Beitrag teilen
HOME
/
blog
/
Google Analytics: Bald illegal? Das sagen die SECJUR-Experten!

Google Analytics: Bald illegal? Das sagen die SECJUR-Experten!

Simon Pentzien

Co-Founder & Legal Expert

June 2, 2023

8 min

Als Jurist mit langjähriger Erfahrung als Anwalt für Datenschutz und IT-Recht kennt Simon die Antwort auf so gut wie jede Frage im Bereich der digitalen Compliance. Er war in der Vergangenheit unter anderem für Fieldfisher und Taylor Wessing tätig. Als Mitgründer und Chief Product Officer von SECJUR, lässt Simon seine Erfahrung vor allem in die Produktentwicklung einfließen.

Key Takeaways

Google Analytics' Datenübermittlung zur Muttergesellschaft in den USA steht unter Datenschutzbedenken.

Die Behördenansichten sind nicht verbindlich, haben aber Einfluss auf die Praxis und zeigen auf, dass Google Analytics datenschutzrechtliche Probleme hat. 

Unternehmen sollten überprüfen, ob sie Google Analytics wirklich benötigen und ob sie die Daten aktiv auswerten. Wenn dies nicht der Fall ist, wird empfohlen, Google Analytics zu deaktivieren. 

Wenn Unternehmen Google Analytics trotz der Risiken nutzen wollen, sollten sie verschiedene Maßnahmen ergreifen, um das Datenschutzrisiko zu minimieren. Als Alternative wird der Dienst Matomo vorgeschlagen.

Wie schätzen andere europäische Länder Google Analytics ein?

Die österreichische Datenschutzbehörde hat jüngst den Einsatz von Google Analytics auf Grundlage einer Musterbeschwerde des Verbands NOYB für unzulässig erklärt (die Entscheidung finden Sie hier). Google Analytics sei mit der Datenschutzgrundverordnung (DSGVO) nicht vereinbar.  

In diesem Artikel lesen Sie:

  • worum sich die Debatte um Google Analytics dreht
  • wie Unternehmen nun mit Google Analytics umgehen sollten
  • welche Alternativen es zu Google Analytics gibt

Worum geht es in der Debatte?

Insbesondere geht es in der Entscheidung um die Übermittlung der IP-Adresse, einer Identifikationsnummer (sog. „unique identifier“) sowie Browserinformationen an den Google-Mutterkonzern in den USA. Da die übermittelten Daten als personenbezogene Daten zu klassifizieren sind und die USA ein Drittland darstellen, bedarf es für eine datenschutzkonforme Übermittlung der Daten in die USA nach Art. 44 ff.  DSGVO geeigneter Garantien, so die Behörde.

Die von den verschiedenen Google-Gesellschaften abgeschlossenen Standarddatenschutzklauseln, die als geeignete Garantien die Übermittlung legitimieren sollen, sind nach Ansicht der Behörde nicht angemessen. Demnach sei ein Schutz der übermittelten Daten vor dem Zugriff amerikanischer Sicherheitsbehörden nicht ausreichend gewährleistet und der Dienst somit nicht datenschutzkonform einsetzbar.

NOYB hat übrigens 101 vergleichbare Beschwerden in den meisten anderen EU-Staaten initiiert, so dass damit zu rechnen ist, dass in Kürze weitere gleichlautende Entscheidungen anderer Aufsichtsbehörden ergehen werden.  

Die niederländische Datenschutzbehörde hat indes ebenfalls eine Prüfung von Google Analytics angekündigt. Laut der Behörde kann es schon bald zu einem Verbot des Dienstes kommen. Die Entscheidung steht aktuell noch aus.

Was bedeuten diese Behördenansichten?

Grundsätzlich ist zu beachten, dass es sich bisher um Behördenansichten handelt, die nicht verbindlich sind. Die Einschätzungen haben also nicht den gleichen Stellenwert wie beispielsweise letztinstanzliche gerichtliche Entscheidungen.

Die Behördenansichten sind dennoch praxisrelevant und nicht zu unterschätzen, da sie Aufschluss über die mangelnde Konformität des Dienstes geben. Die Behördenansichten sollten demnach als wichtige Einschätzungs- und Entscheidungsgrundlage herangezogen werden.

Wie sollten Unternehmen jetzt mit Google Analytics umgehen?

2 Fragen, die Sie sich stellen sollten

Wir empfehlen Ihnen, Ihren Einsatz von Google Analytics auf Ihrer Website zu überprüfen. Folgende Fragen sollten Sie sich dafür stellen:

  1. „Benötigen wir die Informationen von Google Analytics wirklich für unser Geschäft und bringen sie uns einen Mehrwert?“
  2. „Werten wir die Informationen aus Google Analytics tatsächlich aktiv aus und nutzen die Daten, bspw. für gezielte Werbekampagnen oder das Anpassen unserer Online-Präsenz?“

In diesem Fall sollten Sie Google Analytics nicht nutzen...

Wenn Sie beide Fragen mit nein beantworten können, empfehlen wir Ihnen Google Analytics zu deaktivieren und von Ihrer Website zu entfernen. Sie umgehen somit effektiv datenschutzrechtliche Risken, ohne dass Sie in betriebswirtschaftlicher Hinsicht Nachteile durch die Anpassung haben werden.

Wenn Sie mindestens eine der beiden Fragen mit ja beantworten können, empfehlen wir Ihnen, den Einsatz von Alternativen zu überprüfen. Eine mögliche Alternative stellen wir im nächsten Teil vor.

4 Maßnahmen, um Ihr Datenschutzrisiko zu minimieren

Wenn Sie zu dem Schluss kommen, dass Sie Google Analytics trotz der verbundenen Risken einsetzen möchten, empfehlen wir Ihnen mindestens folgende risikominimierende Maßnahmen zu treffen:

  • Eine Aktivierung von Google Analytics und der damit zusammenhängenden Cookies sollte durch entsprechende Voreinstellungen erst nach aktiver Einwilligung der jeweiligen Websitebesucher möglich sein. Google Analytics darf nicht automatisch in die Website eingebunden sein und von jedem Besucher Daten für statistische Zwecke sammeln. In diesem Zusammenhang weisen wir darauf hin, dass ein Einsatz von Google Analytics nicht auf Grundlage eines berechtigten Interesses erfolgen kann.
  • Sie sollten in den Einstellungen die Option „IP-Anonymisierung“ aktivieren. Diese Einstellung hat zur Folge, dass keine Übermittlung der gesamten IP-Adresse, sondern nur einer gekürzten Version, an den amerikanischen Mutterkonzern erfolgt. Auch wenn nicht geklärt ist, ob es sich dabei um eine Anonymisierung im Sinne der DSGVO handelt, so erfolgt zumindest eine Verarbeitung unter Einbeziehung des Grundsatzes der Datensparsamkeit.
  • Sie sollten in den Einstellungen die Speicherdauer der Cookies überprüfen und auf den möglichst kürzesten Zeitraum festlegen. Unseren Informationen nach beträgt der kürzeste Speicherzeitraum 14 Monate.
  • Sie sollten über den Einsatz in Ihrem datenschutzkonformen Cookie-Banner und Ihrer Datenschutzerklärung informieren.  

Dennoch: Risiken bleiben bestehen

Bitte beachten Sie, dass trotz dieser Maßnahmen Risiken verbleiben. Es ist davon auszugehen, dass Datenschutzaufsichtsbehörden nach wie vor davon ausgehen, dass trotz der beschriebenen risikominimierenden Maßnahmen ein datenschutzkonformer Einsatz von Google Analytics nicht möglich ist.

Google Analytics: Welche datenschutzfreundlichen Alternativen gibt es?

Eine Alternative, die beispielsweise der Landesbeauftragte für Datenschutz und Informationssicherheit Baden-Württemberg in seinen FAQs nennt, ist der Dienst Matomo.

Der Landesbeauftragte erklärt, dass es sogar möglich ist, den Einsatz des Dienstes auf ein berechtigtes Interesse zu stützen, wenn dieser auf eigenen Servern gehostet wird und lediglich Serverlogfiles aggregiert ausgewertet werden. Sofern diese Bedingungen eingehalten werden, bedarf es also nicht zwangsweise eine Einwilligung des Websitebesuchers.

Simon Pentzien

Als Jurist mit langjähriger Erfahrung als Anwalt für Datenschutz und IT-Recht kennt Simon die Antwort auf so gut wie jede Frage im Bereich der digitalen Compliance. Er war in der Vergangenheit unter anderem für Fieldfisher und Taylor Wessing tätig. Als Mitgründer und Chief Product Officer von SECJUR, lässt Simon seine Erfahrung vor allem in die Produktentwicklung einfließen.

Über SECJUR

SECJUR steht für eine Welt, in der Unternehmen immer compliant sind, aber nie an Compliance denken müssen. Mit dem Digital Compliance Office automatisieren Unternehmen aufwändige Arbeitsschritte und erlangen Compliance-Standards wie DSGVO, ISO 27001 oder TISAX® bis zu 50% schneller.

Compliance, completed

Automatisieren Sie Ihre Compliance Prozesse mit dem Digital Compliance Office

Mehr erfahren

Frequently asked questions

Everything you need to know about the product and billing.

Weiterlesen

November 6, 2023
5 min
NIS1 vs NIS2: Unterschied und Hintergrund der Richtlinien

Schauen Sie genauer hin, wie sich die EU-Cybersicherheitsrichtlinien von NIS1 zu NIS2 entwickelt haben und welchen Einfluss sie auf die Sicherheit digitaler Systeme in Europa ausüben. Unser Artikel hebt die markanten Unterschiede zwischen diesen Richtlinien hervor und beleuchtet, wie sie die digitale Sicherheit in Europa nachhaltig beeinflussen. Erfahren Sie, wie die Europäische Union intensivere Maßnahmen zur Absicherung kritischer Infrastrukturen und zur Bekämpfung von Cyberbedrohungen implementiert, um die digitale Landschaft in Europa sicherer zu gestalten und die Widerstandsfähigkeit gegenüber den wachsenden Herausforderungen zu stärken.

Lesen
October 11, 2023
6 min
NIS2 Anforderungen: Welche Pflichten kommen auf Unternehmen zu?

Cybersicherheit rückt verstärkt in den Fokus der EU, und die aktualisierten NIS2-Anforderungen stellen Unternehmen vor erhebliche Aufgaben. Dieser Artikel bietet einen kompakten Überblick über die Pflichten und Vorschriften, die Unternehmen erfüllen müssen, darunter die Selbst-Einordnung als "besonders wichtige" oder "wichtige" Einrichtungen, die Meldung von Sicherheitsvorfällen und die Implementierung von Sicherheitsmaßnahmen. Wir beleuchten die Bedeutung des Risikomanagements, der Sicherheit in der Lieferkette und der Schulung der Mitarbeiter in "Cybersecurity-Hygiene" und zeigen, warum die Einhaltung der NIS2-Anforderungen in ganz Europa von höchster Bedeutung ist.

Lesen
June 5, 2023
GPS Überwachung von Angestellten - erlaubt oder illegal?

Gerade die Überwachung von Mitarbeitern ist immer wieder Gegenstand gerichtlicher Streitigkeiten. Dabei stehen Unternehmen mittlerweile die verschiedensten Möglichkeiten zur Verfügung - von der Überwachung des E-Mail-Verkehrs bis hin zum Anbringen von Videokameras am Arbeitsplatz. Ob die umfassende GPS-Überwachung von Mitarbeitern datenschutzrechtlich zulässig ist, hatte das Verwaltungsgericht Lüneburg zu entscheiden. Wie ging es aus?

Lesen
TO TOP