daten für eigene Zwecke

Google weist in seinen Nutzungsbedingungen zudem darauf hin, dass erhobene Daten auch an andere Google-Dienste weitergegeben werden, diese also für eigene Zwecke genutzt werden.

Durch das Sammeln von Daten aus mehreren Quellen können zusätzliche Benutzermerkmale wie Geschlecht und Standort ermittelt werden. Werbetreibende in Google Ads können so Präferenzen der Besucher anhand der konsumierten Inhalte feststellen und diese Nutzer dann gezielt mit Werbung ansprechen.

Google verwendet – je nach Konfiguration – Besucherdaten von Google Analytics, um diese an Nutzer anderer Google-Produkte weiterzugeben, z.B. an Google Ads und YouTube. Google will damit seine eigenen Dienste verbessern.

Mit den von Google Analytics gesammelten Daten können also Nutzerprofile der Website-Besucher erstellt werden.

Keine Garantien für Drittlandtransfer

Die über Google Analytics erhobenen Daten werden durch Google auf zufällig ausgewählte Cloud-Rechenzentren verteilt. Die meisten befinden sich in den USA. Die USA gelten unter der DSGVO als ein Drittland.

Für viele Drittländer hat die Europäische Kommission sogenannte Angemessenheitsbeschlüsse gefasst. Das bedeutet, dass personenbezogene Daten dort einen mit dem europäischen Datenschutzrecht vergleichbaren adäquaten Schutz genießen und ohne weitere Genehmigung an das jeweilige Drittland übermittelt werden können.

Für die USA liegt jedoch kein Angemessenheitsbeschluss vor. Wer dorthin personenbezogene Daten übertragen will, muss zusätzliche Datenschutz-Garantien aufbringen.

Die vor vom Europäischen Gerichtshof (EuGH) abgeschmetterten Abkommen „Safe Harbor“ und „EU-U.S. Privacy Shield“ waren Versuche der EU-Kommission, solche Garantien für den transatlantischen Datentransfer zu schaffen. Eine weitere Möglichkeit sind sogenannte Standardvertragsklauseln (Standard Contractual Clauses – SCC). Hierbei muss der Websitebetreiber jedoch selbst prüfen, ob der Empfänger der Daten das erforderliche und vertraglich vereinbarte Schutzniveau auch einhalten kann.

Durch die Zugriffsmöglichkeiten der US-Behörden sind im Falle Googles allerdings die Anforderungen an den Datenschutz nicht gegeben. Da die staatlichen Behörden nicht Vertragspartei sind, die Klauseln aber zwischen den betroffenen Unternehmen abgeschlossen werden, kann das Drittland den Eingriff in die Rechte betroffener Personen bezüglich transferierter Daten eingreifen, so dass festgelegte Standardklauseln möglicherweise nicht ausreichen, um einen effektiven Schutz personenbezogener Daten zu gewährleisten. In diesem Fall muss der Datenexporteur die Datenübermittlung entweder aussetzen oder zusätzliche Maßnahmen ergreifen.

Im Zusammenhang mit der Nutzung von Tracking-Dienstleistungen wie Google Analytics ist es in der Regel jedoch nicht möglich, ergänzende Maßnahmen zu implementieren. Da der Datenempfänger auf die Daten zugreifen muss (um sie zu verarbeiten), muss eine Verschlüsselung zeitweise aufgehoben werden. Daher ist eine ausreichende Verschlüsselung der Daten derzeit technisch nicht möglich. Dies stellt auch der Europäische Datenschutzausschuss (EDSA/EDPB) in seinen Empfehlungen 01/2020 zu ergänzenden Maßnahmen zu Übertragungsinstrumenten für internationale Datentransfers klar.

Dienstleister wie Google reagieren auf Änderungen der Sicherheitsgesetze, die es ihnen unmöglich machen, ihre vertraglichen Pflichten zu erfüllen, regelmäßig mit ergänzenden Vertragsklauseln, z.B. der Verpflichtung des Datenimporteurs, dies dem Datenexporteur unverzüglich mitzuteilen. Leider können diese vertraglichen Verpflichtungen den Zugriff nicht verhindern und sind daher aus europäischer Sicht nicht ausreichend. US-amerikanische Behörden können übrigens auch anordnen, dass betroffene Unternehmen ihre Kunden nicht darüber informieren, dass Auskünfte angefordert wurden (sogenannte Gag Order).

 

Wie reagiert Google auf die europäische Kritik?

Als Reaktion auf die datenschutzrechtlichen Anforderungen in der EU verwendet Google seit September 2021 die neuen Standardvertragsklauseln für die eigenen Cloud-Dienste. Verschlüsselungen sollen stärker eingesetzt werden und zusätzliche vertragliche, technische und organisatorische Maßnahmen werden mit Vertragspartnern vereinbart. Folgende Punkte finden sich unter anderem in den Datenschutzrichtlinien von Google. Inwiefern solche Maßnahmen dazu beitragen, das erforderliche Datenschutzniveau zu gewährleisten, ist allerdings nicht erkennbar:

  • Benachrichtigung der Betroffenen über Datenanfragen der Geheimdienste (sofern dies im Einzelfall überhaupt zulässig ist).
  • Veröffentlichung eines Transparenzberichts oder einer „Richtlinie für den Umgang mit Regierungsanfragen“.
  • Sorgfältige Prüfung jeder Datenzugriffsanfrage durch Geheimdienste.
  • Schutz der Kommunikation zwischen Google-Diensten, Schutz bei der Übermittlung der Daten im Transit zwischen Rechenzentren sowie Schutz der Kommunikation zwischen Nutzern und Websites.
  • Implementierung einer „On-Site-Security“.
  • Verschlüsselung von „Daten im Ruhezustand“ (data at rest) in den Datenzentren.

Es lässt sich nicht erkennen, inwiefern eine sorgfältige Prüfung einer Datenzugriffsanfrage eine effektive Maßnahme darstellt, um vor dem Zugriff von US-Geheimdiensten zu schützen. Ebenso wenig ist klar, wie Verschlüsselung von „Daten im Ruhezustand“ eine Garantie darstellt, oder Verschlüsselungstechnologien den Zugriff von US-Behörden tatsächlich verhindern oder einschränken können. Denn Datenimporteure wie Google haben eine direkte gesetzliche Verpflichtung den Zugriff auf diese Daten (und ihre kryptografischen Schlüssel) zu gewähren.

Da es Websitebetreibern derzeit nicht möglich ist, mit zusätzlichen Maßnahmen ein ausreichendes Datenschutzniveau zu erzielen, darf ein Dienst wie Google Analytics in dieser Ausprägung nicht genutzt und somit auch nicht auf der Website eingebunden werden.

Google Analytics mit Einwilligung nutzen?

Fraglich ist auch ob eine ausdrückliche Einwilligung des Betroffenen die Nutzung von Google Analytics nutzbar machen kann. Es wird derzeit in Expertenkreisen diskutiert, ob die Einwilligung als ein Ausnahmetatbestand gemäß Art. 49 DSGVO herangezogen werden kann.

In einer solchen Einwilligung müssten Websitebesucher ausdrücklich darauf hingewiesen werden, dass auf in den USA gespeicherte Daten, nicht nur Google, sondern auch staatliche Behörden Zugriff haben, was man leider nicht vermeiden kann.

Eine Einwilligung muss für jeden konkreten Einzelfall neu eingeholt werden. Eine Generaleinwilligung ist nicht zulässig. Die Regel besagt, dass personenbezogene Daten nur dann an ein Drittland übermittelt werden sollen, wenn angemessener Datenschutz garantiert ist. Eine Einwilligung wäre nur als Ausnahmeregelung zulässig. Das bedeutet wiederum, dass die Übermittlung nur gelegentlich erfolgen darf.

Umfang und Regelmäßigkeit widersprechen also beide der Möglichkeit einer Einwilligung als Ausnahmeregelung, wie auch die Stellungnahmen des EDSA (European Data Protection Board) und der DSK kommentieren. Diese haben zwar keinen verbindlichen Charakter. Eine endgültige Überprüfung muss also von Gerichten getroffen werden. Dementgegen steht die von einigen Experten vertretene Meinung, dass solch eine Rechtsauffassung eine Bevormundung der Bürger darstellt. Ein informierter Bürger sollte selbst über seine Daten entscheiden können. Somit läge ein Eingriff in das Grundrecht auf informationelle Selbstbestimmung vor.

Es gibt aber noch einen anderen Grund, der eine informierte Einwilligung von Websitebesuchern unmöglich macht. Google gibt nicht klar an, wofür die Daten verarbeitet werden, daher können Betroffene keine Informationen über die Datenverarbeitung durch den Verantwortlichen erhalten. Dies ist jedoch für eine wirksame Einwilligung nötig.

Fazit: Suchen Sie jetzt schon nach Alternativen zu Google Analytics

Unternehmen, die nicht auf Google Analytics verzichten möchten, können es natürlich darauf ankommen lassen, den Einsatz auf Grundlage einer Einwilligung nach Art. 49 DSGVO zu rechtfertigen. Interessant wäre es allemal, wie die Gerichte diesem Ansatz gegenüberstehen.

Aus unserer Sicht ist der Einsatz von Google Analytics derzeit nicht rechtskonform möglich. Man könnte sogar die Schlussfolgerung ziehen, dass aus den diskutierten Gründen gar keine US-Cloud-Dienste für EU-Unternehmen nutzbar sind.

Um eine bessere Vereinbarkeit zu erzielen, müssten US-Unternehmen ihre Dienste technisch so anpassen, dass sie mit der DSGVO konform sind. Das ist leider nicht in Sicht. Die Tatsache, dass die europäischen Behörden nach und nach US-Dienste für nicht konform erklären, erhöht zunächst einmal den Druck auf die EU-Unternehmen.

Unternehmen sind also gut beraten, rechtzeitig nach Alternativen zu Google Analytics Ausschau zu halten. Es gibt durchaus Anbieter auf dem Markt, die eine vergleichbare Analyseleistung ohne Drittlandtransfer ermöglichen. Die Frage nach der Einwilligung in das Tracking mittels Cookie-Consent-Banner bleibt davon freilich unberührt.


Mehr zum Thema

 

WhatsApp im UnternehmenMehr Insights von activeMind

Mehr Tipps von den Datenschutz-Experten können Sie hier zum Thema Instant Messaging im Unternehmen lesen! Im Blogbeitrag werden alle Vor- und Nachteile fachlich abgewogen, die Lektüre lohnt sich also.

 

 

 

 

DSGVO: Die Rechtsgrundlage

Lesen Sie in unserem Glossareintrag zur DSGVO nochmal kompakt alle Informationen zur rechtlichen Grundlage. Den Beitrag finden Sie hier!

 

 

 

 

Weiterführendes bvik-Webinar

Wenn Sie noch tiefer in die Materie einsteigen wollen haben Sie jetzt die Chance, am 11.10.2022 gibt die activeMind Expertin Dr. Evelyne Sørensen, LL.M. ein flankierendes Webinar! Melden Sie sich hier zu der Veranstaltung an.