Ein Thema, das Websitebetreiber:innen stets auf Trab hält: Google Analytics und die Frage nach dem Datenschutz. Ist die Verwendung von Google Analytics nun legal oder nicht? Lest hier unsere Meinung* dazu.
Der Status Quo von Google Analytics und der DSGVO
Über die Jahre wurde viel diskutiert – zuletzt gaben 2020 eine Reihe von Beschwerden neuen Anstoß. Die Non-Profit-Organisation nyob.eu reichte europaweit ca. 100 Beschwerden ein. Kürzlich befasste sich nun unter anderem die österreichische Datenschutzbehörde (“DPA”) mit zwei konkreten Fällen und kam zum Entschluss: Google Analytics sei nicht EU-datenschutzkonform.
Entscheidungsgrundlage hierfür ist das “Schrems II”-Urteil des Europäischen Gerichtshofes (EuGH). Dieses betrifft unter anderem den Datentransfer von der EU in die USA. Websites, die personenbezogene Daten sammeln und diese in die USA übermitteln, müssen gewährleisten, dass diese angemessen geschützt sind. Andernfalls darf kein Datentransfer stattfinden. Doch was bedeutet “angemessen geschützt”?
Viele Websitebetreiber:innen, darunter bestimmt auch ihr, möchten (und müssen) datenschutzkonform arbeiten. Hier stehen wir alle jedoch vor einem Problem: Selbst wenn man State-of-the-Art-Tracking und die neuesten technischen Mittel auf seiner Website integrieren möchte, um datenschutzgerecht Daten sammeln zu können, ist es nicht leicht, sich einen Reim darauf zu machen, was genau beachtet werden soll und woher der Wind der Datenschutzbehörden weht. Die Sorge, zwischen die Fronten zu geraten und abgemahnt zu werden, ist groß. Deshalb hoffen viele, unter dem Radar zu bleiben, bis sich die Frage des internationalen Transfers geklärt hat und stichhaltige Richtlinien ausgearbeitet werden.
Wo genau lag in diesen Fällen das Problem mit Google Analytics?
Die Entscheidung der österreichischen Datenschutzbehörde bezieht sich auf die Art, wie Google Analytics auf den jeweiligen Websites implementiert wurde und darauf, dass diese den Schutz personenbezogener Daten nicht gewährleisten konnten. Das wiederum hat Auswirkungen auf die Konformität mit der GDPR (“General Data Protection Regulation”, der allgemeinen Datenschutz-Verordnung).
In beiden Fällen wurden auf den betreffenden Websites unzureichend Gebrauch von den möglichen und unterschiedlichen Features zu Datenschutz gemacht. Dass in diesen Beispielen die Implementierung von Google Analytics nicht der allgemeinen Datenschutzverordnung entsprach, heißt nicht, dass keine Implementierungsmöglichkeit dieser entsprechen kann. Es lässt sich daraus also nicht eindeutig ableiten, dass Google Analytics an sich illegal ist.
Laut Artikel 4 der DSGVO ist die Verarbeitung personenbezogener Daten grundsätzlich untersagt. Andererseits zeigt diese in Artikel 6 wiederum Möglichkeiten auf, wie dennoch eine rechtmäßige Verarbeitung solcher Daten gewährleistet werden kann. Unter Punkt 1 dieses Artikels ist konkret angeführt, dass die Verarbeitung nur rechtmäßig ist, “wenn mindestens eine der nachstehenden Bedingungen erfüllt ist”, darunter fällt ”a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben.”.
Ist Google Analytics somit in Europa nach wie vor legal?
Wir sagen: ja. Natürlich können wir nicht ausschließen, dass sich das zukünftig ändern könnte. Somit sollte bei diesem Thema jede:r stets auf dem Laufenden bleiben.
Weiters solltet ihr bei der Implementierung und weiterführend auch der Nutzung von Google Analytics auf eurer Website einiges beachten: die rechtlichen Rahmenbedingungen, den Consent und das korrekte technische Setup von Google Analytics.
Rechtliche Rahmenbedingungen
Es obliegt eurer Verantwortung, die rechtlichen Rahmenbedingungen auf eurer Website abzudecken. Dazu gehört allem voran das “Data Processing Agreement” (“DPA”, also die Vereinbarung zur Datenverarbeitung). Um euch ein Bild darüber zu machen und das Ausmaß des Datentransfers an Drittländer beurteilen zu können, solltet ihr ein Transfer Impact Assessment (kurz “TIA”) nutzen.
Consent
Kern der Vereinbarung zur Datenverarbeitung ist es, dass ihr vorab von euren Websitebesucher:innen die Einwilligung zum Speichern und Verarbeiten diverser Daten (IP Adresse, Tracking-IDs sowie Geräteinformationen) einholen müsst. Dies geschieht mittels eines entsprechend konfigurierten Cookie Opt-Ins bzw. Opt-Outs. Diese Vereinbarung muss einen Hinweis darauf enthalten, dass die Möglichkeit besteht, dass Daten an Drittländer (z.B. die USA) übermittelt werden. Wenn dies korrekt ausgewiesen ist und der:die User:in zustimmt, reicht das derzeit lt. DSGVO Artikel 6 aus, um die Verwendung von Google Analytics zu erlauben.
Technisches Setup
Über den reinen Datenschutz hinausgehend, müsst ihr Google Analytics auch richtig konfigurieren. Diese fünf Punkte gehen über die Zustimmung des:der User:in hinaus und stellen weitergehenden Datenschutz sicher:
1. Achtet darauf, dass ihr in euren Datenschutzbestimmungen darauf verweist, dass eure Zusammenarbeit mit Google hinsichtlich Google Analytics (inklusive Zustimmung der Datenverarbeitung) mit Google Ireland Limited erfolgt und nicht Google LLC. oder Google Incorporation, USA. Alle aktuellen Verträge im europäischen Raum sollten über Google Ireland Limited abgewickelt werden.
2. Die IP-Anonymisierung sollte aktiv und korrekt implementiert sein.
3. Direkt in eurem Google Analytics Dashboard müsst ihr sicherstellen, dass die Option “Data Sharing” (“Daten teilen”) deaktiviert ist. Das sollte zwar ohnehin standardmäßig der Fall sein, aber sicher ist sicher.
4. Weiters müsst ihr in Google Analytics überprüfen, ob die Google Signale deaktiviert sind.
5. Wenn ihr benutzerbezogene User-IDs als Daten speichert, sollten diese auf keinen Fall ermöglichen, dass User:innen z.B. anhand ihrer Klar-E-Mailadresse, ihres Namens etc. identifiziert werden können. Diese müssen immer verschlüsselt sein!
Fazit
Wer Google Analytics nutzen möchte, bewegt sich aktuell und wahrscheinlich auch in Zukunft an der Grenze zwischen technischen Umsetzungsmöglichkeiten und dem, was rechtlich erlaubt ist. Jede:r muss das Risiko und die Verantwortung für sich und seine:ihre Website selbst tragen.
Aus aktueller Sicht können wir euch jedoch ein wenig beruhigen: Die Nutzung von Google Analytics ist per se nicht illegal. Wenn ihr den Webanalysedienst von Google (weiterhin) nutzen wollt, liegt es in eurer Verantwortung, den Datenschutz und alle damit verbundenen Punkte ernst zu nehmen und diese korrekt umzusetzen.
Unser Tipp: Nehmt Datenschutz nicht auf die leichte Schulter und kontrolliert eure Einstellungen. Dann seid ihr auf der sicheren Seite.
Ihr seid im erlaubten Rahmen schon fleißig am Daten sammeln und seid daran interessiert, eure anonymen Websitebesucher:innen in B2B-Leads umzuwandeln? Hier erfahrt ihr, wie das möglich ist.
*Disclaimer: Dieser Beitrag dient der Information und stellt unsere Meinung auf Basis eingehender Recherche dar. Er dient lediglich zur Orientierung und kann nicht als Anleitung oder Richtlinie betrachtet werden. Wir sind in keiner Weise Rechtsexpert:innen und erheben daher keinen Anspruch auf Richtigkeit oder Vollständigkeit der genannten Punkte.