28.03.2022

Google Analytics in der EU: So gelingt der datenschutzkonforme Einsatz

Was Sie bei der Nutzung beachten müssen, und wie Sie Google Analytics dennoch rechtssicher auf ihrer Webseite einbinden können, stellen wir Ihnen im Folgenden dar.

Unverbindliches Erstgespräch vereinbaren
Ihr ISiCO-Experte für das Thema:
Dr. Philipp Siedenburg
Director Datenschutz

Eine Vielzahl von Webseitenbetreibern nutzt Google Analytics auf ihrer Webseite. Dabei dient es den meisten Unternehmen als Online-Marketing-Tool zum Nachvollziehen des Nutzungsverhaltens auf ihrer Webseite und dem damit verbundenen Erfolg ihrer Marketingstrategie. Doch zuletzt ist der Dienst des US-amerikanischen Unternehmens Google LLC in den Fokus der Behörden geraten. Die österreichische und die französische Datenschutzbehörde haben sich aufgrund von Beschwerden der österreichischen Datenschutzorganisation noyb mit der Vereinbarkeit von Google Analytics und der Datenschutz-Grundverordnung (DSGVO) auseinandergesetzt. In beiden Fällen kamen die Behörden jeweils zu dem Ergebnis, dass die Nutzung des Trackingtools in der Europäischen Union illegal sei, da es gegen die DSGVO verstoße.
Die Entscheidungen machen nun auch andere Webseitenbetreiber, die Google Analytics nutzen, hellhörig. Wer Google Analytics noch nutzen möchte, sieht sich mit einigen Fragen konfrontiert. Dabei gilt es unter anderem zu wissen, ob und wie eine Nutzung des Analysetools noch zulässig ist und ob vormalige Diskussionen hinsichtlich der rechtmäßigen Verarbeitung aufgrund eines berechtigten Interesses nun obsolet sind. Sie finden dazu weitere Hintergrundinformationen hier auf unserem Blog.

Was Sie bei der Nutzung beachten müssen, und wie Sie Google Analytics dennoch rechtssicher auf ihrer Webseite einbinden können, stellen wir Ihnen im Folgenden dar.

Was ist Google Analytics?

Google Analytics ist ein Trackingtool und dient der Datenverkehrsanalyse von Webseiten. Verwenden Unternehmen auf ihrer Webseite diese Webanalyse-Software, werden dort Tracking-Technologien implementiert, wie Pixel, Cookies und Skripte. Beim Aufruf einer Google Analytics verwendenden Webseite, wird dann die entsprechende Technologie aktiv und speichert entweder die entsprechenden Nutzungsdaten, die analysiert werden sollen, auf dem Endgerät (dann mittels Cookies) oder greift auf bereits gespeicherte Informationen im Endgerät zu (dann mittels Skripte oder Pixel). Das Abrufen und Speichern der Nutzungsdaten bietet Aufschluss über das individuelle Nutzungsverhalten und ermöglicht so eine kontinuierliche Analyse der erhobenen Daten der Nutzenden. Häufig ist auch eine Verknüpfung mit den Daten von beispielsweise Google Ads, Google DoubleClick oder Google Conversion Tracking implementiert, wodurch personalisierte Werbung geschaltet werden kann oder Retargeting-Maßnahmen, wie dem erneuten Anzeigen von entsprechenden Produkten und Dienstleistungen einer bereits besuchten Webseite auf anderen Seiten oder Apps.

Ihre Strategie für den besten Schutz

Die Grundlage jeder guten Geschäftsbeziehung ist Vertrauen. Stärken Sie die Beziehung zu Ihren Kunden mit unserer Expertise im Datenschutz und der Informationssicherheit. Damit sichern Sie Ihrer Unternehmung einen starken Wettbewerbsvorteil und können sich voll auf Ihr Geschäft konzentrieren.

Termin vereinbaren

Welche Daten werden mittels Google Analytics erhoben?

Google Analytics erfasst verschiedene Daten, die zur Analyse des Nutzungsverhaltens herangezogen werden. Darunter sind unter anderem:

  • Die IP-Adresse,
  • die Anzahl der Webseitenbesuche,
  • Verweildauer auf der Webseite,
  • Suchbegriffe, über die die Besuchenden die Webseite gefunden haben,
  • den zum Aufruf genutzten Browser,
  • Besuchsquellen – durch Links oder Suchmaschinen,
  • demografische Merkmale, wie Sprache und Standort,
  • Inhalte, die die Besuchenden auf der Seite angesehen haben,
  • die Geräte, die Besuchende verwenden.

Diese Daten fallen unter den weiten Begriff der personenbezogenen Daten aus der DSGVO. Für deren Verarbeitung müssen daher die Vorschriften der DSGVO eingehalten und beachtet werden. Demnach gilt auch für diese Daten das grundsätzliche Verarbeitungsverbot mit Erlaubnisvorbehalt. In der Vergangenheit wurde bereits debattiert, ob diese Daten nicht aufgrund eines berechtigten Interesses der Webseitenbetreiber am Erfolg ihrer Marketingkampagnen verarbeitet werden dürften. Nähere Ausführungen dazu finden Sie hier auf unserem Blog. Inzwischen ist eine ausdrückliche Einwilligungspflicht für die Verwendung von nicht zwingend erforderlichen Cookies und ähnlichen Technologien, also etwa solche, die auch Google Analytics nutzt, gesetzlich im Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG) festgelegt. Für nachgelagerte Datenverarbeitungen, wie z.B. das Retargeting, gilt dann wieder die DSGVO. Mehr Informationen zum TTDSG finden Sie in unseren Blogeintrag auf unserer Webseite.

Problematisch ist bei der Verwendung von Google Analytics insbesondere, dass diese Daten für deren Auswertung und Analyse auf einen Google-Server in die USA übertragen werden. Diese Übertragung ist ein Drittlandtransfer, der nur unter bestimmten in der DSGVO normierten Voraussetzungen zulässig ist. Unter diesem Gesichtspunkt haben auch die beiden aktuellen Behördenentscheidungen aus Österreich und Frankreich die Verwendung von Google Analytics als unvereinbar mit der DSGVO gehalten.

Kostenfreie Expertise im E-Mail-Postfach

Alle wichtigen Neuigkeiten zum Datenschutz & zur Informationssicherheit einmal monatlich bequem im E-Mail-Postfach – natürlich kostenlos.

Was ist die Summe aus 8 und 3?

Mit Klick auf den Button stimmen Sie dem Versand unseres Newsletters und der aggregierten Nutzungsanalyse (Öffnungsrate und Linkklicks) zu. Sie können Ihre Einwilligung jederzeit widerrufen, z.B. über den Abmeldelink im Newsletter. Mehr Informationen: Datenschutzerklärung.

Das Aus für Google Analytics in der EU? – Die Entscheidungen der Behörden

Hintergrund der Behördenentscheidungen waren Beschwerden der noyb. Die Behörden betrachteten dabei jeweils Fälle, in denen Google Analytics von den jeweiligen Webseitenbetreibern eingesetzt wurde. Dies geschah jedoch in beiden Fällen ohne Einwilligung der Nutzenden und auf Grundlage der vormals geltenden Standardvertragsklauseln (SCC). Der Abschluss der SCC wurde mit dem Kippen des US-EU Privacy Shields, das vormals die Datenübermittlung im Rahmen eines Angemessenheitsbeschlusses in die USA ermöglichte, notwendig. Um dennoch einen Drittlandtransfer zu verwirklichen, ist es unter anderem möglich, diesen aufgrund des Abschlusses von SCC sowie des Vorsehens zusätzlicher „effektiver Maßnahmen“ durchzuführen. Dabei schlossen die Webseitenbetreiber, die Google Analytics verwendeten, die alten SCC mit Google LLC in den USA ab. Inzwischen wurden von der Europäischen Kommission bereits neue SCC erlassen, die nunmehr zwischen Google Ireland Limited und Google LLC abgeschlossen werden.

Google implementierte als technische und organisatorische Maßnahmen insbesondere die Anonymisierung der IP-Adressen, die Erstellung und Veröffentlichung von Transparenzberichten und die Verschlüsselung ruhender und transportierter Daten. Die Behörden entschieden jedoch, dass diese zusätzlichen Schutzmaßnahmen nicht ausreichend gewesen wären, um die personenbezogenen Daten der Besuchenden angemessen zu sichern und ein vergleichbares Schutzniveau zu dem innerhalb der Europäischen Union zu wahren. Durch diese sei der Zugriff durch US-Geheimdienste auf die Daten immer noch möglich gewesen. Dieser Zugriff der US-Geheimdienste war vor allem interessant, da die übermittelten Nutzungsdaten laut den Behörden gerade nicht pseudonymisiert oder anonymisiert gewesen seien. Insgesamt veranlasste dies die Behörden dazu, die Nutzung von Google Analytics in diesem Kontext als unvereinbar mit der DSGVO anzusehen.

Die österreichische Behörde legte ein sehr weites Verständnis des Begriffes eines personenbezogenen Datums zugrunde. Bereits Identifier wie IDs, die der Unterscheidbarkeit von Besuchenden dienen, wären vom Begriff erfasst. Die französische Datenschutzaufsicht empfahl die bevorzugte Nutzung von anonymisierten Daten, da dann keine Einwilligung nötig ist. Selbst wenn anonymisierte Daten verwendet würden, muss vor dem Hintergrund des österreichischen Verständnisses von personenbezogenen Daten eingestanden werden, dass die Effektivität der Nutzung von Google Analytics eher gering wäre. Bereits bei jedem Verbindungsaufbau zu einer Webseite wird die IP-Adresse eines Gerätes von einem Nutzenden übermittelt. Damit fiele man bereits zu diesem Zeitpunkt aus der Anonymität heraus. Der alternative Einsatz eines Klick-Zählers, der ohne ID des Nutzenden an ein selbst gehostetes Tool gesendet wird, wäre möglich. Die Aussagekraft der dadurch ermittelten Ergebnisse wäre jedoch eher gering.

Die Behördenentscheidungen aus Frankreich und Österreich gelten nur im jeweiligen Land. Demnach haben die Entscheidungen in Deutschland keine Wirkung. Die noyb hat jedoch auch in Deutschland bereits Beschwerde eingelegt. Wie die deutschen Behörden dabei entscheiden werden, bleibt abzuwarten. Jedoch zeichnet sich bereits eine Richtung innerhalb der Europäischen Union ab, wie Behörden dem Thema Google Analytics begegnen.

Datenschutzkonforme Nutzung von Google Analytics – Worauf müssen Webseitenbetreiber achten?

Wollen Unternehmen Google Analytics nutzen, gilt es jedoch auch in Deutschland einige Rechtsvorschriften und damit verbundene Pflichten zu beachten. Im Folgenden stellen wir einige Handlungsempfehlungen vor:

  • Überlegen Sie, ob Sie Google Analytics einsetzen möchten. Es bietet sich unter Umständen auch an, einen Anbieter mit Sitz und Verarbeitungsort innerhalb der Europäischen Union oder sogar einen selbst gehosteten Dienst (z.B. Matomo) zu wählen, um so dem Problem der Drittlandübermittlung der personenbezogenen Daten aus dem Weg zu gehen.
  • Berücksichtigen Sie, dass auch Anbieter mit Sitz in der Union eventuell auf Subdienstleister in Drittländern zurückgreifen. In diesem Fall taucht das Problem der Drittlandübermittlungen wieder auf.
  • Möchten Sie weiterhin Google Analytics nutzen, müssen Sie unbedingt eine wirksame Einwilligung einholen. Durch Platzierung eines Einwilligungsbanners, dass insbesondere die Einwilligung in die Drittlandübermittlung vermittelt und über alle damit verbundenen Risiken informiert, kann das erreicht werden.
  • Überprüfen Sie Ihre Datenschutzerklärung auf Aktualität. Denken Sie an die Umsetzung möglicher Datenschutzeinstellungen in Google Analytics, insbesondere die Möglichkeit zur Deaktivierung der sog. „Datenfreigabe“.
  • Wenn möglich, sollten zum Messen und Analysieren von Besuchenden anonymisierte Daten verwendet werden. Dann ist keine Einwilligung notwendig, sodass auch keine Probleme bei einem Drittlandtransfer auftauchen. Ob der praktische Mehrwert der anonymisierten Ergebnisse so ausreicht, ist hingegen individuell zu entscheiden.

Fazit

Aktuell gibt es noch keine aktuelle Entscheidung in Deutschland zum Umgang mit Google Analytics. Hier bleibt abzuwarten, wie die Behörden künftig entscheiden werden. Die Datenschutzkonferenz (DSK) äußerte sich jedoch bereits in der Vergangenheit einmal kritisch zu Google Analytics, sogar noch vor der Schrems II-Entscheidung des EuGHs. Wer Google Analytics für seine Webseite verwenden möchte, kann dies aktuell noch tun – muss sich aber dem damit verbundenen Restrisiko bewusst sein. In der Orientierungshilfe Telemedien 2021 hat die DSK angerissen, dass die Einwilligung in den Drittlandtransfer keine ausreichende Grundlage sei. Mit guten Argumenten kann dies unter Umständen auch anders gesehen werden. Von einer Nutzung von Google Analytics ohne Einwilligung des Nutzenden sollte dringend abgesehen werden, da sonst Bußgelder drohen könnten. Ebenso führt der neue Trend zur Geltendmachung von Schadensersatzansprüchen von betroffenen Personen bei der Nutzung von Google Analytics ohne Einwilligung zu Forderungen, die gerichtlich eingeklagt werden könnten. Kontaktieren Sie uns gerne, falls Sie Beratung und Unterstützung benötigen!

Weitere Neuigkeiten

23.01.2025

Cyber Resilience Act: Frist, Anwendung & Maßnahmen

Der Cyber Resilience Act bringt weitreichende Veränderungen in der EU mit sich und betrifft insbesondere Unternehmen aus dem Maschinen- und Anlagenbau. Produkte mit kommunikationsfähigen digitalen Elementen müssen ab 2027 strenge Sicherheitsstandards erfüllen, um die CE-Kennzeichnung zu erhalten. Das Gesetz verlangt Maßnahmen zur Minimierung von Cybersicherheitsrisiken während des gesamten Produktlebenszyklus - vom Design bis zur regelmäßigen Bereitstellung von Updates nach Inverkehrbringen. Damit Ihrem Unternehmen die Umsetzung gelingt, gibt dieser Beitrag einen Überblick über alle wesentlichen Neuerungen.

Weiterlesen …