Ist Google Analytics in der EU illegal?
Die rechtskonforme Nutzung von Google Analytics ist auch in Europa möglich. Hier erklären wir, wie.
Anfang 2022 haben österreichische und französische Datenschutzbeauftragte erklärt, dass die Verwendung von Google Analytics für europäische Unternehmen aufgrund von Datenschutzverletzungen illegal ist. Nun haben die norwegischen und dänischen Datenschutzbehörden erklärt, wie Unternehmen Google Analytics weiterhin rechtskonform nutzen können.
Die norwegische Datenschutzbehörde erklärt:
“Seit den Entscheidungen unserer europäischen Kollegen haben wir uns das Tool und die spezifischen Einstellungen, die Sie verwenden können, wenn Sie Google Analytics nutzen wollen, genauer angesehen. Dies war besonders wichtig, da Google nach der ersten Entscheidung aus Österreich damit begonnen hat, zusätzliche Einstellungen in Bezug auf die Informationen, die mit dem Tool gesammelt werden können, zur Verfügung zu stellen. Die Schlussfolgerung ist jedoch nach wie vor, dass das Tool nicht legal verwendet werden kann.
Ist Google Analytics in Europa also illegal?
Ja und nein. Es ist für europäische Unternehmen illegal, Google Analytics “so wie es ist” zu verwenden. Durch die Anwendung technischer Maßnahmen wie Pseudonymisierung ist es jedoch möglich, Google Analytics in Übereinstimmung mit der DSGVO zu verwenden.
Wie kann man GA in Übereinstimmung mit der DSGVO verwenden?
Eine mögliche technische Maßnahme, die bei der Verwendung von Google Analytics berücksichtigt werden muss, ist die Pseudonymisierung. Die europäische Datenschutz-Grundverordnung verlangt, dass Google nicht in der Lage sein darf, herauszufinden, wessen Daten sie sehen. Dazu gehören die IP-Adressen von Personen, aber auch andere Informationen, die Rückschlüsse auf die Identität einer Person zulassen.
Um die Daten zu bereinigen, bevor sie an Google gesendet werden, müssen europäische Unternehmen sie daher über einen Reverse Proxy senden.
Hier finden Sie eine detaillierte Anleitung der französischen CNIL, wie Sie Ihre Analysedaten über einen Proxy an Google senden können.
Dies ist jedoch leichter gesagt als getan. Die von der CNIL - Commission Nationale de l’Informatique et des Libertés - beschriebene Lösung ist ein kompliziertes technisches Durcheinander.
Die Idee ist, dass Unternehmen den gesamten Google-Analytics-Datenverkehr nicht direkt an die Google-Server schicken, sondern ihn über einen von ihnen kontrollierten Server in der EU leiten könnten.
Um die Datenschutzanforderungen der DSGVO zu erfüllen, müssen EU-Unternehmen die Daten auch von allen persönlich identifizierbaren Informationen bereinigen.
Die Empfehlung der CNIL besagt auch, dass alle UTM-Abfrageparameter, auch bekannt als Kampagnenkennungen, entfernt werden müssen. Diese Anforderung macht die Verwendung von Google Analytics sinnlos. Warum sollte ein Unternehmen Google Analytics verwenden, wenn es die Daten nicht nutzen kann, um herauszufinden, welche Werbekampagnen gut laufen und welche nicht?
Glücklicherweise gibt es hier in Europa zahlreiche Alternativen zu Google Analytics, zum Beispiel Matomo, Piwik, Plausible oder Econda.
Österreichische und französische Entscheidungen
Nach dem österreichischen Urteil vom Februar 2022 hat auch die französische Datenschutzbehörde CNIL erklärt, dass Google Analytics gegen die DSGVO verstößt und daher verboten werden muss. Die CNIL veröffentlichte eine Erklärung:
“Die CNIL hat in Zusammenarbeit mit ihren europäischen Kollegen die Bedingungen analysiert, unter denen die durch diesen Dienst [Google Analytics] gesammelten Daten in die Vereinigten Staaten übertragen werden. Die CNIL ist der Ansicht, dass diese Übertragungen rechtswidrig sind, und fordert einen französischen Websitebetreiber auf, die DSGVO einzuhalten und gegebenenfalls die Nutzung dieses Dienstes unter den derzeitigen Bedingungen einzustellen.”
Privacy Shield für ungültig erklärt
Als das Privacy-Shield-Abkommen im Jahr 2020 für ungültig erklärt wurde, hatte dies weitreichende Folgen für in Europa tätige US-Onlinedienste: Sie durften keine Daten europäischer Bürgerinnen und Bürger mehr an die USA übermitteln, da dies die Daten europäischer Bürgerinnen und Bürger für die amerikanische Massenüberwachung angreifbar machen würde - ein klarer Verstoß gegen die europäische Datenschutzgrundverordnung (DSGVO).
Die Tech-Industrie im Silicon Valley ignorierte das Urteil jedoch weitgehend. NOYB kritisiert:
“Während dies (=Ungültigerklärung von Privacy Shield) Schockwellen durch die Tech-Industrie schickte, haben US-Anbieter und EU-Datenexporteure den Fall weitgehend ignoriert. Genau wie Microsoft, Facebook oder Amazon hat sich Google auf sogenannte “Standardvertragsklauseln” verlassen, um den Datentransfer fortzusetzen und seine europäischen Geschäftspartner zu beruhigen.”
Nun schlägt die österreichische Datenschutzbehörde aber in die gleiche Kerbe wie der europäische Gerichtshof in seinem Urteil zu Privacy Shield: Sie hat entschieden, dass die Nutzung von Google Analytics gegen die Allgemeine Datenschutzverordnung (DSGVO) verstößt. Google “unterliegt der Überwachung durch US-Geheimdienste und kann angewiesen werden, Daten europäischer Bürger an diese weiterzugeben”. Daher dürfen die Daten der europäischen Bürger nicht über den Atlantik übermittelt und dort gespeichert werden.
Entscheidung des österreichischen Gerichts im Original.
Worum ging es in dem Fall?
Am 14. August 2020 hatte ein Google-Nutzer eine österreichische Webseite zu Gesundheitsfragen aufgerufen. Diese Webseite nutzte Google Analytics, und es wurden Daten über den Nutzer an Google übermittelt. Anhand dieser Daten konnte Google Rückschlüsse auf die Person ziehen.
Am 18. August 2020 beschwerte sich der Google-Nutzer bei der österreichischen Datenschutzbehörde mit Hilfe der Datenschutzorganisation NOYB.
Nun hat das österreichische Gericht diese Datenübermittlung für rechtswidrig erklärt.
Es geht darum, dass US-Behörden aufgrund des amerikanischen CLOUD Acts personenbezogene Daten von Google, Facebook und anderen US-Anbietern anfordern können, auch wenn diese außerhalb der USA, also zum Beispiel in Europa, tätig sind.
Somit kann Google kein angemessenes Schutzniveau gemäß Artikel 44 DSGVO bieten - ein klarer Verstoß gegen die europäischen Datenschutzgarantien. Da helfen auch die vom Webseitenbetreiber angeführten Standardvertragsklauseln nicht weiter, wie der Europäische Gerichtshof (EuGH) 2020 in seiner Entscheidung zum “Privacy Shield” (Schrems II) festgestellt hat.
Entscheidend für die rechtliche Beurteilung der Nutzung von Google Analytics ist nicht, ob ein US-Geheimdienst die Daten tatsächlich erhalten hat oder ob Google den Nutzer tatsächlich identifiziert hat. Allein die Tatsache, dass dies theoretisch möglich wäre, stellt bereits einen Verstoß gegen die DSGVO dar.
Google-Nutzer können in ihren Google-Konten einstellen, dass Google ihre Nutzung von Webseiten Dritter nicht im Detail auswertet. Aber dass es diese Funktion überhaupt gibt, ist ein Beweis dafür, dass Google in der Lage ist, Nutzungsdaten mit dem Individuum zusammenzuführen.
Größter Erfolg von NOYB
Dieses Urteil ist einer der bisher größten Erfolge der Datenschutzorganisation NOYB. Die NOYB und Max Schrems freuen sich daher sehr über die Entscheidung des österreichischen Gerichts:
“Das ist eine sehr detaillierte und fundierte Entscheidung. Die Quintessenz ist: Unternehmen können keine US-Cloud-Dienste mehr in Europa nutzen. Es ist jetzt 1,5 Jahre her, dass der Europäische Gerichtshof dies ein zweites Mal bestätigt hat, es ist also mehr als an der Zeit, dass das Gesetz auch durchgesetzt wird.”
Dieses Urteil ist die erste von 101 Klagen, die Schrems’ gemeinnützige Organisation NOYB in fast allen Mitgliedsstaaten der Europäischen Union eingereicht hat. Ähnliche Entscheidungen werden nun auch in Deutschland, den Niederlanden und anderen EU-Mitgliedstaaten erwartet.
Google Analytics entfernen?
Tutanota - als sicherer E-Mail-Dienst, der sich auf die Privatsphäre der Nutzer konzentriert - hat Google Analytics nie verwendet.
Doch nun müssen sich viele Unternehmen in Europa die Frage stellen, ob sie Google Analytics von ihren Webseiten entfernen oder eine Strafe wegen Verstoßes gegen die Datenschutzgrundverordnung riskieren sollten.
Auf lange Sicht gibt es zwei Möglichkeiten: Entweder ändern die USA ihre Überwachungsgesetze, um ihre Tech-Unternehmen zu stärken, oder US-Anbieter müssen die Daten europäischer Nutzer und Nutzerinnen in Europa hosten.
Die niederländische Behörde für personenbezogene Daten (AP), bei der zwei Entscheidungen über die Verwendung von Google Analytics noch ausstehen, hat nun ihre eigenen Leitlinien für die “datenschutzfreundliche Einrichtung von Google Analytics” aktualisiert.
Mit der Aktualisierung hat die AP eine Warnung hinzugefügt:
“Bitte beachten Sie: Die Verwendung von Google Analytics könnte bald nicht mehr zulässig sein.”
Die niederländische Behörde plant, Anfang 2022 über die anhängigen Google-Analytics-Fälle zu entscheiden. Dann wird die AP eine klare Aussage darüber treffen, ob die Verwendung von Google Analytics in Europa illegal ist oder nicht.
Fazit
Zwar werden die Tech-Unternehmen aus dem Silicon Valley stets einen Weg finden, ihre Dienste in Europa weiterhin anzubieten - auf dem einen oder anderen Weg -, doch die Vorgehensweise, die sie nach der Außerkraftsetzung des Privacy Shield gewählt haben, muss bei europäischen Unternehmen mehrere Alarmglocken läuten lassen:
Als europäisches Unternehmen kann man sensible Nutzerdaten nicht mehr Unternehmen wie Google anvertrauen, die die europäische Datenschutzgesetzgebung vorsätzlich ignorieren und hohe Geldstrafen für ihre europäischen Geschäftskunden riskieren.
Das Bußgeld gegen die österreichische Gesundheitswebsite im besprochenen Fall steht noch nicht fest, aber im schlimmsten Fall beträgt die Strafe 20 Millionen Euro oder 4 % des Jahresumsatzes.
Da der Datenschutz für Verbraucher auf der ganzen Welt immer wichtiger wird, ist es für jedes europäische Unternehmen ein logischer Schritt, Dienste zu wählen, die sich auf den Schutz der Privatsphäre ihrer Nutzer konzentrieren.
Europäische Alternativen für Google Analytics sind Matomo, Piwik, Plausible oder Econda - um nur einige zu nennen.
Wenn Sie auch andere Google-Dienste ersetzen möchten, lesen Sie unsere Tipps für mehr Privatsphäre im Internet mit vielen Google-Alternativen.
Eine großartige Gmail-Alternative ist zum Beispiel Tutanota, der sichere deutsche E-Mail-Anbieter, der vollständig mit der DSGVO konform ist. 😉