Google Analytics am Ende

Goog­le Ana­ly­tics am Ende?

| Voraussichtliche Lesezeit: 5 Minuten

Nut­zen Sie Goog­le Ana­ly­tics auf Ihrer Web­site für das Web­track­ing? Dann bewe­gen Sie sich auf dün­nem Eis.

Altes The­ma — jetzt wird‘s ernst

Das The­ma Web­track­ing mit­tels Goog­le Ana­ly­tics ist min­des­tens so alt wie die DSGVO, näm­lich jetzt vier Jah­re. Die Daten­schutz­kon­fe­renz (DSK) ver­öf­fent­lich­te am 25.05.2018 eine „Posi­ti­ons­be­stim­mung“ zur Anwend­bar­keit des Tele­me­di­en­ge­set­zes (TMG), wel­che auch eine Aus­sa­ge zu Web­track­ing beinhal­te­te. Damals hieß es noch rela­tiv mil­de: „Es bedarf einer vor­he­ri­gen Ein­wil­li­gung beim Ein­satz von Track­ing-Mecha­nis­men, die das Ver­hal­ten von betrof­fe­nen Per­so­nen im Inter­net nach­voll­zieh­bar machen und bei der Erstel­lung von Nut­zer­pro­fi­len.“

Fast genau 2 Jah­re spä­ter wur­de durch die Daten­schutz­kon­fe­renz (DSK) ein Beschluss zum Ein­satz von Goog­le Ana­ly­tics gefasst. Als Maß­nah­men zum rechts­kon­for­men Ein­satz des Web­track­ing­tools wur­de fol­gen­des emp­foh­len:

  1. Ein­ho­lung einer infor­mier­ten, frei­wil­li­gen, akti­ven und vor­he­ri­gen Ein­wil­li­gung der Nut­zer
  2. Tech­ni­sche Umset­zung einer Wider­rufs­mög­lich­keit der Ein­wil­li­gung
  3. Trans­pa­renz über umfas­sen­de Infor­ma­tio­nen in der Daten­schutz­er­klä­rung
  4. Kür­zung der IP-Adres­se

Zwei Mona­te (16.07.2020) spä­ter erließ der Euro­päi­sche Gerichts­hof (EuGH) das sog. Schrems II-Urteil und erklär­te damit die daten­schutz­recht­li­che Absi­che­rung (Pri­va­cy Shield) der Daten­über­tra­gun­gen in nicht siche­re Dritt­län­der, wie z.B. die USA, für unwirk­sam. Hin­sicht­lich der alter­na­ti­ven daten­schutz­recht­li­chen Absi­che­rung (EU-Stan­dard­ver­trags­klau­seln) for­der­te das Gericht zusätz­li­che Schutz­maß­nah­men.

Vie­le US-Unter­neh­men bezo­gen sich bis zu die­sem Urteil ent­we­der auf das Pri­va­cy Shield oder die EU-Stan­dard­ver­trags­klau­seln, hiel­ten aber kei­ne „zusätz­li­chen Maß­nah­men“ vor. Jetzt kocht das The­ma noch ein­mal neu auf.

Was sagen die Auf­sichts­be­hör­den?

Für jedes deut­sche Bun­des­land gibt es eine Auf­sichts­be­hör­de für den Daten­schutz. Ande­re Län­der haben nur eine Auf­sichts­be­hör­de für den gesam­ten Staat. Zudem exis­tiert auch für ganz Euro­pa ein Daten­schutz­be­auf­trag­ter (EDSB). Aktu­el­le Maß­nah­men gegen den Ein­satz von Goog­le Ana­ly­tics kamen nun aus Öster­reich, Frank­reich und Euro­pa.

Daten­schutz­auf­sicht in Öster­reich

Die öster­rei­chi­sche Daten­schutz­be­hör­de stell­te fest, dass der Ein­satz von Goog­le Ana­ly­tics durch einen öster­rei­chi­schen Web­site-Pro­vi­der unter Ver­stoß gegen Kapi­tel V. der DSGVO zu einer Über­mitt­lung per­so­nen­be­zo­ge­ner Daten an die Goog­le LLC in den USA geführt hat.

Daten­schutz­be­hör­de Öster­reich im Dezem­ber 2021

Auf Betrei­ben der Daten­schutz­or­ga­ni­sa­ti­on noyb aus Öster­reich (Max Schrems) wur­den im Jah­re 2020 über 100 Beschwer­den bei Auf­sichts­be­hör­den für den Daten­schutz­be­hör­den in ganz Euro­pa ein­ge­reicht. Nach und nach wer­den die­se bear­bei­tet und füh­ren zu Ent­schei­dun­gen. So auch hier in Öster­reich.

Der Sach­ver­halt

Der Web­sei­ten­be­trei­ber hat­te auf sei­ner Inter­net­prä­senz Goog­le Ana­ly­tics ein­ge­bun­den. Die­ses Tool erfasst per­so­nen­be­zo­ge­ne Daten des Nut­zers, dar­un­ter die Nut­zer­ken­nun­gen, IP-Adres­se und Brow­ser­pa­ra­me­ter.

Die Daten wur­den in die USA zur Goog­le LLC über­mit­telt.

Die Ent­schei­dung

Die Auf­sichts­be­hör­de in Öster­reich qua­li­fi­ziert die Goog­le LLC gemäß 50 US Code § 1881(b)(4) als „Anbie­ter elek­tro­ni­scher Kom­mu­ni­ka­ti­ons­diens­te“. Damit unter­liegt Goog­le der Über­wa­chung der US-Geheim­diens­te.

Der Umstand, dass für Goog­le Ana­ly­tics für Nut­zer inner­halb der Mit­glieds­staa­ten von Euro­pa seit April 2021 die Goog­le Ire­land Ltd. zustän­dig sei, spiel­te in die­sem Fall kei­ne Rol­le, weil es um eine Beschwer­de über einen Daten­schutz­ver­stoß aus dem August 2020 ging.

Die EU-Stan­dard­ver­trags­klau­seln, die zwi­schen Goog­le und dem Web­sei­ten­be­trei­ber abge­schlos­sen wur­den, stuf­te die Behör­de als nicht aus­rei­chend ein, weil kei­ne zusätz­li­chen Sicher­heits­vor­keh­run­gen getrof­fen wur­den. Dies ist jedoch die Anfor­de­rung aus dem EuGH-Urteil „Schrems II“ vom 16. Juli 2020.

Der Web­sei­ten­be­trei­ber muss das Web­track­ing mit­tels Goog­le Ana­ly­tics ab sofort unter­las­sen. Ein Buß­geld wur­de nicht ver­hängt.

Der Euro­päi­sche Daten­schutz­be­auf­trag­te (EDSB)

Der EDSB hebt her­vor, dass die Ver­wen­dung von Goog­le Ana­ly­tics und dem Zah­lungs­an­bie­ter Stri­pe (bei­des US-Unter­neh­men) gegen das „Schrems II „-Urteil des Euro­päi­schen Gerichts­hofs (EuGH) zur Daten­über­mitt­lung zwi­schen der EU und den USA ver­stößt.

EDSB im Janu­ar 2022

Der Sach­ver­halt

Das Euro­päi­sche Par­la­ment ver­wen­de­te auf sei­ner Coro­na-Test-Sei­te ein Web­track­ing mit­tels Goog­le Ana­ly­tics und eine Zah­lungs­funk­ti­on über den Dienst­leis­ter „Stri­pe“.

Auch hier hat­te noyb im Janu­ar 2021 eine Beschwer­de im Namen von sechs Mit­glie­dern des Euro­päi­schen Par­la­ments ein­ge­reicht. Gegen­stand der Beschwer­de war ein irre­füh­ren­der Coo­kie­ban­ner, vage und unkla­re Daten­schutz­hin­wei­se und die Über­mitt­lung der Daten zu den Dienst­leis­tern Goog­le und Stri­pe in die USA.

Die Ent­schei­dung

Der Euro­päi­schen Daten­schutz­be­auf­trag­te stell­te einen Ver­stoß gegen die DSGVO für EU-Insti­tu­tio­nen (EU 2018/​1725) fest. Die­se ist zwar nicht iden­tisch mit der DSGVO für Unter­neh­men, beinhal­tet aber im Wesent­li­chen ver­gleich­ba­re Rege­lun­gen.

Im Coo­kie­ban­ner wur­den nicht alle gesetz­ten Coo­kies auf­ge­lis­tet. Zudem gab es kei­ne ver­schie­de­nen Sprach­fas­sun­gen. Dies hat­te Fol­ge dar­auf, dass Nut­zer kei­ne wirk­sa­me Ein­wil­li­gung erklä­ren konn­ten.

Das Euro­päi­sche Par­la­ment hat die Ver­wen­dung von Goog­le Ana­ly­tics und Stri­pe ab Febru­ar zu unter­las­sen. Ein Buß­geld wur­de nicht ver­hängt. Im Gegen­satz zu den natio­na­len Daten­schutz­be­hör­den kann der EDSB nur in bestimm­ten Umstän­den eine Stra­fe ver­hän­gen.

Daten­schutz­auf­sicht in Frank­reich

Nach Ansicht der fran­zö­si­schen Daten­schutz­be­hör­de kön­ne Goog­le Ana­ly­tics daher aktu­ell nicht recht­mä­ßig genutzt wer­den. Des­halb müs­se die Ver­wen­dung des Ana­ly­se-Tools ein­ge­stellt wer­den bzw. ein ande­res Tool ver­wen­det wer­den, das gera­de kei­ne Daten­über­tra­gung in die USA vor­sieht.

CNIL im Febru­ar 2022

Der Sach­ver­halt

Ein fran­zö­si­scher Web­sei­ten­be­trei­ber setz­te Goog­le Ana­ly­tics auf sei­ner Inter­net­prä­senz zum Web­track­ing ein. Auch dies ist einer der über 100 Beschwer­den der Daten­schutz­or­ga­ni­sa­ti­on noyb (sie­he oben).

Die Ent­schei­dung

Die Daten­schutz­auf­sichts­be­hör­de stell­te in ihrer Ent­schei­dung einen Ver­stoß gegen die DSGVO fest und den Web­sei­ten­be­trei­ber ange­wie­sen, die­sen Ver­stoß abzu­stel­len. Not­falls müs­se er Goog­le Ana­ly­tics deinstal­lie­ren. Hier­für wur­de eine Frist von einem Monat gesetzt.

Was bedeu­tet das für Web­sei­ten­be­trei­ber in Deutsch­land?

  1. Auch wenn es von Sei­ten der deut­schen Auf­sichts­be­hör­den noch kei­ne Ent­schei­dun­gen zum Web­track­ing mit­tels Goog­le Ana­ly­tics gab, wird aus Grün­den der anwalt­li­chen Vor­sicht dazu gera­ten, die­ses Tool künf­tig nicht mehr ein­zu­set­zen. Das The­ma ist mitt­ler­wei­le „zu heiß“, als dass man noch von „Grau­be­reich“ des Daten­schut­zes spre­chen könn­te. Wir sind bereits bei der Far­be „hell­rot“.
  2. Deinstal­lie­ren Sie auf Ihren Web­sei­ten und Ihren Online­shops Goog­le Ana­ly­tics und bespre­chen Sie mit Ihrem Daten­schutz­be­ra­ter eine alter­na­ti­ve Lösung.

Hat Ihnen der Beitrag gefallen? Wurden Ihre Fragen vollständig beantwortet?

Dann teilen Sie den Beitrag gerne mit Ihren Bekannten, Freunden und Kollegen!