Datenschutzverstoß durch Google Analytics: 9 von 10 Unternehmen in Europa betroffen

Es war ein Weckruf für die gesamte Digitalszene: Die österreichische Datenschutzbehörde (DSB) hat bei der Einbindung von Google Analytics auf Websites einen Verstoß gegen die DSGVO erkannt – und damit Unsicherheit bei Anwender:innen ausgelöst und zahlreiche Fragen aufgeworfen. Dürfen Unternehmen Google Analytics nun immer noch ohne Weiteres auf ihren Websites einbinden? Und wie kann die Problematik mit dem als illegitim bezeichneten Datentransfer von personenbezogenen Daten zwischen dem Europäischen Wirtschaftsraum und den USA behoben werden?

Während künftig weitere Entscheidungen erwartet werden, die Google Analytics als nicht DSGVO-konform einstufen könnten, fordert der Datenschutzaktivist Max Schrems, nach dem das für diese Entscheidung wegweisende Schrems II-Urteil benannt ist:

Langfristig brauchen wir entweder einen angemessenen Datenschutz in den USA, oder wir werden am Ende getrennte Produkte für die USA und die EU haben. Ich persönlich würde einen besseren Schutz in den USA bevorzugen, aber das ist Sache des US-Gesetzgebers.

Der Umgang mit personenbezogenen Daten: Google pocht auf neues Framework

Nach dem Entscheid der DSB fragen sich viele Marktteilnehmer:innen, inwieweit sie aktuell auf Google Analytics setzen können und welche Parteien letztlich für welche Aspekte der Datenverarbeitung verantwortlich sind. Gegenüber OnlineMarketing.de erklärt Google:

Die Menschen wollen, dass die Websites, die sie besuchen, gut gestaltet und einfach zu nutzen sind und ihre Privatsphäre respektieren. Google Analytics hilft Einzelhändlern, Behörden, NGOs und vielen weiteren Organisationen, zu verstehen, wie gut ihre Webseiten und Apps für Besucher:innen funktionieren – aber nicht, indem sie Einzelpersonen identifizieren oder sie im Internet verfolgen. Diese Unternehmen und Organisationen, nicht Google, kontrollieren, welche Daten erhoben und wie sie verwendet werden. Google unterstützt sie dabei, indem Google zahlreiche Schutz- und Kontrollmechanismen sowie Ressourcen für die Einhaltung von rechtlichen Vorgaben zur Verfügung stellt.

In einem Blogpost dokumentiert Googles Director für Product Management, Russell Ketchum, auf welche Weise Google Analytics als datenschutzkonforme Lösung fungieren kann. Er nennt diverse Fakten, darunter diesen: „Fakt: Google Analytics unterstützt Unternehmen und Organisationen mit zahlreichen Kontrollmechanismen und Ressourcen bei der Einhaltung von rechtlichen Vorgaben.“ In einem weiteren Post betont wiederum Kent Walker, seines Zeichens President für Global Affairs sowie Chief Legal Officer bei Google und Alphabet, dass nach dem Kippen des Privacy Shields dringend ein neues Framework für den Datentransfer zwischen der EU und den USA her muss. Kent Walker erklärt:

Businesses in both Europe and the U.S. are looking to the European Commission and the U.S. Department of Commerce to quickly finalize a successor agreement to the Privacy Shield that will resolve these issues. Both companies and civil society have been supporting reforms based on an evidence-based approach. The stakes are too high – and international trade between Europe and the U.S. too important to the livelihoods of millions of people – to fail at finding a prompt solution to this imminent problem.

Google scheint die Verantwortung für den Einsatz eines ihrer wichtigsten Dienste jedoch zu einem Gutteil auf die Politik und Dritte schieben zu wollen. Ist das legitim, oder muss das Unternehmen tatsächlich Einschränkungen der Nutzbarkeit von Google Analytics in der EU fürchten? Wir haben mit dem CEO des privatsphärezentrierten Datenschutz- und Analytics-Unternehmens Piwik PRO, Maciej Zawadzinski, gesprochen, um mehr über den Status quo zu Google Analytics zu erfahren. Im Interview erläutert er, warum Anwender:innen jetzt handeln sollten und wieso auch Dienste von Meta, Microsoft und Co. zukünftig datenschutzrechtliche Probleme bekommen könnten.

Das Interview

OnlineMarketing.de: Wie groß schätzt du den Einfluss ein, den eine flächendeckend erschwerte Nutzung von Google Analytics aufgrund von Datenschutzverstößen haben könnte? 

Maciej Zawadzinski: Nach Angaben von W3Techs beträgt der Marktanteil von Google im Bereich Analytik 86,5 Prozent oder anders ausgedrückt: Neun von zehn Unternehmen in Europa werden betroffen sein.  

Das bedeutet, dass diese Unternehmen neue Analyse-Tools finden müssen, um die Daten wie gewohnt weiter zu verarbeiten. Ein Tool, das nicht unter das Cloud-Gesetz fällt und nicht verpflichtet ist, die Daten an die US-Behörden weiterzugeben. Eine andere Lösung besteht darin, die Art und Weise der Datenerhebung zu ändern, indem zusätzliche ausdrückliche Einwilligungen der Nutzer:innen für Datenexporte eingeführt werden.   

Die zweite Option wird wahrscheinlich der Fall sein, wenn eine engere Beziehung zum Endkunden besteht. Deshalb glauben wir, dass die in den USA ansässigen CRM-Anbieter:innen von diesem Urteil weniger betroffen sein werden. Es läuft darauf hinaus, dass das Grundvertrauen zwischen der Marke und dem User bereits aufgebaut ist, wenn diese in ihrer Customer Journey schon vorangeschritten sind.

Google möchte die Verantwortung für die Datenverarbeitung gern den jeweiligen Anwender:innen zuschreiben. Ist das aus deiner Sicht ein legitimer Schluss oder hat das Unternehmen mit dem Bereitstellen der Infrastruktur auch für die Einhaltung sämtlicher Datenschutzregeln zu sorgen? 

Google überträgt die Verantwortung an das Unternehmen. Es ist das Unternehmen, das entscheidet, wie es die Daten verarbeitet (ohne große Hilfe von Google). Die vernünftigste Entscheidung hier ist, dass das Unternehmen die Nutzer:innen über den Umfang der Verarbeitung und der Datenübermittlung informiert und ihnen die Wahl lässt.   

Wichtig dabei ist, dass das Unternehmen vor der Entscheidung kein Recht hat, Google Analytics zu aktivieren, so dass keine Daten nachverfolgt werden. Die Einführung einer Einwilligung vor dem Start von GA wird wahrscheinlich zu einem erheblichen Datenverlust führen (unsere interne Studie zeigt bis zu 80 Prozent). Google und die Vermarkter:innen fürchten sich davor, den Internetnutze:innen das Recht zu geben, sich zu entscheiden. 

Müssen Unternehmen und Anwender:innen, die auf Google Analytics setzen, deiner Meinung nach schon jetzt ihre Datenverarbeitung rechtlich prüfen?

Ja, auf jeden Fall! Unseres Wissens nach bietet Google seinen Kund:innen jedoch keine benutzer:innendefinierten Bedingungen an und du kannst auch keinen Einfluss auf die Funktionsweise von Google Analytics nehmen. Persönlich oder nicht, der Dienst sendet die Daten außerhalb des Europäischen Wirtschaftsraums. Das bedeutet, dass sich deine Bewertung nicht wesentlich von der jedes anderen Unternehmens unterscheidet, das Google Analytics verwendet.

Was sollte für Website-Betreiber:innen nach der Entscheidung der erste Schritt sein, um sich rechtlich bei der Datenverarbeitung im Kontext von Systemen wie Google Analytics abzusichern?

Beginne mit der Zustimmung. Führe ein Pop-up-Fenster oder eine Leiste ein, die um Zustimmung bittet, bevor du eine Lösung einsetzt, die die Daten in Länder außerhalb des EWR sendet. Bewerte dann die Situation und die Opt-in-Raten. Entscheide, ob du Alternativen zu deinen derzeitigen Lösungen in Europa finden musst. 

Mit welchen Konsequenzen müssen Anwender:innen rechnen, die Google Analytics auch dann einbinden und einsetzen, wenn die DSGVO-Verstöße beispielsweise gerichtlich bestätigt werden? 

Die Geldbußen nach der DSGVO betragen bis zu 20 Millionen Euro oder vier Prozent des weltweiten Umsatzes im vorangegangenen Geschäftsjahr – je nachdem, welcher Betrag höher ist.

Müssten sowohl Google als auch Anwender:innen im Falle illegitimer Datentransfers personenbezogener Daten zwischen der EU und den USA haften? 

Ja. Natürlich kann Google auf größere Ressourcen zurückgreifen, um sich zu verteidigen. Solange Google Analytics Online-Kennungen verarbeitet, die per Definition personenbezogene Daten sind (zum Beispiel IP-Adressen, Cookie-Kennungen), fallen sie unter die DSGVO. 

Hältst du es für vorstellbar, dass Google Analytics nachträglich als DSGVO-konform eingestuft wird, wenn Google ein „angemessenes Schutzniveau gemäß Art. 44 DSGVO“ nachweisen könnte?

Es wäre möglich, auf der Grundlage von Art. 45, also einem Angemessenheitsbeschluss der Europäischen Kommission in Bezug auf die Übermittlung in die Vereinigten Staaten. Solange dies nicht der Fall ist, kann Google wohl nicht viel tun. Die Standardvertragsklauseln haben in dem hier behandelten Fall nicht gegolten, und es ist unwahrscheinlich, dass Google eine technische oder organisatorische Maßnahme zur Umgehung der US-Überwachungsgesetze findet. 

Dürfen unter den aktuellen Datenschutzbestimmungen noch Client-IP-Adressen aus der EU an Google in den USA übermittelt werden?

Ja, wenn du die ausdrückliche Zustimmung der Nutzer:innen hast. 

Eine Datenverarbeitung komplett in der EU könnte das Problem womöglich lösen? Denkst du, dass Google das jemals zulassen würde?

Die kurze Antwort lautet Nein. Google Analytics ist ähnlich wie andere Google-Dienste wie Search und Ads. Es ist kein lokalisierter Dienst, das heißt, du kannst den Dienst beispielsweise nicht auf der Google Cloud Platform (GCP) in Deutschland hosten. Wenn dies möglich wäre, könnte Google möglicherweise eine zusätzliche Schutzschicht für die Daten einrichten, etwa eine Verschlüsselung. Aber: Solange Google diese Verschlüsselungs-Keys besitzt, ist es gesetzlich verpflichtet, sowohl Daten als auch Keys an die US-Behörden herauszugeben (aufgrund des Cloud Act).

Es liegen zahlreiche Beschwerden gegen Google Analytics vor, in den Niederlanden wurde bereits eine ähnliche Tendenz wie in Österreich konstatiert, was die Datenschutzverstöße angeht. Denkst du, dass Gerichte und Behörden in der EU alle ähnlich entscheiden werden?

Dieser Fall war nicht Teil des One-Stop-Shop-Verfahrens, aber soweit wir wissen, gibt es eine Task Force, die die lokalen Datenschutzbehörden koordinieren soll, um bei anderen Beschwerden in den übrigen EU-Ländern ähnlich zu entscheiden. Es sieht so aus, als würde die nächste ähnliche Entscheidung in den Niederlanden getroffen werden.   

Denkst du, dass die Entscheidung aus Österreich ein Kickstarter für ähnliche Entscheidungen zulasten von US-Unternehmen sein könnte? Das heißt, könnten künftig auch Dienste von Microsoft, Meta und Co. für nicht datenschutzkonform erklärt werden? 

Ja. Bedenke, dass Google Analytics nur ein Beispiel für Tools ist, die massenhaft Daten sammeln. Ich denke, dass die Auswirkungen auch Werbetechnologie-Tools wie Facebook Connect, Google Ads oder Content-Serving-Technologien wie Fonts, Captcha oder CDNs betreffen könnten. Bei CRM-Anbieter:innen wie HubSpot oder Mailchimp würde es weniger Rückwirkungen geben, da sie einfach die Formulierung der Einwilligung anpassen werden, um die Datenübertragungen korrekt wiederzugeben (falls dies nicht bereits ihre normale Geschäftspraxis ist).   

---

Wir bedanken uns recht herzlich für die Insights von Maciej Zawadzinski im schriftlichen Interview.