07.03.2022 | Datenschutz & IT | ID: 1111276

Google Analytics – Grenzen der Legalität?

Wolfgang Mader

Google Analytics und Facebook Pixel werden von den meisten Unternehmen genutzt. Aber wie kann es dazu kommen, dass die Verwendung dieser Tools plötzlich illegal ist und dem Anwender drakonische Geldbußen drohen?

Ausgangslage 

Der Ursprung der Probleme ist älter, aber zumindest im Jahr 2015 zu suchen. Bis zur EUGH-Entscheidung am 6. Oktober 2015 galt das „Safe Harbor-Agreement“, ein Vertrag der im Wesentlichen nur die Prinzipien des Datenverkehrs festhielt und wenig dazu beitrug, die Daten der EuropäerInnen zu schützen. Auf die Initiative von Max Schrems hin, wurde der Vertrag für unzureichend und damit ungültig erklärt.

Natürlich hätte man jetzt konstruktive Verhandlungen zwischen EU-Kommission und den USA erwartet, um aus dem Scheitern zu lernen, Datenschutz für europäische Daten auch in Amerika zu gewährleisten und eine gesunde Basis für den Datenverkehr zwischen den Kontinenten herzustellen.
Leider kam es anders und anstelle eines Vertrages entstand eine Rahmenvereinbarung im Rang einer „Angemessenheitsentscheidung“ namens „Privacy Shield“, die US-Unternehmen zu einer Selbstzertfizierung verpflichtete, die auch behördlich überprüft werden konnte. In kürzester Zeit waren unzählige Unternehmen Privacy Shield-konform und die Wirtschaft war erleichtert, dass es keine mühsameren Auflagen gab. Doch so unwirksam der Schutz durch die Rahmenvereinbarung auch war, es gab eine Gruppe von Verantwortlichen, die sich nicht daran halten mussten: die US-Behörden. Diese konnten auf Basis des „Foreign Intelligence Surveillance Act (FISA)“, des Patriot Act und des Cloud Act jederzeit von US-Unternehmen (bzw. auch deren europäischen Niederlassungen) die Daten der Kunden verlangen – einige wenige Unternehmen, wie zB Microsoft, haben derartige Anordnungen sogar vor Gericht bekämpft.

Am 16. Juli 2020 gab der EUGH Max Schrems erneut recht und erklärte das „Privacy Shield“ übergangslos für ungültig. 

Die Standarddatenschutzklauseln (SCC) blieben zwar gültig und wurden auch erneuert, sind aber alleine noch kein Garant für ein angemessenes Datenschutzniveau im importierenden Land.
Seither wird zwischen EU und USA über ein echtes Agreement verhandelt – es heißt man erwarte im Sommer 2022 einen Durchbruch. Vom Vertrag selbst ist freilich bis heute nichts bekannt.

Konsequenzen

Es sollte bis Ende 2021 dauern, bis die Datenschutzbehörden von Europa hier reagierten – erneut getrieben von Max Schrems, dessen NGO „NOYB“, 101 Beschwerden gegen Unternehmen eingebracht hatte, die auf ihrer Webseite nach wie vor Google Analytics verwendeten, obwohl es für den Datenexport keine legale Basis gab.

Im Dezember 2021 wurde schließlich ein (nicht rechtskräftiger) Teilbescheid erlassen, der den Einsatz von Google Analytics als illegal erkennt.
Die deutsche Datenschutzkonferenz veröffentlichte kurz vor Weihnachten ihre „Orientierungshilfe für Telemedien“ die zum gleichen Schluss kommt.

Die französische Datenschutzbehörde „CNIL“ entschied am 10. Februar 2022 ebenfalls, dass der Einsatz von Google Analytics illegal ist und gab dem betroffenen Webseitenbetreiber einen Monat Zeit, um den Verstoß zu beheben.

Wichtig:

Die Behörden machen dabei klar, dass es nicht nur um Google Analytics geht, sondern um den Datenexport in die USA. D.h. Facebook Pixel, Content-Delivery-Netzwerke, … verursachen die gleichen Probleme für den Anwender.

Mittlerweile gibt es eine EU-Taskforce der europäischen Datenschutzbehörden, die eine gemeinsame Formulierung erarbeiten und in der gesamten EU incl. EWR Geltung haben soll.

Doch welche Probleme erwarten denn die US-Unternehmen, deren Tools scheinbar nur noch illegal in der EU eingesetzt werden können? Deren Geschäftsmodell ja zu einem Großteil auf der Verarbeitung der so erworbenen Daten beruht? Beunruhigender Weise bisher noch keine erkennbaren.
Zwar machen die Datenschutzbehörden klar, dass sie die Vorgangsweisen von META und Alphabet (die Mutterkonzerne von Facebook und Google) als datenschutzfeindlich erachten, sprechen auch gewaltige Strafen gegen diese Unternehmen aus, aber nicht, weil sie Software und Services verbreiten deren Einsatz in der EU scheinbar illegal ist.
Sucht man einen Vergleich für die Vorgangsweise, wäre es so, als würden nur Drogensüchtige bestraft aber die Dealer bei ihrer Geschäftstätigkeit nicht behindert.

Reaktion der US-Unternehmen

Google und Facebook haben als ersten Schritt sofort damit begonnen, die Verträge auf ihre europäischen Töchter im US-Konzern freundlichen Irland zu überbinden.
Damit sollte der Kunde das Gefühl haben, dass sein Vertragspartner ja nun in der EU ansässig sei und demzufolge auch kein Problem mit Datenexport droht.

Leider wissen wir, genauso wie NOYB und die Datenschutzbehörden, dass Google Irland Ltd und Facebook Irland Ltd. alleine kaum in der Lage sind, die Services zu erbringen. Der Support, die Serverlandschaft, die Business-Logik, die Software-Architekten sind davon völlig unabhängig wo der Server steht – sei es Frankfurt, Dublin oder New York. Darüber hinaus greifen nach wie vor die oben angeführten Gesetze in den USA und ein Konzern ist verpflichtet Daten auch dann den Behörden zu übergeben, wenn sie auf europäischen Servern liegen.

Einwilligung des Betroffenen

Aber sollte es nicht genügen, die Zustimmung des Webseitenbesuchers einzuholen, damit ein Datenexport legal möglich wird?
Die Antwort ist: Ja, aber.
Der Artikel 49 DSGVO legt „Ausnahmen für bestimme Fälle“ fest, in denen es doch zum Datenexport kommen kann. Dabei muss uns im Wesentlichen nur Absatz 1 lit a interessieren, der folgendes besagt:

die betroffene Person hat in die vorgeschlagene Datenübermittlung ausdrücklich eingewilligt, nachdem sie über die für sie bestehenden möglichen Risiken derartiger Datenübermittlungen … unterrichtet wurde“

Also genügt doch eine Einwilligung?

Nun um Art 49 DSGVO zu entsprechen, ist der Webseitenbetreiber gezwungen im Consentmanagement, also der Oberfläche, wo die Einwilligung für das Setzen von Cookies eingeholt wird:

  • Voll inhaltlich über die Zwecke des Datenexports und der damit verbundenen Verarbeitung zu informieren
  • Das mit dem Datenexport verbundene Risiko zu erklären
  • Die Freiwilligkeit der Einwilligung sicher zu stellen – eine Ablehnung der Einwilligung oder ein Widerruf derselben muss genauso einfach möglich sein wie die Einwilligung selbst
  • Auf der Ebene wo die Einwilligung eingeholt wird, muss bereits die volle Information vorliegen, damit ein Betroffener beurteilen kann ob er wirklich zustimmt das Risiko einzugehen
  • Zusätzliche Informationen in aufklappbaren Menüs unterzubringen

Selbst dann halten die deutschen Behörden in ihrer Orientierungshilfe fest, dass Art 49 DSGVO für Webseiten-Analyse ungeeignet ist – eine umstrittene Sichtweise, die wohl erst vor Gericht bewiesen werden muss.

Die österreichische Datenschutzbehörde hält in ihrem Teilbescheid zu Netdoktors-Google Einsatz nur fest, dass der Verantwortliche sich ja nicht auf Art 49 Abs 1 lit a DSGVO berufen hat und man deshalb nicht darüber reden muss.

Alternativen

Wenn Google Analytics nur verwendet wird, um herauszufinden, wieviele Besucher auf der Webseite waren, gibt es viele Alternativen, die mit übersichtlichem Aufwand verwendet werden können und keinerlei Datenexport beinhalten. Das werden in der EU wohl etwa 50 % aller Webseiten sein, die Googl Analytics einsetzen und die ein Gratis-Tool verwenden, weil es da ist.
Wer seine Marketing-Strategie auf den Werbenetzwerken von Google oder Facebook aufbaut, hat es dabei wesentlich schwerer.
Conversion-Raten von Google-Adwords–Kampagnen ohne gleichzeitigen Einsatz von Analytics zu erheben wird schwerfallen. Auch das „Funneling“, wiederholte Anzeigen von Werbung auf verschiedensten Webseiten, nachdem man sich im Webshop das Ding einmal angesehen hat, setzt voraus, dass es diese Information auch gibt.

Server Side Statistics, also die Erfassung und Verarbeitung der Zugriffsdaten mit eigenen Cookies, sind eine gute Alternative, wenn auch das Marketing-Konzept angepasst wird und ohne US-Werbenetzwerke auskommt.
Wenn die Information nur dazu verwendet wird, um unabhängig von der Browser-Session auf einem gesonderten Server die gleiche Information zu Google oder Facebook zu bringen, ist es aus Sicht der DSGVO nicht viel anders und man hätte bei einer behördlichen Überprüfung auch die gleichen Probleme.

Schlussfolgerung

Zur Zeit sind die Verantwortlichen EUGH-Urteilen, Orientierungshilfen oder Bescheiden von Datenschutzbehörden ausgesetzt, die nur notwendig werden, weil notwendige Verträge zum Datenexport nicht abgeschlossen wurden.

Auch wenn Art 49 Abs 1 lit a DSGVO so etwas wie ein Heftpflaster darstellen könnte, ist die Wunde darunter noch nicht geheilt.
Die Verbreitung von Tools, die laut Behörden legal kaum einsetzbar sind, hat keine Konsequenzen. Dadurch gibt weder eine Veranlassung für Google oder Facebook auf die US-Regierung einzuwirken, um ein sauberes Vertragswerk mit der EU abzuschließen, noch eigene Produkte für den europäischen Markt anzubieten die einen DSGVO-konformen Einsatz möglich machen würden.

Der etwas weltfremde Aufruf, man möchte anstelle US-Services doch europäische Alternativen einsetzen, kommt zwei Jahrzehnte zu spät, in denen jedes interessante Startup von US-Konzernen aufgesaugt wurde und keine Anreize geschaffen wurden dieses Know-how in der EU zu behalten oder weiter zu fördern. Von Google oder Facebook gekauft zu werden, war oft genug das Ziel von Startups, weil eine Entwicklung in der EU ein viel steinigerer Weg wäre.

Als verantwortliches Unternehmen muss man sich nun die Frage stellen, wieviel das Risiko, einen Bußgeld-Bescheid der Datenschutzbehörde zu erhalten, wert ist und diese Risikoabschätzung für eine allfällige Aufforderung zur Stellungnahme auch bereithalten.

Autor:

Wolfgang Mader
Zert. Datenschutzbeauftragter

www.median.one

Interessante Links:

Art 49 Abs 1 lit a DSGVO: Einwilligung zum Datenexport für bestimmte Fälle

CNIL: Use of Google Analytics https://www.cnil.fr/en/use-google-analytics-and-data-transfers-united-states-cnil-orders-website-manageroperator-comply

Österreichische Datenschutzbehörde: Entscheidung über die Verwendung von Google Analytics https://www.dsb.gv.at/download-links/bekanntmachungen.html#Google_Analytics

DSK: Orientierungshilfe Telemedien https://datenschutzkonferenz-online.de/media/oh/20211220_oh_telemedien.pdf

DSK: Gutachten zu Überwachungsbefugnissen in den USA https://www.datenschutzkonferenz-online.de/media/weitere_dokumente/Vladek_Rechtsgutachten_DSK_de.pdf

Alternativen zu Google Analytics:

https://matomo.org/

https://www.etracker.com/

Ähnliche Beiträge

  • Immer mehr europäische Datenschutzbehörden machen Ernst – WhatsApp erhält Millionenstrafe in Irland

    Zum Beitrag
  • Datenschutz: Privacy by Design oder Privacy by Default?

    Zum Beitrag
  • EuGH kippt Privacy Shield – Was müssen Unternehmen künftig beachten?

    Zum Beitrag

Produkt-Empfehlungen

Produkt-Empfehlungen