Dass der Statistik-Dienst von Google, Google Analytics, nicht ohne weiteres auf Webseiten datenschutzkonform einsetzbar ist, dürfte bekannt sein. In den letzten Tagen gab es dennoch vermehrt Berichte über den Dienst und dessen mangelnde Datenschutzkonformität. Insbesondere die Aufsichtsbehörden innerhalb der Europäischen Union beschäftigen sich intensiv mit dem Dienst.
Die österreichische Datenschutzbehörde hat jüngst den Einsatz von Google Analytics auf Grundlage einer Musterbeschwerde des Verbands NOYB für unzulässig erklärt (die Entscheidung finden Sie hier). Google Analytics sei mit der Datenschutzgrundverordnung (DSGVO) nicht vereinbar.
Insbesondere geht es in der Entscheidung um die Übermittlung der IP-Adresse, einer Identifikationsnummer (sog. „unique identifier“) sowie Browserinformationen an den Google-Mutterkonzern in den USA. Da die übermittelten Daten als personenbezogene Daten zu klassifizieren sind und die USA ein Drittland darstellen, bedarf es für eine datenschutzkonforme Übermittlung der Daten in die USA nach Art. 44 ff. DSGVO geeigneter Garantien, so die Behörde. Die von den verschiedenen Google-Gesellschaften abgeschlossenen Standarddatenschutzklauseln, die als geeignete Garantien die Übermittlung legitimieren sollen, sind nach Ansicht der Behörde nicht angemessen. Demnach sei ein Schutz der übermittelten Daten vor dem Zugriff amerikanischer Sicherheitsbehörden nicht ausreichend gewährleistet und der Dienst somit nicht datenschutzkonform einsetzbar.
NOYB hat übrigens 101 vergleichbare Beschwerden in den meisten anderen EU-Staaten initiiert, so dass damit zu rechnen ist, dass in Kürze weitere gleichlautende Entscheidungen anderer Aufsichtsbehörden ergehen werden.
Die niederländische Datenschutzbehörde hat indes ebenfalls eine Prüfung von Google Analytics angekündigt. Laut der Behörde kann es schon bald zu einem Verbot des Dienstes kommen. Die Entscheidung steht aktuell noch aus.
Was bedeuten diese Behördenansichten?
Grundsätzlich ist zu beachten, dass es sich bisher um Behördenansichten handelt, die nicht verbindlich sind. Die Einschätzungen haben also nicht den gleichen Stellenwert wie beispielsweise letztinstanzliche gerichtliche Entscheidungen. Die Behördenansichten sind dennoch praxisrelevant und nicht zu unterschätzen, da sie Aufschluss über die mangelnde Konformität des Dienstes geben. Die Behördenansichten sollten demnach als wichtige Einschätzungs- und Entscheidungsgrundlage herangezogen werden.
Wie sollte man jetzt mit Google Analytics umgehen?
Wir empfehlen Ihnen, Ihren Einsatz von Google Analytics auf Ihrer Website zu überprüfen. Folgende Fragen sollten Sie sich dafür stellen:
Wenn Sie beide Fragen mit nein beantworten können, empfehlen wir Ihnen Google Analytics zu deaktivieren und von Ihrer Website zu entfernen. Sie umgehen somit effektiv datenschutzrechtliche Risken, ohne dass Sie in betriebswirtschaftlicher Hinsicht Nachteile durch die Anpassung haben werden.
Wenn Sie mindestens eine der beiden Fragen mit ja beantworten können, empfehlen wir Ihnen, den Einsatz von Alternativen zu überprüfen. Eine mögliche Alternative stellen wir im nächsten Teil vor.
Wenn Sie zu dem Schluss kommen, dass Sie Google Analytics trotz der verbundenen Risken einsetzen möchten, empfehlen wir Ihnen mindestens folgende risikominimierende Maßnahmen zu treffen:
Bitte beachten Sie, dass trotz dieser Maßnahmen Risiken verbleiben. Es ist davon auszugehen, dass Datenschutzaufsichtsbehörden nach wie vor davon ausgehen, dass trotz der beschriebenen risikominimierenden Maßnahmen ein datenschutzkonformer Einsatz von Google Analytics nicht möglich ist.
Welche Alternativen gibt es?
Eine Alternative, die bspw. der Landesbeauftragte für Datenschutz und Informationssicherheit Baden-Württemberg in seinen FAQs nennt, ist der Dienst Matomo. Der Landesbeauftragte erklärt, dass es sogar möglich ist, den Einsatz des Dienstes auf ein berechtigtes Interesse zu stützen, wenn dieser auf eigenen Servern gehostet wird und lediglich Serverlogfiles aggregiert ausgewertet werden. Sofern diese Bedingungen eingehalten werden, bedarf es also nicht zwangsweise eine Einwilligung des Websitebesuchers.
Dass der Statistik-Dienst von Google, Google Analytics, nicht ohne weiteres auf Webseiten datenschutzkonform einsetzbar ist, dürfte bekannt sein. In den letzten Tagen gab es dennoch vermehrt Berichte über den Dienst und dessen mangelnde Datenschutzkonformität. Insbesondere die Aufsichtsbehörden innerhalb der Europäischen Union beschäftigen sich intensiv mit dem Dienst.