DSGVO – 2022 Datenschutzverstoß durch Google Analytics: 9 von 10 Unternehmen in Europa betroffen

Macht die EU Probleme bei der Anwendung von Google Analytics? Was sagt der Bescheid der österreichischen Datenschutzbehörde aus und äußert sich Google zu dem Thema? In diesem Beitrag gibt es mehr zu diesem Thema, sowie das Interview mit dem Datenschutzexperten Maciej Zawadzinski.

Google Analytics – ein Datenschutzverstoß?

Die gesamte Digitalszene erfährt einen Weckruf. Eine Einbindung von Google Analytics auf Websites wurde von der Datenschutzbehörde DSB aus Österreich als Verstoß gegen die DSGVO anerkannt. Diese Überlegung hat Unsicherheit bei Anwender(innen) geschaffen und viele offene Fragen hinterlassen. Dürfen nun Unternehmen Google Analytics auf Ihren Websites einbinden oder nicht? Gibt es einen Weg das Problem mit dem illegitim bezeichneter Datentransfer besonders von personenbezogenen Daten zwischen den USA und dem Europäischen Wirtschaftraum zu lösen?

 

Hier zum Aktuellen Beitrag zum Urteil:

Das Urteil von der DSK und des Europäischen Gerichtshofs ist eindeutig. Google Analytics ist nicht EU-datenschutzkonform.

 

Schrem-II Urteil und Privay Shield

Gerade wird darauf gewartet, dass weitere Entscheidungen zu dem Thema fallen. Das wegweisende Schrem II-Urteil (Max Schrem /Datenschutzaktivist) war der Vorreiter zu diesem brisanten Thema.

 

Max Schrem:

Langfristig brauchen wir entweder einen angemessenen Datenschutz in den USA, oder wir werden am Ende getrennte Produkte für die USA und die EU haben. Ich persönlich würde einen besseren Schutz in den USA bevorzugen, aber das ist Sache des US-Gesetzgebers.

 

  • Kurzer Rückblick unserer vorherigen Beiträge zum Thema:

DSGVO – Teil 2: Keine Daten mehr in die USA – Der EuGH hat das “Privacy Shield” für nichtig erklärt

DSGVO – Teil-3: Stopp Privacy Shield Datentransfer in USA: 5000 Firmen betroffen, was beachten

 

Personenbezogene Daten und der Umgang damit: Google will ein neues Framework

Viele Marktteilnehmer(innen) fragen sich aktuell ob sie nach der Entscheidung des DSB noch auf Analytics von Google setzen können. Es ist fraglich welche Partei in der Datenverarbeitung welche Aufgabe zu übernehmen hat – Erklärt Google gegenüber OnlineMarketing.de.

 

Gegenüber OnlineMarketing.de erklärt Google:

“Die Menschen wollen, dass die Websites, die sie besuchen, gut gestaltet und einfach zu nutzen sind und ihre Privatsphäre respektieren. Google Analytics hilft Einzelhändlern, Behörden, NGOs und vielen weiteren Organisationen, zu verstehen, wie gut ihre Webseiten und Apps für Besucher:innen funktionieren – aber nicht, indem sie Einzelpersonen identifizieren oder sie im Internet verfolgen. Diese Unternehmen und Organisationen, nicht Google, kontrollieren, welche Daten erhoben und wie sie verwendet werden. Google unterstützt sie dabei, indem Google zahlreiche Schutz- und Kontrollmechanismen sowie Ressourcen für die Einhaltung von rechtlichen Vorgaben zur Verfügung stellt.”

 

Die Erwartungshaltung von Nutzer ist eine gut gestaltete Webseite, wenn Sie besucht wird. Die Websites sollen einfach nutzbar sein und die Privatsphäre der Besucher soll gewährleistet sein. Einzelhändler, NGOs, Behörden und viele andere haben Google Analytics in Nutzung, weil es verrät, ob Websites und Apps von den Besucher(innen) gerne genutzt werden oder nicht. Dabei identifiziert Google nicht die Einzelpersonen und verfolgt die Besuche nicht im Internet. Dabei hat nicht Google Einfluss auf die erhobenen Daten, sondern die Unternehmen und Organisationen. Google stellt dabei viele Schutz- und Kontrollmechanismen zur Verfügung zusammen mit Ressourcen für die Einhaltung von rechtlichen Vorschriften.

Russell Ketchum ist Googles Director für Product Management und dokumentiert in einem Blogpost die Möglichkeiten datenschutzkonforme Lösungen im Zusammenhang mit Analytics von Google zu verwenden. Er legte Wert auf Fakten und teilte mit, dass Analytics von Google viele Kontrollmechanismen und Ressourcen für Unternehmen und Organisationen bietet, die dabei helfen, die rechtlichen Vorgaben einzuhalten. Der Präsident für Global Affairs sowie Chief Legal Officer bei Google und Alphabet, Kent Walker sagt dazu in einem anderen Post, dass nach kippen des Privacy Shields für den Datentransfer zwischen der EU und den USA eine neue Framework geschaffen werden muss.

 

Walker erklärt:
„Businesses in both Europe and the U.S. are looking to the European Commission and the U.S. Department of Commerce to quickly finalize a successor agreement to the Privacy Shield that will resolve these issues. Both companies and civil society have been supporting reforms based on an evidence-based approach. The stakes are too high – and international trade between Europe and the U.S. too important to the livelihoods of millions of people – to fail at finding a prompt solution to this imminent problem.“

Ist die Verantwortung Google oder liegt sie bei der Politik und bei Dritten, wie Google es andeutet? Ist die Überlegung legitim oder müssen Unternehmen wirklich befürchten, dass Google Analytics in der EU in der Nutzbarkeit beschnitten wird.

In einem schriftlichen Interview wurde mit Maciej Zawadzinski gesprochen. Herr Zawadzinski ist CEO von Piwik Pro, einem privatsphärezentrierten Datenschutz- und Analyse-Unternehmen. Man wollte mehr über den Status quo von Analytics von Google erfahren. Warum Anwender:innen jetzt handeln sollten und warum auch andere Dienste von Meta, Microsoft und Co auch Probleme mit dem Datenschutz bekommen könnten, wird im Gespräch erklärt.

Das Interview mit Maciej Zawadzinski

 

Frage von OnlineMarketing.de:

Die erschwerte Nutzung von Analytics von Google wegen der Datenschutzverstöße könnte flächendeckenden Einfluss haben. Wie hoch würdest Du diesen Einfluss einschätzen.?

Zawadzinski antwortet:

W3Techs gibt an, dass Google im Analytik-Bereich 86,5 Prozent Marktanteil hat. Dies bedeutet, dass etwa neun von zehn Unternehmen in Europa betroffen sein werden. Alle diese Unternehmen werden sich auf die Suche nach neuen Tools für die Analyse machen müssen, damit sie auf die gewohnte Weise weiterarbeiten möchten. Es wird ein Tool sein, dass nicht von den Cloud-Gesetz betroffen ist und die Daten nicht an die US-Behörden weitergeben müssen. Die Daten auf eine andere Art und Weise zu erheben, wäre eine Lösung. dazu gehört dann eine ausdrückliche Einwilligung der Nutzer:innen. Ist die Beziehung zum Endkunden eine engere, ist die zweite Option wohl eine gute Wahl. Aus diesem Grund, denken wir, dass das Urteil CRM-Anbieter:innen nicht oder weniger betrifft. Die Frage ist also, ob bereits ein Grundvertrauen zwischen den Usern und der Marke besteht und wie weit die Customer Journey vorangeschritten ist.

 

Frage von OnlineMarketing.de:

Die Verantwortung für die Verarbeitung der Daten würde Google gerne in die Hände der Anwender:innen legen. Findest Du diesen Schluss legitim oder übernimmt das Unternehmen die Verantwortung für die einhalten der Datenschutzregeln, weil es die Infrastruktur bereitstellt?

Zawadzinski dazu:

Die Verantwortung wird von Google an die Unternehmen übertragen. Es ist eine gute Entscheidung, die Unternehmen über die Möglichkeiten der Datenübermittlung zu informieren und den Unternehmen die Wahl zu überlassen. Wichtig ist dabei, das Analytics von Google nur aktiviert werden kann, wenn das Unternehmen eine Entscheidung getroffen hat. Unsere interne Studie zeigt, dass Daten verloren gehen werden, wenn vor dem Start von GA eine Einwilligung erfolgen muss. Der Datenverlust kann bei bis zu 80 Prozent liegen. Die Vermarkter:innen und Google wollen nicht das Recht zur Entscheidung an die Internetnutzer:innen abgeben.

 

Frage von OnlineMarketing.de:

Wenn Anwender:innen und Unternehmen Analytics von Google weiterhin nutzen, müssen sie dann ihre Datenverarbeitung rechtlich prüfen?

Zawadzinski antwortet:

Genauso ist es. Soweit es uns bekannt ist, gibt Google seinen Nutzer:innen keine benutzer:innen definierten Bedingungen an. Außerdem haben Nutzer:innen keinen Einfluss darauf wie Analytics arbeitet. Egal, ob persönlich oder nicht. die Daten des Dienstes werden aus der EU hinausgeschickt.

 

Frage von OnlineMarketing.de:

Du bewertest also die Verwendung von Analytics von Google, im großen und ganzen wie alle Unternehmen, die es verwenden? Was sollte das Erste sein, was Website-Betreiber:innen nach der Entscheidung, damit der rechtliche Kontext bei der Datenverarbeitung in Verwendung von GA passt?

Zawadzinski antwortet:

Alles sollte mit der Zustimmung beginnen. Zuerst sollte ein Pop-up-Fenster öffnen oder eine Leiste. Hier wird um die Zustimmung gebeten. Danach kann die Lösung eingesetzt werden, welche die Daten aus Europa wegtransportiert. Dann werden die Situationen und die Opt-in-Raten bewertet. Es muss überlegt werden, ob eine Alternative zu der aktuellen Lösung in Europa gesucht werden muss.

 

Frage von OnlineMarketing.de:

Wenn ein Anwender:in Analytics verwendet, auch wenn die Gerichte bestätigen, dass es ein DSGVO-Verstoß ist, wie sind die Konsequenzen?

Zawadzinski antwortet:

Bei Verstößen gegen die DSGVO drohen Geldstrafen. Die Strafe kann bis zu 20 Millionen betragen oder vier Prozent bezogen aus den weltweiten Umsatz des vorangegangenen Geschäftsjahres. Es richtet sich danach, welcher Betrag höher ist.

 

Frage von OnlineMarketing.de:

Wenn es zu illegitimen Transfers von Ddaten zwischen der EU und den USA kommt, müssen dann nur Anwender:innen oder auch Google haften?

Zawadzinski antwortet:

Ja. Für die Verteidigung hat Google natürliche größere Ressourcen für die Verteidigung. Es werden Online-Kennungen von Analytics verarbeitet. Diese Kennungen sind als personenbezogene Daten definiert. Unter die Online-Kennung fallen Cookie-Kennungen, IP-Adressen und einiges mehr. Damit fällt diese Tätigkeit unter die Datenschutzgrundverordnung.

 

Frage von OnlineMarketing.de:

Denkst Du, dass Analytics von Google als DSGVO-konform eingestuft werden könnte, wenn es das in Art. 44 der Verordnung genannte „angemessene Schutzniveau“ nachweisen könnte?

Zawadzinski antwortet:

Die Europäische Kommission kann nach Art. 45 einen Angemessenheitsbeschluss für die Übermittlung der Daten in die USA fassen. Passiert dies nicht, kann Google selber nicht viel machen. In dem hier besprochenen Fall galten die Standardvertragsklauseln nicht. Google bräuchte eine organisatorische oder technische Maßnahme mit welcher sie die US-Überwachungsgesetze umgehen könnten, diese Lösung ist extrem unwahrscheinlich.

 

Frage von OnlineMarketing.de:

Dürfen die Client-IP-Adressen nach den aktuellen Datenschutzbestimmungen noch aus der EU in die USA übersandt werden?

Zawadzinski antwortet:

Ja, aber nur wenn die ausdrückliche Zustimmung der Nutzer:innen vorliegt.

 

Frage von OnlineMarketing.de:

Es wäre als eine Lösung für das Problem, wenn die Daten komplett in der EU verarbeitet werden würden? Würde Deiner Meinung nach Google dabei mitmachen?

Zawadzinski antwortet:

Kurz gesagt: Nein. Google hat neben Analytics noch weitere ähnliche Dienste, wie Ads und Search. Der Dienst ist nicht lokal, was bedeutet, der Dienst kann nicht auf die Google Cloud Plattform (GCP) in Deutschland begrenzt werden. Wäre dies eine Möglichkeit, müsste Google eine weitere Schutzschicht, wie eine Verschlüsselung für die Daten einrichten. Das Problem hier ist der Cloud Act. Dieser besagt, dass Google, solange es die Verschlüsselungs-Keys besitzt, die Daten plus die Keys an die US-Behörden weitergeben muss.

 

Frage von OnlineMarketing.de:

Österreich ist nicht das einzige Problem für Analytics von Google. Es gibt viele Beschwerden, auch in den Niederlanden wurden die Datenschutzverstöße bereits bemängelt. Glaubst Du, dass die Behörden und Gerichte in der EU alle in gleicher Weise entscheiden werden?

Zawadzinski antwortet:

Soweit uns bekannt ist, gehörte dieser Fall nicht zum One-Stop-Shop-Verfahren. Es soll eine Task Force geben, welche für eine Koordination der lokalen Datenschutzbehörden sorgen soll. Damit würden die EU-Länder ähnlich entscheiden. Alles sieht danach aus, dass der nächste Entscheid aus den Niederlanden kommt.

 

Frage von OnlineMarketing.de:

Wie ist Deine Meinung? Könnte die Entscheidung aus Österreich der Start von weiteren Entscheidungen gegen US-Unternehmen sein? Wir meinen also, könnten auch andere Dienste, beispielsweise von Meta, Microsoft oder andere, für Verstöße gegen den Datenschutz beschuldigt werden?

Zawadzinski antwortet:

Ja, das könnte passieren. Analytics von Google ist nur eins von vielen Tools, welche extreme Mengen an Daten sammeln. Es könnte gut möglich sein, dass diese Welle auch Werbetechnologie-Tools, wie Google Ads oder Facebook Connect oder Content-Serving-Technologie wie Captch, CDNs oder Fonts treffen. Die CRM-Anbieter:innen, wie Mailchimp oder HubSpot werden kaum Auswirkungen spüren. Sie werden die Einwilligung in Bezug auf die Datenübertragung ändern oder haben dies bereits erledigt.