Dein wichtigster Touchpoint zur Digitalbranche.
Dein wichtigster Touchpoint zur Digitalbranche.
Digitalpolitik
Datenschutzverstoß durch Google Analytics: 9 von 10 Unternehmen in Europa betroffen

Datenschutzverstoß durch Google Analytics: 9 von 10 Unternehmen in Europa betroffen

Niklas Lewanczik | 21.01.22

Ist Google Analytics in der EU noch problemlos anwendbar? Was bedeutet der Bescheid der österreichischen Datenschutzbehörde und wie äußert sich Google dazu? Erfahre mehr in unserem Beitrag und im Interview mit Datenschutzexperte Maciej Zawadzinski.

Es war ein Weckruf für die gesamte Digitalszene: Die österreichische Datenschutzbehörde (DSB) hat bei der Einbindung von Google Analytics auf Websites einen Verstoß gegen die DSGVO erkannt – und damit Unsicherheit bei Anwender:innen ausgelöst und zahlreiche Fragen aufgeworfen. Dürfen Unternehmen Google Analytics nun immer noch ohne Weiteres auf ihren Websites einbinden? Und wie kann die Problematik mit dem als illegitim bezeichneten Datentransfer von personenbezogenen Daten zwischen dem Europäischen Wirtschaftsraum und den USA behoben werden?

Während künftig weitere Entscheidungen erwartet werden, die Google Analytics als nicht DSGVO-konform einstufen könnten, fordert der Datenschutzaktivist Max Schrems, nach dem das für diese Entscheidung wegweisende Schrems II-Urteil benannt ist:

Langfristig brauchen wir entweder einen angemessenen Datenschutz in den USA, oder wir werden am Ende getrennte Produkte für die USA und die EU haben. Ich persönlich würde einen besseren Schutz in den USA bevorzugen, aber das ist Sache des US-Gesetzgebers.

Der Umgang mit personenbezogenen Daten: Google pocht auf neues Framework

Nach dem Entscheid der DSB fragen sich viele Marktteilnehmer:innen, inwieweit sie aktuell auf Google Analytics setzen können und welche Parteien letztlich für welche Aspekte der Datenverarbeitung verantwortlich sind. Gegenüber OnlineMarketing.de erklärt Google:

Die Menschen wollen, dass die Websites, die sie besuchen, gut gestaltet und einfach zu nutzen sind und ihre Privatsphäre respektieren. Google Analytics hilft Einzelhändlern, Behörden, NGOs und vielen weiteren Organisationen, zu verstehen, wie gut ihre Webseiten und Apps für Besucher:innen funktionieren – aber nicht, indem sie Einzelpersonen identifizieren oder sie im Internet verfolgen. Diese Unternehmen und Organisationen, nicht Google, kontrollieren, welche Daten erhoben und wie sie verwendet werden. Google unterstützt sie dabei, indem Google zahlreiche Schutz- und Kontrollmechanismen sowie Ressourcen für die Einhaltung von rechtlichen Vorgaben zur Verfügung stellt.

In einem Blogpost dokumentiert Googles Director für Product Management, Russell Ketchum, auf welche Weise Google Analytics als datenschutzkonforme Lösung fungieren kann. Er nennt diverse Fakten, darunter diesen: „Fakt: Google Analytics unterstützt Unternehmen und Organisationen mit zahlreichen Kontrollmechanismen und Ressourcen bei der Einhaltung von rechtlichen Vorgaben.“ In einem weiteren Post betont wiederum Kent Walker, seines Zeichens President für Global Affairs sowie Chief Legal Officer bei Google und Alphabet, dass nach dem Kippen des Privacy Shields dringend ein neues Framework für den Datentransfer zwischen der EU und den USA her muss. Kent Walker erklärt:

Businesses in both Europe and the U.S. are looking to the European Commission and the U.S. Department of Commerce to quickly finalize a successor agreement to the Privacy Shield that will resolve these issues. Both companies and civil society have been supporting reforms based on an evidence-based approach. The stakes are too high – and international trade between Europe and the U.S. too important to the livelihoods of millions of people – to fail at finding a prompt solution to this imminent problem.

Google scheint die Verantwortung für den Einsatz eines ihrer wichtigsten Dienste jedoch zu einem Gutteil auf die Politik und Dritte schieben zu wollen. Ist das legitim, oder muss das Unternehmen tatsächlich Einschränkungen der Nutzbarkeit von Google Analytics in der EU fürchten? Wir haben mit dem CEO des privatsphärezentrierten Datenschutz- und Analytics-Unternehmens Piwik PRO, Maciej Zawadzinski, gesprochen, um mehr über den Status quo zu Google Analytics zu erfahren. Im Interview erläutert er, warum Anwender:innen jetzt handeln sollten und wieso auch Dienste von Meta, Microsoft und Co. zukünftig datenschutzrechtliche Probleme bekommen könnten.

Das Interview

OnlineMarketing.de: Wie groß schätzt du den Einfluss ein, den eine flächendeckend erschwerte Nutzung von Google Analytics aufgrund von Datenschutzverstößen haben könnte? 

Maciej Zawadzinski: Nach Angaben von W3Techs beträgt der Marktanteil von Google im Bereich Analytik 86,5 Prozent oder anders ausgedrückt: Neun von zehn Unternehmen in Europa werden betroffen sein.  

Das bedeutet, dass diese Unternehmen neue Analyse-Tools finden müssen, um die Daten wie gewohnt weiter zu verarbeiten. Ein Tool, das nicht unter das Cloud-Gesetz fällt und nicht verpflichtet ist, die Daten an die US-Behörden weiterzugeben. Eine andere Lösung besteht darin, die Art und Weise der Datenerhebung zu ändern, indem zusätzliche ausdrückliche Einwilligungen der Nutzer:innen für Datenexporte eingeführt werden.   

Die zweite Option wird wahrscheinlich der Fall sein, wenn eine engere Beziehung zum Endkunden besteht. Deshalb glauben wir, dass die in den USA ansässigen CRM-Anbieter:innen von diesem Urteil weniger betroffen sein werden. Es läuft darauf hinaus, dass das Grundvertrauen zwischen der Marke und dem User bereits aufgebaut ist, wenn diese in ihrer Customer Journey schon vorangeschritten sind.

Maciej Zawadzinski

Google möchte die Verantwortung für die Datenverarbeitung gern den jeweiligen Anwender:innen zuschreiben. Ist das aus deiner Sicht ein legitimer Schluss oder hat das Unternehmen mit dem Bereitstellen der Infrastruktur auch für die Einhaltung sämtlicher Datenschutzregeln zu sorgen? 

Google überträgt die Verantwortung an das Unternehmen. Es ist das Unternehmen, das entscheidet, wie es die Daten verarbeitet (ohne große Hilfe von Google). Die vernünftigste Entscheidung hier ist, dass das Unternehmen die Nutzer:innen über den Umfang der Verarbeitung und der Datenübermittlung informiert und ihnen die Wahl lässt.   

Wichtig dabei ist, dass das Unternehmen vor der Entscheidung kein Recht hat, Google Analytics zu aktivieren, so dass keine Daten nachverfolgt werden. Die Einführung einer Einwilligung vor dem Start von GA wird wahrscheinlich zu einem erheblichen Datenverlust führen (unsere interne Studie zeigt bis zu 80 Prozent). Google und die Vermarkter:innen fürchten sich davor, den Internetnutze:innen das Recht zu geben, sich zu entscheiden. 

Müssen Unternehmen und Anwender:innen, die auf Google Analytics setzen, deiner Meinung nach schon jetzt ihre Datenverarbeitung rechtlich prüfen?

Ja, auf jeden Fall! Unseres Wissens nach bietet Google seinen Kund:innen jedoch keine benutzer:innendefinierten Bedingungen an und du kannst auch keinen Einfluss auf die Funktionsweise von Google Analytics nehmen. Persönlich oder nicht, der Dienst sendet die Daten außerhalb des Europäischen Wirtschaftsraums. Das bedeutet, dass sich deine Bewertung nicht wesentlich von der jedes anderen Unternehmens unterscheidet, das Google Analytics verwendet.

Was sollte für Website-Betreiber:innen nach der Entscheidung der erste Schritt sein, um sich rechtlich bei der Datenverarbeitung im Kontext von Systemen wie Google Analytics abzusichern?

Beginne mit der Zustimmung. Führe ein Pop-up-Fenster oder eine Leiste ein, die um Zustimmung bittet, bevor du eine Lösung einsetzt, die die Daten in Länder außerhalb des EWR sendet. Bewerte dann die Situation und die Opt-in-Raten. Entscheide, ob du Alternativen zu deinen derzeitigen Lösungen in Europa finden musst. 

Mit welchen Konsequenzen müssen Anwender:innen rechnen, die Google Analytics auch dann einbinden und einsetzen, wenn die DSGVO-Verstöße beispielsweise gerichtlich bestätigt werden? 

Die Geldbußen nach der DSGVO betragen bis zu 20 Millionen Euro oder vier Prozent des weltweiten Umsatzes im vorangegangenen Geschäftsjahr – je nachdem, welcher Betrag höher ist.

Müssten sowohl Google als auch Anwender:innen im Falle illegitimer Datentransfers personenbezogener Daten zwischen der EU und den USA haften? 

Ja. Natürlich kann Google auf größere Ressourcen zurückgreifen, um sich zu verteidigen. Solange Google Analytics Online-Kennungen verarbeitet, die per Definition personenbezogene Daten sind (zum Beispiel IP-Adressen, Cookie-Kennungen), fallen sie unter die DSGVO. 

Hältst du es für vorstellbar, dass Google Analytics nachträglich als DSGVO-konform eingestuft wird, wenn Google ein „angemessenes Schutzniveau gemäß Art. 44 DSGVO“ nachweisen könnte?

Es wäre möglich, auf der Grundlage von Art. 45, also einem Angemessenheitsbeschluss der Europäischen Kommission in Bezug auf die Übermittlung in die Vereinigten Staaten. Solange dies nicht der Fall ist, kann Google wohl nicht viel tun. Die Standardvertragsklauseln haben in dem hier behandelten Fall nicht gegolten, und es ist unwahrscheinlich, dass Google eine technische oder organisatorische Maßnahme zur Umgehung der US-Überwachungsgesetze findet. 

Dürfen unter den aktuellen Datenschutzbestimmungen noch Client-IP-Adressen aus der EU an Google in den USA übermittelt werden?

Ja, wenn du die ausdrückliche Zustimmung der Nutzer:innen hast. 

Eine Datenverarbeitung komplett in der EU könnte das Problem womöglich lösen? Denkst du, dass Google das jemals zulassen würde?

Die kurze Antwort lautet Nein. Google Analytics ist ähnlich wie andere Google-Dienste wie Search und Ads. Es ist kein lokalisierter Dienst, das heißt, du kannst den Dienst beispielsweise nicht auf der Google Cloud Platform (GCP) in Deutschland hosten. Wenn dies möglich wäre, könnte Google möglicherweise eine zusätzliche Schutzschicht für die Daten einrichten, etwa eine Verschlüsselung. Aber: Solange Google diese Verschlüsselungs-Keys besitzt, ist es gesetzlich verpflichtet, sowohl Daten als auch Keys an die US-Behörden herauszugeben (aufgrund des Cloud Act).

Es liegen zahlreiche Beschwerden gegen Google Analytics vor, in den Niederlanden wurde bereits eine ähnliche Tendenz wie in Österreich konstatiert, was die Datenschutzverstöße angeht. Denkst du, dass Gerichte und Behörden in der EU alle ähnlich entscheiden werden?

Dieser Fall war nicht Teil des One-Stop-Shop-Verfahrens, aber soweit wir wissen, gibt es eine Task Force, die die lokalen Datenschutzbehörden koordinieren soll, um bei anderen Beschwerden in den übrigen EU-Ländern ähnlich zu entscheiden. Es sieht so aus, als würde die nächste ähnliche Entscheidung in den Niederlanden getroffen werden.   

Denkst du, dass die Entscheidung aus Österreich ein Kickstarter für ähnliche Entscheidungen zulasten von US-Unternehmen sein könnte? Das heißt, könnten künftig auch Dienste von Microsoft, Meta und Co. für nicht datenschutzkonform erklärt werden? 

Ja. Bedenke, dass Google Analytics nur ein Beispiel für Tools ist, die massenhaft Daten sammeln. Ich denke, dass die Auswirkungen auch Werbetechnologie-Tools wie Facebook Connect, Google Ads oder Content-Serving-Technologien wie Fonts, Captcha oder CDNs betreffen könnten. Bei CRM-Anbieter:innen wie HubSpot oder Mailchimp würde es weniger Rückwirkungen geben, da sie einfach die Formulierung der Einwilligung anpassen werden, um die Datenübertragungen korrekt wiederzugeben (falls dies nicht bereits ihre normale Geschäftspraxis ist).   


Wir bedanken uns recht herzlich für die Insights von Maciej Zawadzinski im schriftlichen Interview.

Kommentare aus der Community

Till am 23.01.2022 um 19:21 Uhr

Das Thema „Datenschutz“ ist alle paar Jahre immer wieder in den Medien präsent, wenn ein Urteil gesprochen oder ein Gesetz geändert wurde. Was in der Regel auffällt ist, dass die Gesetzgeber und Gerichte offenbar kein echtes Verständnis des Internets haben. Die Cookie Notices ändern nichts daran, dass nicht sichergestellt ist, was mit den Daten passiert. „Geschrieben wird viel, wenn der Tag lang ist.“. Das ewige Klicken kostet aus meiner Sicht nur unnötig viel Zeit im Alltag und nervt. Ungefragte Werbebriefe und Anrufe sind dennoch alltäglich. Wie ist das möglich?

Ich sehe stets die Gefahr, dass kleinere Webseitenbetreiber aufgrund solcher Gesetzesänderungen immer häufer „aufgeben“ und ihre Projekte vom Netz nehmen. Diese finanzieren sich oftmals über Werbung oder Affiliateprogramme und können nur so ihren Content kostenlos zur Verfügung stellen. Nur die wenigsten haben ausreichend finanzielle Ressourcen, um die Dienstleistung teurer Fachanwälte einzuholen. Google, Facebook und Co. haben diesbezüglich natürlich keinerlei Schwierigkeiten. Die Kleinen gehen, die Großen bleiben… Informationsvielfalt sieht meiner Meinung nach anders aus. Ein wahrlicher Bärendienst, den Judikative und Legislative dem Internet schon seit etlichen Jahren bescheren. Wollen wir nur noch den qualitativ minderwerten Content großer Protale plus die inflationären Click Baits?!

Antworten
Klaus Mueller am 22.01.2022 um 20:32 Uhr

Viele Datenschutzexperten habe diese logische Konsequenz erwartet. Das bilaterale Abkommen zwischen EU und USA wurde vom EuGH im Juli 2020 gekippt also vor 1,5 Jahren. Die darauf folgenden 101 Anzeigen von Max Schrems aus Österreich sind nun bei vielen europäischen Datenschutzbehörden kurz vor Abschluß. Österreich war der erste Schlag. Niederlande und scheinbar Deutschland sind die nächsten Länder in der Reihe. Wenn man weiterhin Google Analytics verwenden möchte ist der Einsatz eines Daten Katalysator die einfachste und schnellste Option. Ein Wechsel auf ein neues EU konformes Tracking System ist natürlich auch eine legitime Option. Da es nicht nur um Web Analytics geht, sollte man eine einfache Lösung für das ganze Marketing Stack suchen und nicht einzeln Tool für Tool austauschen.

Antworten
Max Sonnenschein am 22.01.2022 um 08:54 Uhr

Ein interessanter Artikel zum Datenschutz, doch wie viele Benutzer lesen sich schon durch, was sie mit dem Klick auf einen „Akzeptieren“ Button zustimmen?

Wer jetzt denkt, so schlimm wird das schon nicht sein, dem empfehle ich, auf den blauen Kreis mit dem Fingerabrucklogo unten links auf dieser Seite zu klicken und sich dann die Anbieterliste anzuschauen.

Andererseits ist es auch völlig Wurscht, solange sich jeder ein mobiles Datensammlungsgerät aka Handy in die Tasche steckt. D.h. die Datenschutzdiskussion ist in meinen Augen eine Scheindiskussion. Erstens werden die betroffenen Unternehmen Alternativen finden, um weiterhin an die Daten zu kommen und andererseits können Webseitenbetreiber anhand von Analysedaten ihr Angebot verbessern und an den Nutzer anpassen, was wiederum dem Seitenbesucher zugute kommt. Und selbst bei der Werbung ist es scheinheilig gegen personalisierte Werbung zu hetzen, schließlich sorgt Werbung dafür, dass Angebot kostenfrei sind und wenn schon Werbung dein muss, dann ist mir auf mich zugeschnittene Werbung 10x lieber, als Werbung für Pampers oder Slipeinlagen.

So, das waren meine zwei Pfennige dazu.

Antworten
Sascha Woll am 22.01.2022 um 08:45 Uhr

Aber wohin soll das führen? Google Ads ohne Conversiontracking? Google Analytics könnte man ja durch europäische oder selbstgehostete Lösungen ersetzen. Aber das Conversiontracking? Ich habe das Gefühl da sind Datenschützer ohne Fachwissen am Werk. Wollen die die komplette Europäische Online Wirtschaft zerstören?

Antworten
André am 25.01.2022 um 01:45 Uhr

Ja, Datenschützer haben grundsätzlich Ahnung vom Thema Datenschutz an sich, wenn überhaupt. Da gebe ich dir soweit recht. Beim Rest allerdings nicht. Die Wirtschaft würde sich selbst zerstören. Nicht wegen den Datenschützern, sondern weil sie faul und geizig ist. Auch das Thema Conversiontracking ist eine billige Ausrede. Das Ganze ist ohne dem Facebook Pixel und Google Analytics ohne Probleme möglich. Der Haken an der Geschichte: es ist nicht so simpel verfügbar wie WordPress und Google Analytics. Millionen von Seitenbetreibern und auch Agenturen glauben, dass das ausreicht. Das ist allerdings ein Trugschluss. Eine professionelle Website kostet zwar Geld, bringt am Ende allerdings auch mehr ein und im Rahmen dessen könnte man ein für sich passendes Konzept implementieren. Bspw. könnte beim Seitenaufruf überprüft werden, ob ein campaign Parameter beigefügt wurde und diesen auswerten. Zusammen mit den Daten, die über die Google API bezogen werden können, ist es möglich das gesamte Tracking auf dem eigenen Server auszuwerten, ohne auch nur ansatzweise DSGVO Problematiken zu bekommen.

Es ist verdammt viel möglich, es macht nur keiner. Kostet ja Geld.. Dumm nur, dass es sogar mehr einbringt.

Es ist auch pervers, wie extrem es manche Seiten übertreiben. Schon oft größere Seiten gesehen, die gut über 200 Cookies platzieren. Wahnsinn. Hatte mal ein Cookie Analyse Addon installiert gehabt. Nach gut 2 Wochen hatte ich über 40.000 Cookies.

Antworten
Max Sonnenschein am 22.01.2022 um 08:56 Uhr

Danke. Ganz so schwarz/weiß, wie es uns die EU vormachen will, ist es am Ende nämlich nicht.

Antworten
Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

*
*