Ist Google Analytics rechtswidrig? Jetzt schon den Anbieter wechseln oder noch zuwarten?
Die österreichische Datenschutzbehörde hat am 22.12.2021 in einem Verfahren gegen ein großes deutschsprachiges Internetportal entschieden, dass der Einsatz von Google Analytics durch die Antragsgegnerin nicht rechtskonform war. Diese Entscheidung erging über eine Beschwerde der Organisation NOYB von Max Schrems, die offenbar 101 derartige Beschwerden gegen Unternehmen in ganz Europa eingebracht hat.
Bevor Sie nun reflexartig den Einsatz von Google Analytics beenden, sollten Sie beachten, dass diese Entscheidung zu einer ganz konkreten Implementierung dieses Analysedienstes ergangen ist. Unter anderem hatte die Internetplattform verabsäumt, die Option einer automatischen Kürzung (Anonymisierung) der IP-Adressen zu aktivieren. Außerdem beurteilte die DSB eine Version von Google Analytics, die im Jahr 2020 im Einsatz war; ebenso beurteilte sie die zwischen der Internetplattform und Google abgeschlossenen Standardvertragsklauseln der EU in der damals geltenden Fassung. Mittlerweile gibt es eine deutlich erweiterte, neue Fassung dieser Standardvertragsklauseln.
Was beanstandet die DSB beim Einsatz von Google Analytics?
Es ist beim Einsatz von Google Analytics möglich, dass sowohl eine eindeutige Nutzerkennung als auch die IP-Adresse des Internetnutzers an Google in die Vereinigten Staaten übertragen werden. US-Behörden sind nach dem dort geltenden Recht befugt, von Google LLC Einsicht in solche Daten zu nehmen. Im Verfahren vor der DSB räumte Google ein, dass es solche Anfragen durch US-Behörden wiederholt gegeben hatte.
Die Übermittlung von personenbezogenen Daten ist zwar grundsätzlich durch den Abschluss der genannten Standardvertragsklauseln, deren Muster die EU vorgibt, möglich. Denn in diesen Klauseln verpflichten sich das europäische Unternehmen und der Empfänger der Daten in den USA, das europäische Datenschutzniveau einzuhalten. Allerdings handelt es sich dabei um einen Vertrag, der die US-Behörden nicht binden kann. Google könnte den US-Behörden nicht die Auskunft mit Berufung auf diese Vertragsklauseln verweigern.
Die DSB gelangte zum Ergebnis, dass die zwischen der Internetplattform und Google abgeschlossenen Vertragsklauseln nicht ausreichen, um Google Analytics rechtskonform zu nutzen.
Mittlerweile hat auch die französische Behörde CNIL über eine Beschwerde von NOYB ähnlich entschieden.
Einwilligung der Nutzer – eine taugliche Alternative zu Standardvertragsklauseln?
Die DSGVO erlaubt, personenbezogene Daten in Drittstaaten auch dann zu übermitteln, wenn die betroffenen Personen dazu ausdrücklich eingewilligt haben, nachdem sie über die für sie bestehenden möglichen Risiken derartiger Datenübermittlungen unterrichtet wurde.
In den beiden uns vorliegenden Entscheidungen war diese Möglichkeit, soweit ersichtlich, kein Thema. Offenbar hatten die Betreiber keine derartige Einwilligung eingeholt.
Unsere Einschätzung
Derzeit gibt es zum Einsatz von Google Analytics bei Verwendung der neuen Standardvertragsklauseln, soweit ersichtlich, keine Entscheidung einer Datenschutzbehörde. Ebenso musste die DSB bislang nicht beurteilen, ob der Betreiber eine ausreichende Einwilligung in die Nutzung von Google Analytics eingeholt hatte.
Somit lässt sich derzeit nicht abschließend sagen, dass der Einsatz von Google rechtskonform ist, derzeit steht aber auch nicht das Gegenteil fest.
Der Einsatz von Google Analytics könnte durchaus als rechtskonform eingestuft werden, wenn
– die neuen Standardvertragsklauseln mit Google abgeschlossen sind
– die IP-Anonymisierung aktiviert ist (Daten, die vor der Aktivierung erhoben worden sind, müssen gelöscht werden)
– die Einwilligung der Nutzer in das Tracking durch Google Analytics nach einer ausreichenden Information über potentielle Risiken einer Übermittlung von Daten in die USA eingeholt wird.
Mehrere europäische Anbieter von Trackingtools nutzen die derzeit bestehende Unsicherheit für die Kundenakquise. Wir gehen davon aus, dass auch Google intensiv an der Änderung seines Systems arbeitet, um einem drohenden Kundenverlust entgegenzuwirken.
Wenn Sie jetzt sofort auf Nummer Sicher gehen wollen, dann sollten Sie sich nach Alternativen zu Google Analytics umsehen. Schon bald dürften aber weitere Entscheidungen vorliegen, die auch die neuen Vertragsklauseln und die Einwilligung der Nutzer in Google Analytics behandeln. In der Zwischenzeit könnte es auch schon eine technische Anpassung von Google Analytics geben.
Für eine ausführliche Beratung und Prüfung Ihres Einsatzes von Google Analytics stehen Ihnen unsere Partner Alexander Koukal und Markus Dörfler zur Verfügung.