Google Analytics, ein bei Marketingleuten nur allzu beliebtes Trackingtool, um den Datenverkehr auf Webseiten zu analysieren. Hierbei werden unter anderem die Herkunft der Besucher, ihre Verweildauer auf einzelnen Seiten sowie die Nutzung von Suchmaschinen untersucht. Dies erlaubt den Webseitenbetreibern eine bessere Erfolgskontrolle von Werbekampagnen, da diese optimiert und gezielter eingeschaltet werden können.

Doch schon länger ist die datenschutzkonforme Nutzung von Google Analytics immer wieder in der Diskussion. Im Januar 2022 hat nun die österreichische Datenschutzbehörde in einem Verfahren des Datenschützers Max Schrems aus August 2020 festgestellt, dass die Einbindung von Google Analytics auf Webseiten gegen die DSGVO verstößt. Moniert wurde insbesondere der Datentransfer in ein unsicheres Drittland, nämlich die USA. Doch was ist der Hintergrund der Entscheidung?

Was sorgt nun für die vermeintliche Unzulässigkeit von Google Analytics?

Nach der Entscheidung der österreichischen Aufsichtsbehörde ist die Nutzung unzulässig, da die Möglichkeit im Raum steht, dass US-Behörden personenbezogene Daten von EU-Bürgern von Google herausverlangen. Möglich gemacht wird das durch den in den USA geltenden CLOUD Act. Diese Möglichkeit und die unzureichenden Schutzmaßnahmen von Google Analytics sorgen nach Ansicht der Aufsichtsbehörde dazu, dass bei der Nutzung von Google Analytics kein angemessenes Schutzniveau für den Datentransfer in die USA gem. Art. 44 DSGVO gegeben ist.

Jetzt stellt sich die Frage, wie dies denn möglich ist, da bei Google Analytics kein US-Anbieter der Vertragspartner ist.

Zur Erläuterung: Google Analytics ist ein Trackingtool der Google LLC, einem US-amerikanischen Unternehmen. In der Vergangenheit war dieses Unternehmen auch in Europa Vertragspartner für die kostenlose Google Analytics Version. Seit April 2021 wird jedoch immer nur noch ein Vertrag mit der Google Ireland Ltd. mit Sitz in der Europäischen Union geschlossen.

In der o.g. Entscheidung war Google LLC Vertragspartner, sodass der CLOUD Act galt.

Fraglich ist, ob der CLOUD Act auch nach der Vertragsübernahme durch die Google Ireland Ltd. weiterhin greift. Dies könnte z.B. der Fall sein, soweit auch jetzt noch personenbezogene Daten in den USA verarbeitet werden.

Des Weiteren lagen der Entscheidung noch die „alten“ Standardvertragsklauseln zugrunde, die von der Europäischen Kommission am 04.06.2021 durch „neue“ ersetzt wurden (https://sidit.de/blog/die-neuen-standardvertragsklauseln-was-sie-jetzt-tun-muessen/). Google Analytics bezieht seit September 2021 die neuen Standardvertragsklauseln in die Auftragsverarbeitung ein.

Einbindung von Google Analytics in die Webseite

Weiter kritisiert wurde, dass der in dem o.g. Verfahren betroffene Webseitenbetreiber die Anonymisierungsfunktion von Google Analytics nicht ordnungsgemäß implementiert hatte. Google bietet dem Nutzer in seinem Konto die Möglichkeit, bei der Einbindung des Dienstes auf der Webseite die IP-Adressen zu anonymisieren. Anonymisierung bedeutet in diesem Zusammenhang, dass die IP-Adressen verkürzt werden, so dass kein Personenbezug mehr vorgenommen werden kann.

Allerdings ist davon auszugehen, dass bei dem Einsatz von Google Analytics (auch trotz der Verwendung der Anonymisierungsfunktion der IP-Adresse) immer personenbezogene Daten bzw. pseudonymisierte Daten an die Server von Google übermittelt werden.

Kennnummern als „personenbezogene Daten“

Neben der IP-Adresse werden bei der Nutzung von Google Analytics aber auch einzigartige Online-Kennungen („unique identifier“) erzeugt, die sowohl den Browser bzw. das Gerät des Betroffenen als auch den Webseitenbetreiber identifizieren. Die Behörde hat auf Grund des Sachverhaltsvortrag in dem Verfahren zu diesem Thema festgestellt, dass die Cookies „_ga“ bzw. „cid“ und „_gid“ einzigartige Google Analytics Kennnummern enthalten, die auf dem Endgerät des Betroffenen abgelegt werden. Mithilfe dieser Kennnummern ist es gerade möglich zu erkennen, ob es sich um einen neuen oder wiederkehrenden Website-Besucher handelt. Damit handelt es sich um eine Individualisierung des Website-Besuchers und somit um ein personenbezogenes Datum.

Vor allem wenn man bedenkt, dass diese Kennnummern noch mit weiteren Daten kombiniert wird und das Konzept von Google Analytics gerade darauf auf ist, auf möglichst vielen Webseiten implementiert zu sein, um möglichst viele Informationen über die einzelnen Website-Besucher zu sammeln.

Einwilligung in den Dienst über den Cookie-Banner

Auch die Einwilligung zur Nutzung von Google Analytics wurde seitens des Webseitenbetreibers nicht ausreichend eingeholt. Spätestens seit der Geltung des TTDSG (wir berichteten bereits über das TTDSG und seine Folgen https://sidit.de/blog/das-ttdsg-und-seine-folgen-schnittpunkte-mit-dsgvo/) ist in jedem Fall eine ordnungsgemäße, informierte, freiwillige Einwilligung von Nutzern der Webseite einzuholen, bevor der Dienst gestartet werden darf.

Fazit

Google hat in den letzten Monaten einiges an seiner Praxis geändert. Einige Punkte, die Gegenstand der Beschwerde waren, sind nun nicht mehr gegeben.

Vertragspartner ist jetzt nicht mehr die Google LLC, sondern die Google Ireland Ltd., es werden die neuen Standardvertragsklausen in den Auftragsverarbeitungsvertrag mit einbezogen und Webseitenbetreiber müssen nun eine informierte und freiwillige Einwilligung der Webseitenbesucher einholen.

Dennoch bleiben hier viele Fragen und Unklarheiten bei dem Einsatz von Google Analytics. Werden noch Daten an die Google LLC in die USA übermittelt? Sind mit allen Subunternehmern der Google Ireland Ltd. ausreichende Vereinbarungen zur Datensicherheit getroffen worden? Kann überhaupt eine ausreichend informierte und freiwillige Einwilligung in die Nutzung des Dienstes Google Analytics eingeholt werden?

Denn eins ist klar: Transparenz und Einfachheit ist bei Google nicht wirklich gegeben. So muss sich der Webseitenbetreiber durch zahlreiche Dokumente und Vereinbarungen klicken, aus vorangehaktes Kästchen Haken entfernen und sich durch ein Dschungel von Einstellungen kämpfen. Der Besucher wird immer wieder auf „allgemeine Datenschutzrichtlinien von Google“ verwiesen, aus denen er nicht erkennen kann, bei welchem Dienst welche konkreten Daten verarbeitet werden. 

Es liegt mittlerweile eine Anfrage beim Bayerischen Landesamt für Datenschutz mit der Bitte um Stellungnahme zur Datenschutzkonformität vor. Wie sich die Behörde hierzu äußern wird, bleibt spannend. Wir halten den Einsatz von Google Analytics nach wie vor für datenschutzrechtlich höchst bedenklich, denn im Grunde weiß doch nur Google was Google mit den personenbezogenen Daten macht.

Sie haben noch Fragen in diesem Bereich, benötigen einen Datenschutzbeauftragten oder datenschutzrechtliche Beratung, kontaktieren Sie uns gerne unter 0931-780 877-0 oder info@sidit.de.

Melden Sie sich an, um regelmäßig tolle Inhalte in Ihrem Postfach zu erhalten!

Weitere Informationen finden Sie in unserer Datenschutzerklärung.

Kein Kommentar

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.