Warum Google Analytics unter der DSGVO für rechtswidrig erklärt wurde
Warum Google Analytics unter der DSGVO für rechtswidrig erklärt wurde
TL;DR — Kurzantwort
2 Min. LesezeitDie österreichische Datenschutzbehörde hat Google Analytics wegen Verstößen gegen die EU-US-Datenübertragungsvorschriften für rechtswidrig erklärt. Mit 101 Beschwerden in allen EU-Mitgliedstaaten werden ähnliche Entscheidungen in ganz Europa erwartet.
Am 13. Januar 2022 entschied die österreichische Datenschutzbehörde, dass die fortgesetzte Nutzung von Google Analytics gegen die DSGVO verstößt. Diese richtungsweisende Entscheidung war das erste Ergebnis von 101 Musterbeschwerden, die noyb im Jahr 2020 eingereicht hat -- eine Initiative des Datenschutzjuristen Max Schrems. Ähnliche Entscheidungen werden in der gesamten EU erwartet.
„Wir erwarten, dass ähnliche Entscheidungen nun nach und nach in den meisten EU-Mitgliedstaaten folgen werden. Wir haben 101 Beschwerden in fast allen Mitgliedstaaten eingereicht, und die Behörden haben ihre Reaktion koordiniert." - Max Schrems, EU-Datenschutzjurist und Ehrenvorsitzender, noyb
Dieses Urteil hat Auswirkungen weit über die Webanalyse hinaus. Es betrifft EU-US-Datenübertragungen im Allgemeinen, was bedeutet, dass die Mehrheit der Websites, die derzeit personenbezogene Daten von EU-Bürgern auf US-amerikanischer Cloud-Infrastruktur verarbeiten, technisch gesehen gegen die DSGVO verstoßen.
Verstößt Ihre Website-Analyse gegen das Gesetz?
Der schnellste Weg, Ihr Risiko einzuschätzen, ist die Beantwortung dieser Fragen:
- Ist Ihr Website-Analyse-Anbieter ein US-Unternehmen?
- Nutzt Ihr Analyse-Anbieter Webserver, die einem US-Cloud-Anbieter gehören? (Hinweis: Es spielt keine Rolle, ob die Server physisch in der EU stehen. Das US-Unternehmen, dem sie gehören, unterliegt weiterhin FISA 702 und Executive Order 12.333.)
Wenn die Antwort auf eine der beiden Fragen „Ja" lautet, ist Ihre Website-Analyse möglicherweise nicht konform.
Löst IP-Anonymisierung das Problem?
Leider nein. Die Anonymisierung durch Google Analytics erfolgt clientseitig im Browser. Selbst wenn die IP-Adresse per JavaScript anonymisiert wird, bevor sie gesendet wird, wird die tatsächliche IP-Adresse weiterhin in den HTTP-Request-Headern übertragen. Es ist technisch unmöglich, eine echte IP-Adresse aus einem HTTP-Request auszuschließen, ohne einen Proxy- oder VPN-Dienst zu verwenden.
Können Einwilligungsbanner das lösen?
Einwilligungsbanner wurden für Cookies und ähnliche Tracking-Mechanismen konzipiert. Das Schrems-II-Urteil befasst sich mit einem anderen Problem: der Übertragung personenbezogener EU-Daten an von den USA kontrollierte Infrastruktur. Selbst bei vollständiger Nutzereinwilligung kann die Übertragung selbst rechtswidrig sein, da US-Überwachungsgesetze keinen angemessenen Schutz für die Daten von EU-Bürgern bieten.
Einige argumentieren, dass eine ausdrückliche Einwilligung als Rechtsgrundlage dienen könnte, aber Datenschutzbehörden haben durchgehend die Auffassung vertreten, dass eine Einwilligung in staatliche Überwachung keine wirksame Einwilligung im Sinne der DSGVO darstellt.
Was sind die tatsächlichen Risiken?
Beschwerden wurden in praktisch allen EU-Mitgliedstaaten eingereicht. Bußgelder unter der DSGVO können bis zu 4 % des weltweiten Jahresumsatzes oder 20 Millionen Euro betragen -- je nachdem, welcher Betrag höher ist. Über Bußgelder hinaus drohen Organisationen Reputationsschäden und der operative Aufwand, Analysetools unter regulatorischem Druck zu wechseln.
Welche Alternativen gibt es?
Website-Betreiber haben mehrere Optionen:
- Wechsel zu einem datenschutzfreundlichen Analyse-Anbieter, der EU-Daten ausschließlich auf EU-eigener Infrastruktur verarbeitet. Unternehmen mit Sitz in Ländern mit DSGVO-Angemessenheitsbeschlüssen (wie Kanada) bieten zusätzlichen rechtlichen Schutz.
- Self-Hosting von Analysetools, um die vollständige Kontrolle über Datenverarbeitung und -speicherung zu behalten.
- Vollständiger Verzicht auf Analyse-Erhebung, was für die meisten Unternehmen jedoch unpraktisch ist.
Die wesentlichen technischen Anforderungen für die Konformität umfassen:
- Keine Übertragung personenbezogener EU-Daten (IP-Adressen, User-Agent-Strings) an US-eigene Server
- Datenverarbeitung ausschließlich auf EU-basierter Infrastruktur im Besitz von EU-Unternehmen
- Ordnungsgemäße serverseitige Anonymisierung, bevor Daten Nicht-EU-Dienste berühren
Das große Ganze
Dieses Urteil signalisiert einen grundlegenden Wandel in der Art und Weise, wie Websites Datenerhebung angehen müssen. Die Ära, in der man Google Analytics installiert und Konformität einfach voraussetzt, ist vorbei. Website-Betreiber müssen jetzt aktiv bewerten, ob ihre Analysetools ein rechtliches Risiko darstellen, und viele werden zu konformen Alternativen migrieren müssen.
Die Kosten „kostenloser" Analysen -- gemessen an potenziellen Bußgeldern, rechtlichen Risiken und Datenschutzverletzungen -- betragen nicht länger null.
War dieser Artikel hilfreich?
Teilen Sie uns Ihre Meinung mit!
Bevor Sie gehen...
Verwandte Artikel
Frankreichs CNIL stuft Google Analytics als DSGVO-Verstoß ein
Frankreichs Datenschutzbehörde CNIL hat geurteilt, dass Google Analytics gegen die DSGVO verstößt, und Websites einen Monat zur Einhaltung gegeben. Hier erfahren Sie, was Sie wissen müssen.
Europäische Datenschutzbehörden und ihre Entscheidungen zu Google Analytics
Eine Zeitleiste der europäischen Datenschutzbehörden-Entscheidungen, die Google Analytics als DSGVO-Verstoß einstuften, die rechtlichen Hintergründe und was Website-Betreiber tun sollten.
Google Analytics in Europa für rechtswidrig erklärt: Was Website-Betreiber wissen müssen
Europäische Datenschutzbehörden in Österreich, Frankreich, Dänemark und den Niederlanden haben entschieden, dass Google Analytics gegen die DSGVO verstößt. Erfahren Sie, was das für Website-Betreiber bedeutet und welche Alternativen es gibt.