Nutzen Sie Google Analytics auf Ihrer Website für das Webtracking? Dann bewegen Sie sich auf dünnem Eis.
Altes Thema — jetzt wird‘s ernst
Das Thema Webtracking mittels Google Analytics ist mindestens so alt wie die DSGVO, nämlich jetzt vier Jahre. Die Datenschutzkonferenz (DSK) veröffentlichte am 25.05.2018 eine „Positionsbestimmung“ zur Anwendbarkeit des Telemediengesetzes (TMG), welche auch eine Aussage zu Webtracking beinhaltete. Damals hieß es noch relativ milde: „Es bedarf einer vorherigen Einwilligung beim Einsatz von Tracking-Mechanismen, die das Verhalten von betroffenen Personen im Internet nachvollziehbar machen und bei der Erstellung von Nutzerprofilen.“
Fast genau 2 Jahre später wurde durch die Datenschutzkonferenz (DSK) ein Beschluss zum Einsatz von Google Analytics gefasst. Als Maßnahmen zum rechtskonformen Einsatz des Webtrackingtools wurde folgendes empfohlen:
- Einholung einer informierten, freiwilligen, aktiven und vorherigen Einwilligung der Nutzer
- Technische Umsetzung einer Widerrufsmöglichkeit der Einwilligung
- Transparenz über umfassende Informationen in der Datenschutzerklärung
- Kürzung der IP-Adresse
Zwei Monate (16.07.2020) später erließ der Europäische Gerichtshof (EuGH) das sog. Schrems II-Urteil und erklärte damit die datenschutzrechtliche Absicherung (Privacy Shield) der Datenübertragungen in nicht sichere Drittländer, wie z.B. die USA, für unwirksam. Hinsichtlich der alternativen datenschutzrechtlichen Absicherung (EU-Standardvertragsklauseln) forderte das Gericht zusätzliche Schutzmaßnahmen.
Viele US-Unternehmen bezogen sich bis zu diesem Urteil entweder auf das Privacy Shield oder die EU-Standardvertragsklauseln, hielten aber keine „zusätzlichen Maßnahmen“ vor. Jetzt kocht das Thema noch einmal neu auf.
Was sagen die Aufsichtsbehörden?
Für jedes deutsche Bundesland gibt es eine Aufsichtsbehörde für den Datenschutz. Andere Länder haben nur eine Aufsichtsbehörde für den gesamten Staat. Zudem existiert auch für ganz Europa ein Datenschutzbeauftragter (EDSB). Aktuelle Maßnahmen gegen den Einsatz von Google Analytics kamen nun aus Österreich, Frankreich und Europa.
Datenschutzaufsicht in Österreich
Die österreichische Datenschutzbehörde stellte fest, dass der Einsatz von Google Analytics durch einen österreichischen Website-Provider unter Verstoß gegen Kapitel V. der DSGVO zu einer Übermittlung personenbezogener Daten an die Google LLC in den USA geführt hat.
Datenschutzbehörde Österreich im Dezember 2021
Auf Betreiben der Datenschutzorganisation noyb aus Österreich (Max Schrems) wurden im Jahre 2020 über 100 Beschwerden bei Aufsichtsbehörden für den Datenschutzbehörden in ganz Europa eingereicht. Nach und nach werden diese bearbeitet und führen zu Entscheidungen. So auch hier in Österreich.
Der Sachverhalt
Der Webseitenbetreiber hatte auf seiner Internetpräsenz Google Analytics eingebunden. Dieses Tool erfasst personenbezogene Daten des Nutzers, darunter die Nutzerkennungen, IP-Adresse und Browserparameter.
Die Daten wurden in die USA zur Google LLC übermittelt.
Die Entscheidung
Die Aufsichtsbehörde in Österreich qualifiziert die Google LLC gemäß 50 US Code § 1881(b)(4) als „Anbieter elektronischer Kommunikationsdienste“. Damit unterliegt Google der Überwachung der US-Geheimdienste.
Der Umstand, dass für Google Analytics für Nutzer innerhalb der Mitgliedsstaaten von Europa seit April 2021 die Google Ireland Ltd. zuständig sei, spielte in diesem Fall keine Rolle, weil es um eine Beschwerde über einen Datenschutzverstoß aus dem August 2020 ging.
Die EU-Standardvertragsklauseln, die zwischen Google und dem Webseitenbetreiber abgeschlossen wurden, stufte die Behörde als nicht ausreichend ein, weil keine zusätzlichen Sicherheitsvorkehrungen getroffen wurden. Dies ist jedoch die Anforderung aus dem EuGH-Urteil „Schrems II“ vom 16. Juli 2020.
Der Webseitenbetreiber muss das Webtracking mittels Google Analytics ab sofort unterlassen. Ein Bußgeld wurde nicht verhängt.
Der Europäische Datenschutzbeauftragte (EDSB)
Der EDSB hebt hervor, dass die Verwendung von Google Analytics und dem Zahlungsanbieter Stripe (beides US-Unternehmen) gegen das „Schrems II „-Urteil des Europäischen Gerichtshofs (EuGH) zur Datenübermittlung zwischen der EU und den USA verstößt.
EDSB im Januar 2022
Der Sachverhalt
Das Europäische Parlament verwendete auf seiner Corona-Test-Seite ein Webtracking mittels Google Analytics und eine Zahlungsfunktion über den Dienstleister „Stripe“.
Auch hier hatte noyb im Januar 2021 eine Beschwerde im Namen von sechs Mitgliedern des Europäischen Parlaments eingereicht. Gegenstand der Beschwerde war ein irreführender Cookiebanner, vage und unklare Datenschutzhinweise und die Übermittlung der Daten zu den Dienstleistern Google und Stripe in die USA.
Die Entscheidung
Der Europäischen Datenschutzbeauftragte stellte einen Verstoß gegen die DSGVO für EU-Institutionen (EU 2018/1725) fest. Diese ist zwar nicht identisch mit der DSGVO für Unternehmen, beinhaltet aber im Wesentlichen vergleichbare Regelungen.
Im Cookiebanner wurden nicht alle gesetzten Cookies aufgelistet. Zudem gab es keine verschiedenen Sprachfassungen. Dies hatte Folge darauf, dass Nutzer keine wirksame Einwilligung erklären konnten.
Das Europäische Parlament hat die Verwendung von Google Analytics und Stripe ab Februar zu unterlassen. Ein Bußgeld wurde nicht verhängt. Im Gegensatz zu den nationalen Datenschutzbehörden kann der EDSB nur in bestimmten Umständen eine Strafe verhängen.
Datenschutzaufsicht in Frankreich
Nach Ansicht der französischen Datenschutzbehörde könne Google Analytics daher aktuell nicht rechtmäßig genutzt werden. Deshalb müsse die Verwendung des Analyse-Tools eingestellt werden bzw. ein anderes Tool verwendet werden, das gerade keine Datenübertragung in die USA vorsieht.
CNIL im Februar 2022
Der Sachverhalt
Ein französischer Webseitenbetreiber setzte Google Analytics auf seiner Internetpräsenz zum Webtracking ein. Auch dies ist einer der über 100 Beschwerden der Datenschutzorganisation noyb (siehe oben).
Die Entscheidung
Die Datenschutzaufsichtsbehörde stellte in ihrer Entscheidung einen Verstoß gegen die DSGVO fest und den Webseitenbetreiber angewiesen, diesen Verstoß abzustellen. Notfalls müsse er Google Analytics deinstallieren. Hierfür wurde eine Frist von einem Monat gesetzt.
Was bedeutet das für Webseitenbetreiber in Deutschland?
- Auch wenn es von Seiten der deutschen Aufsichtsbehörden noch keine Entscheidungen zum Webtracking mittels Google Analytics gab, wird aus Gründen der anwaltlichen Vorsicht dazu geraten, dieses Tool künftig nicht mehr einzusetzen. Das Thema ist mittlerweile „zu heiß“, als dass man noch von „Graubereich“ des Datenschutzes sprechen könnte. Wir sind bereits bei der Farbe „hellrot“.
- Deinstallieren Sie auf Ihren Webseiten und Ihren Onlineshops Google Analytics und besprechen Sie mit Ihrem Datenschutzberater eine alternative Lösung.