Viele europäische Datenschutzbehörden (darunter die von Österreich, Frankreich, Norwegen, Dänemark und Deutschland) haben Google Analytics offiziell als nicht datenschutzkonform eingestuft. Das wirft für Unternehmen viele Fragen auf, galt das Tool doch lange als Standardausrüstung für Marketingteams… und zwar aus gutem Grund. Wir erklären, worin die Probleme mit Google Analytics – insbesondere dem Google Tag Manager – bestehen und was Sie tun können, um Konflikten mit Betroffenen und Datenschutzbehörden vorzubeugen.
Warum ist Google Analytics nicht datenschutzkonform?
Die kurze Antwort: Weil Google – u. a. über seinen Dienst Google Analytics – personenbezogene Daten zu Website-Besuchern erfasst und an Server in den USA übermittelt, wo US-Behörden Zugriff auf diese haben.
Google gilt nach US-Recht als Anbieter elektronischer Kommunikationsdienste im Sinne von 50 U.S. Code § 1881(b)(4) und unterliegt als solcher der Überwachung durch US-Geheimdienste (z. B. gemäß 50 U.S. Code § 1881a [„FISA 702”]). Google stellt hiernach der US-Regierung aktiv personenbezogene Daten zur Verfügung.
Als einer von zwei zentralen Kritikpunkten hat diese Überwachungsmöglichkeit im Schrems II-Urteil des EuGH dazu geführt, dass das EU-US-Privacy Shield als Sicherheitsgarantie gekippt wurde. Dies führt zu dem Ergebnis, dass der Einsatz von Google Analytics auf Websites von Unternehmen in der EU nach Ansicht der Datenschutzbehörden mit der DSGVO nicht vereinbar ist und daher gegen diese verstößt.
Ist Google Analytics in Kombination mit Standardvertragsklauseln doch wieder datenschutzkonform?
Als Reaktion auf das Schrems II-Urteil verabschiedete EU-Kommission 2021 sogenannte Standardvertragsklauseln (SCCs), die eine Datenübermittlung in Drittländer wie die USA vereinfachen sollten. Laut EuGH ist die Übermittlung rechtmäßig, sofern das Drittland, in das die Daten übermittelt werden, ein ebenso hohes Datenschutzniveau garantieren kann.
Faktisch ist das in den USA nicht der Fall, weil auch die SCCs keinen Zugriff durch US-Geheimdienste ausschließen können.
In Konsequenz bieten die vertraglichen Rahmenbedingungen von Google, genauer gesagt die „Auftragsverarbeitungsbedingungen für Google Werbeprodukte” und die „Google Ads Data Processing Terms: Model Contract Clauses, Standard Contractual Clauses for Processors” keine geeigneten Sicherheitsmaßnahmen im Sinne der DSGVO.
Lesen Sie hier unseren aktuellen Artikeln mit 10 Schritten zu internationalen Datentransfers im Einklang mit EU-Gesetzen.
Warum sprechen gerade alle über Google Analytics und nicht alle anderen Anbieter, die personenbezogene Daten genauso in die USA übermitteln?
Google Analytics ist so weit verbreitet, dass es zusammen mit anderen Tech-Giganten in den Fokus von Datenschützern geraten ist. Max Schrems und seine NGO noyb wollen den Druck erhöhen, damit das gekippte Privacy Shield auch wirklich Konsequenzen hat und Unternehmen aufhören, personenbezogene Daten in die USA zu übermitteln.
Daher reichte noyb im August 2022 Beschwerde gegen 101 europäische Unternehmen ein, die weiterhin auf Google Analytics und Facebook Connect setzen.
Zu diesen 101 Unternehmen gehören „unter anderen Airbnb Irland, die Universität Luxemburg, der TV Spielfilm Verlag, Chefkoch und Lieferando. Ausgewählt haben die Datenschutzaktivist:innen die Unternehmen anhand europäischer Top-Level-Domains (wie „.de“ für Deutschland), zwei spezifischen Tracking-Codes und den groben Besucher:innenzahlen der Seiten.“
Sowohl die Tools von Google und Meta als auch die 101 Unternehmen sind bei der Aktion exemplarisch zu verstehen. Die Beschwerden durch noyb sorgen trotzdem dafür, dass gerade alle von Google Analytics reden.
Ein weiterer Grund ist auch, dass Google Analytics, im Vergleich zu anderen Tools, in der Lage ist, Profile zu erstellen und diese mit bereits vorhandenen Daten zu verknüpfen.
Machen Sie Datenschutz zum Erfolgsfaktor
Stauben Sie in diesem Sonderbericht praktische Tipps für internationale Datentransfers ab. So wird Datenschutz zum Erfolgsfaktor.
Jetzt kostenlos herunterladenWelche personenbezogenen Daten verarbeitet Google Analytics?
Wenn Besucher eine Website besuchen, auf der Google Analytics verwendet wird, werden dabei folgende personenbezogene Daten verarbeitet:
- die HTTP-Anfrage des Benutzers
- Browser/Systeminformationen, dazu gehören…
- Art des Endgeräts (Smartphone oder Rechner)
- IP-Adresse, die unter Umständen anonymisiert wir, wenn entsprechende Einstellungen vorgenommen wurden.
- Sprache
- Browser und Add-ons
- Auflösung des Endgeräts
- Nutzerverhalten, dazu gehören…
- Klicks
- Verweildauer auf Seiten
- (First-Party) Cookies, sofern der Benutzer dem Cookie-Tracking zustimmt. Mit diesen Cookies kann Google Analytics nachvollziehen, …
- Ob ein Besucher vorher schon einmal auf der Website war (also ob es sich um einen neuen oder wiederkehrenden Nutzer handelt)
- Von welchen Besucherquellen ein Besucher auf Ihre Seite gekommen ist (Google-Suchanfrage (und ggf. über welches Keyword), Facebook-Link, etc.)
Technisch funktioniert das folgendermaßen:
Der im Quelltext der Website eingefügte JavaScript-Code verweist auf eine zuvor auf das Gerät des Websitebesuchers heruntergeladene JavaScript-Datei, welche die Verarbeitungstätigkeiten (= z. B. Tracking) für Google Analytics durchführt.
Die Tracking-Operation ruft Daten über die Seitenanfrage ab und sendet diese Informationen über eine Liste von Parametern an Google-Server, welche an eine einzelne Pixel-GIF-Bildanfrage angeschlossen sind.
Eine HTTP-Anfrage für jede Website enthält Details (z. B. Hostname, verwendeter Browsertyp, Referrer-URL und Spracheinstellungen) über den verwendeten Browser und den Computer, welcher die Anfrage stellt. Darüber hinaus bietet die DOM-Schnittstelle der Browser (= Schnittstelle zwischen HTML und dynamischem JavaScript) Zugriff auf detailliertere Browser- und Systeminformationen, wie Java- und Flash-Unterstützung und Bildschirmauflösung.
Darüber hinaus nutzt Google Analytics diese Informationen zu eigenen Zwecken, was ein weiteres datenschutzrechtliches Problem auslöst. Google soll als Auftragsverarbeiter für die Websitebetreiber tätig werden. Die Auftragsverarbeitung ist jedoch von dem Merkmal der Weisungsgebundenheit gekennzeichnet, was eine Verarbeitung zu eigenen Zwecken regelmäßig ausschließt.
Welche Implikationen es für Unternehmen, dass Google Analytics nicht als datenschutzkonform gilt?
Google Analytics ist nicht einfach nur ein kostenloses Tool zur Analyse der Website-Performance. Es ist das Tool. Zwar gibt es Alternativen, die in der EU gehostet werden können, jedoch sind diese oft nicht kostenfrei und sind anders aufgebaut, erfordern also ein Umdenken im Marketing-Team.
Um zu evaluieren, ob für Ihr Unternehmen ein Wechsel weg von Google Analytics in Frage kommt, sollten Sie folgende Fragen für sich beantworten:
- Wird Google Analytics wirklich benötigt und ausgewertet? Wenn ohnehin niemand in den Account schaut oder die Daten nicht als Entscheidungsgrundlage herangezogen werden, ist das Tool samt Auswertungsdaten vermutlich entbehrlich.
- Welche Google Analytics Daten sind für Sie relevant und gibt es europäische oder On-Premise-Anbieter, die diese Insights liefern können? Eine Liste mit Alternativen finden Sie zum Beispiel auf der Website von Ionos.
Was können Sie tun, um Google Analytics trotzdem weiter nutzen zu können?
Im Idealfall weichen Sie auf Alternativen aus. Falls jedoch die Business-Entscheidung getroffen wird, dass Sie am Einsatz von Google Analytics festhalten möchten und die hiermit einhergehenden datenschutzrechtlichen Risiken in Kauf nehmen, sollten Sie den Datenschutz im Rahmen des Möglichen, größtmögliche Beachtung zu schenken. Dazu empfehlen wir folgendes Vorgehen:
- Websitebesucher sind transparent über den Einsatz von Google Analytics zu informieren.
- Google Analytics darf erst mit ausdrücklicher Einwilligung der Websitebesucher genutzt werden.
- Im Zuge der Verwendung des Tools Google Analytics wird die Möglichkeit angeboten, eine „IP-Anonymisierungsfunktion“ zu verwenden. Dies sollte aktiviert werden.
Google Analytics datenschutzkonform einbinden dank Data Capture Platforms
Eine weitere Option, Google Analytics datenschutzkonform zu verwenden, ist die Implementierung einer Proxy-Lösung bzw. einer Data Capture Platform (DCP). DCPs ermöglichen das Tracken von Web-Usern mittels Server-Side-Tracking.
Server-Side-Tracking bedeutet, dass nicht mehr unzählige Drittanbieter-Cookies und Tracking-Code in den Browsern der User ausgeführt werden, sondern nur noch das Cookie und der Code des Webseiteneigentümers. Die daraus generierten Daten sind somit First-Party-Daten.
Mittels einer Data Capture Platform kann der Webseiteneigentümer diese Daten in der Folge an seine bestehenden Tools, wie etwa Google Analytics, weiterleiten und sie somit wie gewohnt nutzen. Denn zur Grundfunktionalität einer DCP gehört auch die Möglichkeit, die Daten vor der Weiterleitung an die Tools zu pseudonymisieren.
Diese Methode erlaubt die datenschutzkonforme Verwendung von Drittanbieter-Tools, auch nach den strengen Kriterien der DSGVO und Schrems II. Dadurch kann der oft aufwendige Umstieg auf weniger ausgereifte Tools vermieden werden.
Die Verwendung einer Data Capture Platform birgt weitere Vorteile:
-
Der Webseiteneigentümer erhält die volle Kontrolle über die erfassten Daten
-
Die Qualität der erfassten Daten erhöht sich, denn Adblocker und Tracking-Preventions blocken in der Regel keine First-Party-Cookies und -Code
Auf Änderungen der gesetzlichen Rahmenbedingungen beim Datenschutz kann einfach und schnell reagiert werden, ohne den Tech-Stack ändern zu müssen.
Doch es gibt auch Nachteile dieser Lösung:
-
Die Entwicklung einer Data Capture Platform ist sehr aufwendig, da neben Tracking- und Datenschutz-Features auch zahlreiche Integrationen für bestehende Tools entwickelt und gewartet werden müssen.
Da Server-Side-Tracking auf Servern stattfindet, muss geeignete, datenschutzkonforme Serverinfrastruktur aufgesetzt und gewartet werden. Dadurch entstehen laufende Kosten.
Alternativ zur Eigenentwicklung besteht die Option einer SaaS-Lösung, wie etwa die JENTIS Data Capture Platform. JENTIS DCP ist einfach zu bedienen und bietet umfassende Datenschutz-Features und Integrationen. Als Managed Service muss sich der Webseiteneigentümer zudem um die Server, technische Infrastruktur und die Wartung von Integrationen keine Gedanken machen.
Wie Ihnen DataGuard helfen kann
Bei DataGuard sind wir uns den Anforderungen des Datenschutzes an das Marketing mehr als bewusst. Durch die Betreuung von mehr als 3.000 Kunden kennen unsere Experten die Herausforderungen mit Google Analytics und anderen Web Analytic-Tools daher genau und können Ihnen daher individuelle Handlungsempfehlungen zur datenschutzkonformeren Nutzung geben. Außerdem ist die Datenschutz-Plattform von DataGuard ist ein hilfreiches Werkzeug, um die Datenschutzanforderungen im Marketing und den Umgang mit Webanalyse-Tools wie Google Analytics zu verwalten. Es ermöglicht eine einfache und effektive Überwachung und Verwaltung von Einwilligungen, Verarbeitungen und Dokumentationspflichten. Sprechen Sie uns gerne an und vereinbaren eine kostenlose Erstberatung.