Google Analytics und EU-Beschlüsse zur Einhaltung der DSGVO

Google Analytics ist das beliebteste Tool zur Webanalyse, das Informationen zur Performance einer Webseite bereitstellt. Im Jahr 2022 geriet es jedoch von Seiten der Datenschutzbehörden einiger EU-Mitgliedstaaten unter Beschuss, weil die Nutzung des Dienstes nicht ausreichend Datenschutz bietet.

Zwischen der EU und den Vereinigten Staaten besteht seit Juli 2020 keine Vereinbarung mehr über die Angemessenheit des Datenschutzes. Daten werden jedoch in die Vereinigten Staaten übermittelt, da Google dort seinen Sitz hat. Und genau das ist das Problem, denn dadurch kann Datenschutzkonformität nicht angemessen erfolgen. Wann dieses Problem behoben werden soll, ist nicht bekannt. Die Beschwerden der verschiedenen Länder über die Nutzung von Google Analytics sowie die unzureichenden Maßnahmen zum Schutz von Daten und Datenübermittlungen beziehen sich auf dieses Problem.

Am 12. Januar 2022 gab die österreichische Datenschutzbehörde (DSB) einen Beschluss bekannt (auf Englisch), der auf einer Klage vom August 2020 beruht. Diese hatte zum Inhalt, dass die Nutzung von Google Analytics durch die Webseite eines österreichischen Unternehmens gegen das vom Europäischen Gerichtshof getroffene Schrems II-Urteil vom Juli 2020 (auf Englisch) verstoße.

Trotz Anonymisierung der erhobenen Daten wurde entschieden, dass dies nicht ausreichend sei, da diese wahrscheinlich erst dann stattgefunden habe, nachdem die Daten die Vereinigten Staaten erreicht und nicht bevor sie die EU „verlassen“ hatten. In diesem Fall hatte Google Analytics tatsächlich die Option zur Anonymisierung von IP-Adressen bereitgestellt, die der Verantwortliche (Webseitenbetreiber) aktiviert, aber nicht korrekt auf der Webseite implementiert hatte. Daher wurde die tatsächliche Anonymisierung dieser Daten nicht erreicht.

In anderen Beschlüssen wurde ermittelt, dass IP-Adressen unter personenbezogene Daten fallen, allerdings war das in diesem speziellen Beschluss nicht der Fall. Es wurde jedoch festgestellt, dass eine IP-Adresse in Kombination mit zusätzlichen Daten wie der eindeutigen User-ID (Unique User ID, „UID”) ausreichen würde, um eine Person identifizieren zu können.

Auch Verschlüsselung sei nicht ausreichend, denn die US-Behörden könnten Zugriff auf den Verschlüsselungscode erhalten, da Google gesetzlich zu deren Offenlegung verpflichtet ist. Österreichische (oder andere EU-)Behörden haben lediglich das Recht, den Verschlüsselungscode anzufordern.

Der Beschluss basierte auf älteren Standardvertragsklauseln (SVK) und dem Stand der behördlichen Angelegenheiten aus dem Jahr 2020. Der Fall wurde jedoch an die deutschen Behörden weitergegeben, damit diese ein Urteil für den Zeitraum nach der Freigabe der neuen SVK fällen können.

Die in der DSGVO festgelegten Strafsätze von bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Umsatzes sind in ähnlichen Fällen wie dem österreichischen Beschluss bezüglich der nicht DSGVO-konformen Nutzung von Google Analytics anwendbar. Derzeit wird der Fall jedoch eher als öffentliche Durchsetzungsmaßnahme für Datenschutzkonformität angesehen, und es wurden keine Geldstrafen verhängt. Google veröffentlichte auch eine Reaktion auf das Urteil (auf Englisch), in der es seine Datenschutzmaßnahmen darlegte.

Wie bereits erwähnt, sind einige der von Google Analytics erfassten Daten, die für Bedenken hinsichtlich des Datenschutzes sorgen, unter anderem IP-Adressen und eindeutige User-IDs. Google Analytics kann natürlich noch deutlich mehr Informationen erfassen als nur diese, auch wenn es sich bei einem Großteil um aggregierte Daten handelt. Dazu gehören etwa die Besucherzahlen oder Seiten einer Webseite sowie Informationen darüber, wie lange sich Besucher auf einer Webseite aufhalten, woher sie kommen, und wann genau sie die Webseite wieder verlassen. Zudem fallen darunter Informationen, die beschreiben, wie Besucher auf der Webseite navigieren, was sie währenddessen tun und mit welchen Elementen sie interagieren.

Google Analytics kann außerdem Informationen erfassen, die noch „persönlicher“ sind, wie etwa einen Näherungswert des geografischen Standortes, die Browsersprache und Informationen zu Geräten und Browsern von Nutzern. Eine vollständige Liste der „Ereignisse“ zur Datenerfassung finden Sie hier (auf Englisch).

Google Analytics unterstützt drei Tags/Cookies (auf Englisch) für verschiedene Arten der Nutzung von Webseiten: gtag.js, analytics.js und ga.js. Sie erfassen verschiedene Daten über Nutzer, Besuche auf Webseiten, Sessions und Traffic-Kanäle. Die verschiedenen Cookies haben unterschiedliche Verfallszeitpunkte, z. B. wenn Sie einen Browser schließen, oder nach einer bestimmten Zeitspanne wie sechs Monaten oder zwei Jahren.

Mit dem Schrems II-Urteil hat die Vereinbarung über den Privacy Shield zwischen der EU und den Vereinigten Staaten ihre Gültigkeit verloren, und zwar auf der Grundlage, dass sie keinen angemessenen Datenschutz bietet. Aus diesem Grund konnten von Mitte 2020 bis September 2021 Datenübermittlungen aus der EU in die Vereinigten Staaten nicht mehr auf der Grundlage dieser Vereinbarung oder der Standardvertragsklauseln erfolgen.

Im September 2021 wurden jedoch neue Standardvertragsklauseln veröffentlicht, die als einigermaßen angemessener Schutz angesehen werden können, solange sie mit zusätzlichen Maßnahmen wie Verschlüsselung oder Anonymisierung verbunden sind, sodass die Daten den US-Behörden nicht zugänglich sind.

Der Fall von Google Analytics basiert jedoch auf der alten Rechtslage, und nach der Freigabe der neuen Standardvertragsklauseln wurden keine neuen Erklärungen in der neuen Rechtslage abgegeben. Diese neue Entscheidung steht noch aus und die aktuellen zusätzlichen Datenschutzmaßnahmen werden immer noch als unzureichend betrachtet.

Google ist ein Unternehmen mit Sitz in den Vereinigten Staaten, das über seine verschiedenen und weit verbreiteten Tools und Dienste eine große Online-Reichweite hat. Daher werden seit langem regelmäßig beträchtliche Mengen an Nutzerdaten zwischen den beiden Regionen übermittelt.

Die französische Datenschutzbehörde „Commission Nationale de l’informatique et des libertés (CNIL)“ kam zu dem Ergebnis, dass Google Analytics im Februar 2022 in Frankreich gegen Artikel 44 der DSGVO verstoßen hat. Auch hier wurde die Nutzung von Google Analytics durch einen Webseitenbetreiber als nicht DSGVO-konform angesehen, da die personenbezogenen Daten der Nutzer in ein Land ohne angemessenen Datenschutz übermittelt wurden.

Standardvertragsklauseln zum Datenschutz wurden als unzureichend betrachtet. Außerdem wurde festgestellt, dass keine ausreichenden technischen, organisatorischen oder rechtlichen Datenschutzmaßnahmen bestehen. Die Datenübermittlung wurde als systematisch angesehen und daher wurde davon ausgegangen, dass sie nicht nur in besonderen Fällen erfolgte. Die Einwilligung der Nutzer wurde für diese Datenübermittlung jedoch nicht wiederholt eingeholt. Aus diesem Grund wurde die Einwilligung als Rechtsgrundlage für die Datenerfassung als ungültig erachtet, und es wurde festgestellt, dass die Daten ohne gültige Rechtsgrundlage erfasst wurden.

Darüber hinaus kann die Verwendung einer eindeutigen User-ID, wie auch eine Pseudonymisierung, eine Person identifizierbar machen und eine präzise Nachverfolgung ermöglichen, insbesondere in Kombination mit Daten, die von anderen Diensten erfasst wurden. Wie auch die österreichischen Behörden im österreichischen Fall haben die französischen Behörden die Verschlüsselung von Nutzerdaten als unzureichend für den Schutz der Daten angesehen, da Google über den Verschlüsselungscode verfügte und somit mit Leichtigkeit auf diese Daten zugreifen konnte, die französischen Behörden jedoch nicht.

Im Juni 2022 veröffentlichte die CNIL aktualisierte Leitlinien (auf Französisch) zur Nutzung von Google Analytics. Diese besagen, dass die Unternehmen innerhalb eines Monats ihre Nutzung des Dienstes aktualisieren müssen, wenn sie nicht die Durchsetzung der gesetzlichen Vorschriften riskieren möchten. Rechtlich gesehen könnte ein Proxy-Server eine Lösung für diese Probleme sein.

Im Juni desselben Jahres entschied Garante, die italienische Datenschutzbehörde, dass die Datenübermittlungen von Google Analytics in die Vereinigten Staaten gegen die DSGVO verstoßen (auf Englisch). So gelten IP-Adressen auch in gekürzter Form als personenbezogene Daten, wodurch für ihre Erfassung eine Rechtsgrundlage und Datenschutz erforderlich sind. Es wurde jedoch entschieden, dass die von Google getroffenen Maßnahmen keinen ausreichenden Schutz für die Erfassung von personenbezogenen Daten bieten.

Auch in Bezug auf IP-Adressen gilt, dass US-Behörden potenziell Zugriff auf personenbezogene Daten erhalten könnten. Sobald die erfassten personenbezogenen Daten in die Systeme von Google gelangt waren, hatten Aufsichtsbehörden und Nutzer keinen Überblick mehr, wer darauf zugreifen konnte oder wie die Daten möglicherweise verwendet werden.

Italienische Webseitenbetreiber, die bei der Nutzung von Google Analytics gegen die DSGVO verstoßen, erhielten 90 Tage Zeit, um ihre Nutzung des Dienstes zu berichtigen und ihre DSGVO-Konformität zu verifizieren und somit zu bestätigen, dass die erfassten personenbezogenen Daten nicht in die Vereinigten Staaten übermittelt wurden.

Google Analytics wird auf vielen Millionen Webseiten verwendet. Urteile, wonach seine Funktionen die Grundlage für Geldstrafen bei DSGVO-Verstößen sein könnten, lösten verständlicherweise bei vielen Webseitenbetreibern in der EU Besorgnis aus. Dies galt insbesondere in Anbetracht der Tatsache, dass Google, das für die Übermittlung der personenbezogenen Daten von Nutzern verantwortliche Unternehmen, ein ausländischer Drittanbieter ist, den Betreiber von Webseiten in der EU weder kontrollieren noch beeinflussen können. Natürlich haben Webseitenbetreiber die Wahl – und in einigen Ländern wird es nun von den jeweiligen Datenschutzbehörden empfohlen – Google Analytics erst gar nicht zu nutzen.

Das ist nicht mit dem Satz „Die Nutzung von Google Analytics in Europa ist illegal“ abgetan. Google hat die Möglichkeit, die in den Beschlüssen gegen den Dienst beschriebenen Probleme zu beheben. Es ist auch möglich, dass die EU und die Vereinigten Staaten eine neue Vereinbarung über Datenschutzstandards treffen, insbesondere wenn es um internationale Datenübermittlungen geht.

Unternehmen, die derzeit Google Analytics nutzen, sollten so bald wie möglich auf Google Analytics 4 aktualisieren. Es wird zudem empfohlen, zusätzliche Maßnahmen in Google Analytics 4 zu implementieren, die den Schutz der Nutzerdaten unterstützen. Weitere Informationen dazu finden Sie weiter unten in diesem Artikel. Alternativ können Unternehmen auch ein Tool zur Webanalyse wählen, das nicht in den Vereinigten Staaten ansässig ist oder das keine Daten in die Vereinigten Staaten überträgt oder diese dort speichert.

AP, die niederländische Datenschutzbehörde, gab im Januar 2022 bekannt, dass sie zwei Klagen gegen die Nutzung von Google Analytics untersucht haben und ein Urteil zu diesen Klagen fällen wird. Die Klagen ähnelten denen aus Österreich, Frankreich und Italien.

Auch wenn das Vereinigte Königreich nach dem Brexit nun ein eigenes Datenschutzgesetz hat, ähnelt die britische Datenschutz-Grundverordnung der DSGVO der EU. Ähnliche Datenschutzanforderungen bestehen für britische Unternehmen und die Dienste, die sie nutzen, und es werden auch ähnliche Probleme zur Datenschutzkonformität auftreten. Die Datenschutzbehörde des Vereinigten Königreichs hat Google Analytics im Januar 2022 nach dem österreichischen Beschluss von ihrer Webseite entfernt. Es ist jedoch anzumerken, dass die Nutzung des Dienstes, die im Dezember 2020 begonnen hatte, nur begrenzt war.

Die norwegische Datenschutzbehörde Datatilsynet hat im Januar 2022 ebenfalls geäußert, dass sie Österreich hinsichtlich seines Beschlusses gegen die Nutzung von Google Analytics zustimmt. Außerdem wurden norwegische Unternehmen öffentlich dazu aufgerufen, nach Alternativen zu diesem Dienst zu suchen.

Die dänische Datenschutzbehörde Datatilsynet hat eine Erklärung veröffentlicht, dass sie den österreichischen Beschluss und andere ähnliche Beschlüsse des Europäischen Gerichtshofs aufmerksam verfolgen und entsprechende Leitlinien bereitstellen würde.

Eine Woche vor dem österreichischen Beschluss wurde das Europäische Parlament vom Europäischen Datenschutzausschuss (EDSA) für die Nutzung von Diensten auf seinen COVID-Testwebseiten, einschließlich Google Analytics, sanktioniert, die nur unzureichenden Datenschutz bieten. Dies war einer der ersten Beschlüsse nach Schrems II und könnte sich bei den Hunderten weiteren Klagen (auf Englisch) als einflussreich erweisen.

Nun steht die Frage im Raum, wie Google das Problem beheben könnte, um staatliche Eingriffe komplett zu umgehen. Keine Daten mehr an Orte außerhalb der EU übermitteln? Zusätzliche rechtliche oder technische Sicherheitsmaßnahmen implementieren? Daten besser anonymisieren oder verschlüsseln?

Die Lösung des Problems wäre eine Mammutaufgabe. Es wäre sehr teuer und viele Änderungen müssten vorgenommen werden. Google ist ein riesiges Unternehmen und Google Analytics ist sehr weit verbreitet. Änderungen müssen sorgfältig geplant und eingeführt werden, mit ausführlicher Planung und Testphase, sodass eine sichere, funktionelle Veränderung im großen Umfang langsam durchgesetzt werden kann. Google Analytics 4 ist jedoch ein erster Schritt.

Da Bedenken zu und die Überwachung von Unternehmensaktivitäten (einschließlich Googles Aktivitäten) und zum Datenschutz zunehmen, ist das Ergreifen von Maßnahmen für den Markt äußerst relevant. Zudem könnte es langfristig teurer sein, wenn das Unternehmen keine Maßnahmen zur Lösung von Problemen ergreift. Dies trifft auch auf Google zu, auch wenn es eine gewisse Macht dahingehend besitzt, eine Unterwerfung unter den Forderungen der EU-Behörden einfach verweigern zu können.

Das Ende von Google Analytics für Nutzer in Europa würde die Geschäftsabläufe und potenziellen Umsätze der Webseitenbetreiber durchaus beeinträchtigen. Auch für Google wäre es eine Herausforderung, aber Google Analytics ist nur einer seiner Geschäftsbereiche.

Google Analytics entspricht derzeit standardmäßig keineswegs der DSGVO, und wenn man die Richtlinien und Aussagen der Datenschutzbehörden befolgen will, ist eine DSGVO-konforme Einrichtung des Dienstes nicht möglich. Allerdings handelt es sich hier um eine laufende Debatte, und es könnte sich schnell wieder ändern.

Ein Upgrade auf Google Analytics 4 ist zwar keine Wunderwaffe, die ein Unternehmen sofort DSGVO-konform macht. Dieses Upgrade ist jedoch empfehlenswert. Die Wahrscheinlichkeit ist hoch, dass sich der Dienst als Produkt weiterentwickelt und zukünftig besseren Datenschutz bieten wird. Sobald neue Beschlüsse veröffentlicht oder neue Datenschutzvereinbarungen zwischen der EU und den Vereinigten Staaten getroffen wurden, gibt es möglicherweise weitere Informationen darüber, wie sich Google Analytics 4 in die sich ständig weiterentwickelnde Datenschutzlandschaft einfügt, oder weitere Anleitungen für eine Weiterentwicklung des Tools, das DSGVO-Konformität ermöglicht.

Artikel 49 DSGVO gestattet in bestimmten Fällen eine ausdrückliche Einwilligung des Nutzers als mögliche Abweichung. Gemäß den Richtlinien des Europäischen Datenschutzausschusses (EDSA) (auf Englisch) kann dies jedoch nur bei nicht systematischen Übermittlungen angewendet werden, und das entspricht nicht der Vorgehensweise von Google Analytics. Datenübermittlungen sind ein regelmäßiger Bestandteil der Funktionsweise des Dienstes. Eine (einmalige) Einholung der Nutzereinwilligung zur Verwendung von Google Analytics ist für Webseitenbetreiber also keine praktikable oder langfristige Lösung.

Um die Bedingungen von Artikel 7 DSGVO für eine gültige Nutzereinwilligung einzuhalten, müssen Betreiber von Webseiten die ausdrückliche Einwilligung des Endnutzers für alle von der Webseite festgelegten Google Analytics-Cookies einholen. Die Einwilligung muss eingeholt werden, bevor diese Cookies aktiviert werden und in Betrieb sind. Mit Hilfe des DPS-Scanners von Usercentrics können alle Cookies und Tracking-Dienste, die auf Webseiten verwendet werden, identifiziert und an Nutzer kommuniziert werden, um eine vollständige Einwilligung zu gewährleisten.

Alle Google Analytics-Cookies müssen so eingerichtet und kontrolliert werden, dass sie erst nach der ausdrücklichen Einwilligung des Nutzers aktiviert werden. Die CMP kann die Aktivierung von Diensten sperren, bis die Einwilligung des Nutzers vorliegt. Google Analytics kann in diesem Fall also keine Nutzerdaten übermitteln, weil es sie gar nicht erst einholen könnte.

Die Anonymisierung von IP-Adressen muss im Google Analytics-Account aktiviert sein, und Webseitenbetreiber müssen sicherstellen, dass sie pseudonymisierte Identifikatoren verwenden. Zusätzliche Datenschutzkontrollen für Google-Dienste (auf Englisch) werden ebenfalls empfohlen, einschließlich der Deaktivierung einiger Datenerfassungs- und/oder Google-Funktionen zur Personalisierung von Werbung.

Webseitenbetreiber müssen den Nutzern auf der Webseite außerdem klare, transparente Datenverarbeitungsinformationen zur Verfügung stellen. Diese Informationen sind dann in der Datenschutzerklärung enthalten. Darüber hinaus können einige Informationen in der Cookie-Richtlinie mit Details zu den Google Analytics-Cookies, die auf der Webseite verwendet werden, bereitgestellt werden, einschließlich des Anbieters, der Laufzeit und des Zwecks.

Cookie-Richtlinien sind in der Regel Teil der umfassenderen Datenschutzerklärung der Webseiten. Die DSGVO erfordert die informierte Einwilligung des Nutzers, und diese soll durch die Datenschutzerklärung vorgenommen werden. Ausführliche Informationen zu den Anforderungen zur Erstellung einer DSGVO-konformen Datenschutzerklärung finden Sie in den Artikeln 12, 13 und 14 der DSGVO.

Als Teil der Datenschutzerklärung der Webseite sollten auch detaillierte Informationen zu den Google Analytics-Cookies und anderen Tracking-Technologien, die in der Domain verwendet werden, enthalten sein, denn die Informationen, die Google Analytics über die von diesem Dienst verwendeten Arten von Cookies erhebt, gelten gemäß der DSGVO als personenbezogene Daten. Darüber hinaus sollten die spezifischen personenbezogenen Daten, die von diesen Cookies erfasst werden, angegeben werden. Das gleiche gilt auch für andere Dienste, die auf der Webseite verwendet werden.

Viele Unternehmen nutzen Google Analytics auf ihren Webseiten, weil es umfangreiche Daten und leistungsstarke Tools bietet, um Bounce-Raten zu reduzieren, Daten zu visualisieren, Web-Rankings zu optimieren, mehr über Besucher zu erfahren und sie zu segmentieren und vieles mehr. Es lässt sich auch gut in andere Google-Tools integrieren.

Google Analytics hilft Unternehmen dabei, Wachstums- und Umsatzziele zu verfolgen. Unternehmen schwanken also verständlicherweise zwischen dem Wunsch, dies beizubehalten und dem Wunsch, das Risiko von Strafen aufgrund von DSGVO-Verstößen oder auch den Unmut der eigenen Nutzer angesichts eines unzureichenden Datenschutzes zu umgehen.

Gleichzeitig besteht die Strategie von Google bisher darin, Klagen und Entscheidungen gegen Google in der Europäischen Union zu bekämpfen. Und tatsächlich dient die Unterwerfung unter den Regeln der EU-Datenschutzbehörden und/oder die Einschränkung der Funktionen ihrer Dienste nicht den traditionellen Geschäftsinteressen oder Einnahmequellen von Google. Da sich die Datenschutzvorschriften jedoch ständig verändern und weiterentwickeln, und immer mehr Länder Entscheidungen gegen Google treffen oder die Nutzung seiner Dienste gänzlich einstellen, muss sich auf Dauer etwas ändern.

Auch Verbraucher verändern sich und entwickeln sich weiter und stellen höhere Anforderungen an ihren Online-Datenschutz. Das müssen Unternehmen bei ihren Geschäften und ihrem Wachstum berücksichtigen.

Im Alltag liegt es an den Webseitenbetreibern, die aktuellen Vorschriften und Anforderungen einzuhalten und zu erfüllen und alles zu tun, um die Einhaltung von Datenschutzvorschriften zum Schutz der Nutzer zu erreichen und zu gewährleisten. Abgesehen von der rechtlichen Notwendigkeit tragen diese Schritte auch dazu bei, Vertrauen und langfristige Beziehungen zu den Nutzern aufzubauen.

Das Usercentrics-Team beobachtet die Änderungen von Datenschutzvorschriften und Gerichtsurteile genau, aktualisiert die angebotenen Dienste und veröffentlicht bei Bedarf Empfehlungen und Anleitungen. Webseitenbetreiber sollten sich jedoch stets von einem qualifizierten Rechtsberater zum Datenschutz beraten lassen, insbesondere in den für sie relevanten Gerichtsbarkeiten. Dies gilt auch für Umstände, unter denen es zu Datenübermittlungen außerhalb der EU in Länder ohne entsprechende Vereinbarungen zum Datenschutz kommen kann.

Da die Datenschutzvorschriften und die Anforderungen zur Datenschutzkonformität für Unternehmen komplex sind und sich ständig weiterentwickeln, sind wir hier, um Sie zu unterstützen.

Bestellen Sie eine Demo, und erfahren Sie, wie Usercentrics CMP Sie beim Erreichen der Datenschutzziele Ihres Unternehmens unterstützen kann.

Oder wenden Sie sich noch heute an einen unserer Experten. Wir beantworten gerne alle Ihre Fragen