Dein wichtigster Touchpoint zur Digitalbranche.
Dein wichtigster Touchpoint zur Digitalbranche.
Digitalpolitik
Google Analytics verstößt gegen europäisches Datenschutzrecht

Google Analytics verstößt gegen europäisches Datenschutzrecht

Niklas Lewanczik | 13.01.22

Die österreichische Datenschutzbehörde (DSB) erkennt bei der Einbindung von Google Analytics auf Websites einen Verstoß gegen die DSGVO.

Es ist ein Paukenschlag, der in der Digitalbranche noch lange nachhallen könnte: Nachdem der Datenschutzverein Noyb um den bekannten Datenrechtler Max Schrems eine Musterbeschwerde bei der österreichischen Datenschutzbehörde (DSB) eingelegt hatte, hat diese nun entschieden, dass der Einsatz von Google Analytics nicht mit der DSGVO vereinbar ist. Konkret verstoße die Einbindung des populären Dienstes gegen das sogenannte Schrems II-Urteil des Europäischen Gerichtshofs von 2020. Dieses Urteil besagt, dass US-Anbieter:innen aus der EU keine personenbezogenen Daten in ein Nicht-EU-Land übermitteln dürfen – im Zuge dieser Entscheidung war auch der Privacy Shield zwischen der EU und den USA gekippt worden. Die Datenübermittlung von Google Analytics in die USA hat laut DSB nun „kein angemessenes Schutzniveau gemäß Art. 44 DSVGO“. Eine Beschwerde, die gegen Google direkt eingereicht worden war, lehnte die Behörde unterdessen ab.

Was bedeutet das für die Nutzung von Google Analytics?

Seit der Schrems II-Entscheidung des EuGH dürfen US-Unternehmen nur noch dann personenbezogenen Daten aus der EU etwa in die USA übermitteln, wenn sie explizit gültige Standardvertragsklauseln einsetzen. Allerdings wird in vielen Fällen bei Google, Meta und Co. nicht darauf zurückgegriffen. Max Schrems, Vorsitzender von noyb.eu, erklärt auf der Website des Vereins:

Anstatt ihre Dienste technisch so anzupassen, dass sie mit der DSGVO konform sind, haben US-Unternehmen versucht, einfach ein paar Texte in ihre Datenschutzrichtlinien einzufügen und den EuGH zu ignorieren. Viele EU-Unternehmen sind diesem Beispiel gefolgt, anstatt auf legale Dienste zu wechseln.

Technisch-organisatorische Maßnahmen (TOMs), die Google als Datenschutzoptionen angeführt hatte, hat die österreichischen Datenschutzbehörde als nutzlos eingestuft, wenn es um den potentiellen Zugriff der US-Behörden auf die personenbezogenen Datensätze geht. Im Bescheid heißt es ensprechend:

Sofern die technischen Maßnahmen betroffen sind, ist ebenso nicht erkennbar – und wurde seitens der Beschwerdegegner auch nicht nachvollziehbar erklärt –, inwiefern der Schutz der Kommunikation zwischen Google-Diensten, der Schutz von Daten im Transit zwischen Rechenzentren, der Schutz der Kommunikation zwischen Nutzern und Websites oder eine ,On-Site-Security‘ die Zugriffsmöglichkeiten von US-Nachrichtendiensten auf der Grundlage des US-Rechts tatsächlich verhindern oder einschränken.

Nach der Verkündung dieses Bescheids könnte die Einbindung von Google Analytics, wie sie bisher beinah flächendeckend vonstatten geht, auf der Kippe stehen. Die meisten Unternehmen und Selbstständigen setzen auf das Statistikprogramm von Google. Noyb erklärt dazu:

Obwohl es viele Alternativen gibt, die in Europa gehostet werden oder selbst gehostet werden können, verlassen sich viele Websites auf Google und übermitteln damit ihre Nutzerdaten an den US-Multi. Ebenso werden viele andere US-Dienste genutzt, die einen Zugriff durch US-Geheimdienste ermöglichen. Die Tatsache, dass die Behörden nun nach und nach US-Dienste für illegal erklären könnten, erhöht den Druck auf EU-Unternehmen und US-Provider, auf sichere und legale Optionen zu setzen. Hier ist vor allem die Verarbeitung ohne faktischen Zugriff von US-Unternehmen wichtig.

Sofern große Unternehmen wie Google und Meta, Microsoft und Apple ihre Datenschutzrichtlinien nicht an das EU-Recht anpassen, könnten Behörden und Gerichte ihre Dienste in der EU nach und nach für nicht legal nutzbar erklären.

Eigentlich sind alle US-Dienste betroffen

Der Verein Noyb hatte unter der Leitung von Max Schrems zahlreiche Beschwerden im Kontexte der Missachtung des Schrems II-Urteils bei verschiedenen Behörden in der EU eingereicht. Nun erklärt Schrems:

Wir erwarten, dass ähnliche Entscheidungen nun schrittweise in den meisten EU-Mitgliedstaaten fallen werden. Wir haben 101 Beschwerden in fast allen Mitgliedstaaten eingereicht, und die Behörden haben die Entscheidungen koordiniert. Eine ähnliche Entscheidung hat auch der Europäische Datenschutzbeauftragte letzte Woche getroffen.

Im Bescheid der österreichischen Datenschutzbehörde war einer Beschwerde, die gegen Google LLC in den USA eingereicht wurde, nicht stattgegeben worden. Verantwortlich seien demnach die europäischen Tochterfirmen wie Google Ireland Limited. Die DSB gab aber auch an, dass das Verfahren gegen Google LLC hinsichtlich möglicher Verstöße gegen Artikel 5, 28 und 29 DSGVO weiterläuft.

Was in diesem spezifischen Fall am Beispiel von Google zu großen Umwälzungen in der Digitalbranche führen könnte, bleibt wohl nicht auf die Alphabet-Tochter beschränkt. Denn die Datenschutzregelungen der EU gelten für sämtliche US-Anbieter:innen, weshalb auch Dienste von Microsoft, Meta und Co. nach genauer rechtlicher Betrachtung und entsprechenden Urteilen ihren legalen Status bei der Integration auf Websites verlieren könnten. Nun wird es 2022 und in den Folgejahren darauf ankommen, wie die Behörden und Gerichte die DSGVO und die ePrivacy-Verordnung auslegen und ob sie die bisher eher stiefmütterliche Behandlung des Datenschutzes beim Transfer personenbezogener Daten zwischen der EU und den USA vonseiten der US-Unternehmen abstraft. Google selbst erklärt gegenüber OnlineMarketing.de:

Die Menschen wollen, dass die Websites, die sie besuchen, gut gestaltet und einfach zu nutzen sind und ihre Privatsphäre respektieren. Google Analytics hilft Einzelhändlern, Behörden, NGOs und vielen weiteren Organisationen, zu verstehen, wie gut ihre Webseiten und Apps für Besucher:innen funktionieren – aber nicht, indem sie Einzelpersonen identifizieren oder sie im Internet verfolgen. Diese Unternehmen und Organisationen, nicht Google, kontrollieren, welche Daten erhoben und wie sie verwendet werden. Google unterstützt sie dabei, indem Google zahlreiche Schutz- und Kontrollmechanismen sowie Ressourcen für die Einhaltung von rechtlichen Vorgaben zur Verfügung stellt.

Diese Haltung jedoch ist mit geltendem Datenschutzrecht kaum vereinbar. Das Kräftemessen zwischen den Megakonzernen der USA und europäischen Datenschutzorganisationen geht daher weiter. Unternehmen, Marketer und Co. sollten die Entscheidungen jedoch im Blick behalten. Den gesamten Entscheid aus Österreich kannst du hier nachlesen.



Der Beitrag wurde am 18.01. um ein längeres Statement von Google erweitert.


Das lokale Google Ranking zu verbessern, sollte auf der Prioritätenliste jedes Unternehmens stehen. Das Salesurance E-Book zeigt auf, wie das Google Ranking funktioniert und welche Faktoren entscheiden, welches Unternehmen von Google auf den obersten Plätzen gerankt wird.

Jetzt herunterladen!

Kommentare aus der Community

Dieter Wiemkes am 27.01.2022 um 12:32 Uhr

Und wenn es für die Konzerne ZU bedrohlich wird, dann zeigen sie uns Ihren Stinkefinger. Sie lagern die Dienste dann einfach auf Tochterunternehmen mit Sitz in Irland aus.

Mehr dazu:
https://netzpolitik.org/2022/gutachten-veroeffentlicht-wie-us-geheimdienste-daten-aus-der-eu-abgreifen-koennten/?xing_share=news

Man zeigt uns deutlich, dass sie die „dunkle Seite der Macht“ und wir nur Vasallen sind.

Antworten
Niklas Lewanczik am 27.01.2022 um 12:50 Uhr

Hallo Dieter,

obwohl du grundsätzlich recht hast, ist es bei Google Analytics schwierig, den Dienst, da er nicht lokalisiert ist, einfach in der EU zu hosten. Hier bräuchte es eine umfassende Umstrukturierung des Dienstes oder eben einen neuen gesetzlichen Rahmen. Mehr Kontext findest du außerdem hier:

https://onlinemarketing.de/digitalpolitik/datenschutzverstoss-durch-google-analytics-9-von-10-unternehmen-in-europa-betroffen

Beste Grüße

Antworten
Phil am 18.01.2022 um 12:04 Uhr

Man stelle sich mal vor, die USA wäre ab morgen Teil der EU. Wäre dann ab übermorgen alles tutti frutti?

Mir kommt es bei der Diskussion so vor, als würden ausschließlich amerikanische Unternehmen arglistigen Blödsinn mit Daten anstellen. Traut man das innerhalb der EU nur niemanden zu oder warum ist das der Dreh- und Angelpunkt jeglicher Diskussion, die heutzutage über Datenschutz geführt wird?

Antworten
Niklas Lewanczik am 18.01.2022 um 14:07 Uhr

Hallo Phil,

grundsätzlich könnten natürlich auch in der EU Unternehmen Daten unlauter verarbeiten. In diesem Fall geht es aber darum, dass US-Unternehmen, die Daten aus der EU in die USA transferieren, potentiell gegen EU-Datenschutzrichtlinien verstoßen, da, vereinfacht gesagt, die Unternehmen in den USA dazu verpflichtet werden können, die – auch in Europa – generierten User-Daten US-Behörden wie der NSA oder dem FBI zur Verfügung zu stellen. Das ist aber mit dem geltenden EU-Datenschutz, insbesondere im Rahmen der DSGVO, nicht vereinbar. Der Rechtsschutz der User kann nicht gewährleistet werden. Entsprechend erklärt die österreichische Datenschutzbehörde in Bezug auf den Bescheid zu Google Analytics in der EU auch:

„Sofern die technischen Maßnahmen betroffen sind, ist ebenso nicht erkennbar – und wurde seitens der Beschwerdegegner auch nicht nachvollziehbar erklärt –, inwiefern der Schutz der Kommunikation zwischen Google-Diensten, der Schutz von Daten im Transit zwischen Rechenzentren, der Schutz der Kommunikation zwischen Nutzern und Websites oder eine ,On-Site-Security‘ die Zugriffsmöglichkeiten von US-Nachrichtendiensten auf der Grundlage des US-Rechts tatsächlich verhindern oder einschränken.“

Google hat unterdessen die eigene Sicht auf die Sachlage geteilt: https://blog.google/intl/de-de/unternehmen/fakten-zu-google-analytics/ und sagt:

„Die Menschen wollen, dass die Websites, die sie besuchen, gut gestaltet und einfach zu nutzen sind und ihre Privatsphäre respektieren. Google Analytics hilft Einzelhändlern, Behörden, NGOs und vielen weiteren Organisationen, zu verstehen, wie gut ihre Webseiten und Apps für Besucher:innen funktionieren – aber nicht, indem sie Einzelpersonen identifizieren oder sie im Internet verfolgen. Diese Unternehmen und Organisationen, nicht Google, kontrollieren, welche Daten erhoben und wie sie verwendet werden. Google unterstützt sie dabei, indem Google zahlreiche Schutz- und Kontrollmechanismen sowie Ressourcen für die Einhaltung von rechtlichen Vorgaben zur Verfügung stellt.“

Beste Grüße

Antworten
Thomas Stollberger am 14.01.2022 um 16:10 Uhr

Mit UA oder GA4 oder Cookies hat das nichts zu tun, In beiden Fällen wird die Client IP-Adresse, die als personenbezogene Daten gilt, an Google übergeben. Das ist ohne Einwilligung spätestens seit Schrems II problematisch.

Antworten
Thomas Kaiser am 14.01.2022 um 15:58 Uhr

Bezieht sich das Urteil auf Google Analytics (Universal Analytics) oder schon auf das Google Analytics 4? Denn nachdem GA4 keine Cookie einsetzt und die FLOC in Europa aktuell nicht eingesetzt werden stellt sich die Frage, ob noch personenbezogene Daten in die USA fließen. Wenn man genau darauf achtet, dass in den Daten nicht doch solche personenbezogenen Daten auftauchen,
Danke für jeden Hinweis!

Antworten
Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*
*