DSGVO – Google Analytics, wie legale Weiternutzung

Google (Mutterkonzern von Google ist Alphabet) hat regelmäßig Schwierigkeiten mit den Datenschutzbehörden. Hauptsächlich treten diese Schwierigkeiten neben AdSense sowie Google Street View und vor allen Dingen bei dem Tracking-Tool Google Analytics auf. Hier gibt es bereits seit Jahren Anlässe für Auseinandersetzungen und Rechtstreitigkeiten mit den Datenschutzbehörden. Dazu gehören auch europäische Datenschutzbehörden.

In den USA wird davon ausgegangen, dass spätestens seit dem Wegfall des Privace Shields ein rechtssicherer Datentransfer der dadurch erhobenen personenbezogenen Daten innerhalb der USA nicht mehr möglich ist. Die Zeit läuft… Ebenso wurde dieser Dienst von den Datenschutzbehörden in Italien, Frankreich und in Österreich auch für unzulässig erklärt und untersagt.

Daraus ergibt sich jetzt die Frage, was das für Webseitenbetreiber bedeutet und ob solche Google-Tools weiter genutzt werden können? Gibt es hierzu Alternativen?

Um welche Problematik handelt es sich?

Spätestens seit der Datenschutzgrundverordnung (DSGVO) sowie den Urteilen des Europäischen Gerichtshofes (EuGH) zum Trackingverhalten auf den Webseiten sowie dem TTDSG (Telekommunikation Telemedien-Datenschutz-Gesetz) kann dieser Dienst nicht mehr so einfach genutzt werden. Dazu gehört zum Beispiel das Urteil zu „Schrems II“. In diesem Urteil wurde vom EuGH 2020 das Privace Shiels mit der Begründung niedergeschlagen, dass das US-Recht die Rechte der EU-Bürger nicht ausreichend schützt. Dadurch ist durch diesen Wegfall der Privacy Shiels ein rechtsicherer Weg für den Datentransfer von personenbezogenen Daten in die US-Staaten nicht mehr möglich. Hier werden 3 verschiedene Handlungsmöglichkeiten oder weitere in Frage gestellt.

Wer ist dieser Dienst überhaupt ?

Bei diesem Google-Dienst handelt es sich um den am häufigsten von den US-Tools genutzten Tool zur Nutzeranalyse auf Webseiten. Auf den auf Google eingesetzten Webseiten sammelt dieser Dienst Daten über die Nutzer. Die Betreiber von Webseiten haben hier umfangreiche Möglichkeiten, hier eine Vielzahl von Daten nach bestimmten Parametern zu erheben. Dadurch können das Nutzerverhalten, die Aufrufe einer Seite oder die Verweildauer auf einer solchen Seite nachvollzogen werden. Ebenso können über diesen Dienst auch bestimmte Aktionen, wie zum Beispiel der Download von einem E-Book, die Anmeldung zu einem Newsletter oder auch der bestimmte Kauf von Produkten, über das Conversion Tracking analysiert werden. Dadurch können bahnbrechende Erkenntnisse von Nutzern und großer Veränderungen gewonnen werden.

Welche Kritikpunkte gibt es von den Datenschützern?

Auf der einen Seite wird von ihnen kritisiert, dass Google in den Datenschutzbestimmungen nur sehr mangelhaft darüber aufklärt, welche Daten beim Einsatz von diesem Dienst genau abgespeichert und übertragen werden. Deshalb haben die Datenschutzbehörden den Seitenbetreibern, welche diesen Dienst anwenden, mit Bußgeldern gedroht.

Hierbei geht es in erster Linie um die Abspeicherung und dann um die spätere Übermittlung von vollständigen IP-Adressen der Nutzer von Google an die US-Amerikaner. Seit dem Jahr 2010 gibt es zwar die Möglichkeit, die IP-Adressen auf eine einfache Art und Weise zu anonymisieren. Trotzdem ist jedoch Google in der Lage, aufgrund des Anfalls von Unmengen an Daten, die Nutzer und Inhaber der IP-Adressen zu rekonstruieren. Dieser Dienst von Google erhebt und übermittelt zusätzlich zu der IP-Adresse auch die Browserversion, die Sprache, die Größe des Bildschirms, die Plug-Ins, das Endgerät sowie die Zeitzone an Google. Deshalb ist er nicht datenschutzkonform.

Die Entscheidungen der Drittländer, wie Österreich, Italien und Frankreich

Auf der Basis vom Schrems II-Urteil im Jahr 2020 wurden vom Europäischen Zentrum für digitale Rechte (Abkürzung NOYB) 101 Beschwerden bei den Datenschutzbehörden (und zwar gegen große Unternehmen) eingereicht. Der Vorwurf lautete, dass dieser Dienst von Google und Facebook Conect unrechtmäßig verwendet werden würde. Die ersten Entscheidungen der Datenschutzbehörden gab es dann im Januar 2022. Dabei haben die italienische, französische und die österreichische Datenschutzbehörden erklärt, dass dieser Dienst von Google unzulässig ist und die Konsequenzen – Google Analytics rechtswiedrig.

Als Begründung wurde angegeben, dass bei der Nutzerdaten-Übertragung in die Vereinigten Staaten die Daten nicht ausreichend (zum Beispiel durch Anonymisierung) geschützt werden. Auch würde die IP-Adressen-Kürzung keine ausreichende Schutzmaßnahme darstellen, weil die Kürzung erst auf den US-Servern erfolgt.

Welche Aussagen treffen die deutschen Datenschutzbehörden dazu?

Auch von den deutschen Datenschutzbehörden wird erwartet, dass ähnliche Entscheidungen getroffen werden. Bei den Übergangs Lösungen verfahren die einzelnen Bundesländer nach der derselben Grundaussage. und zwar, dass solche Dienste, welche Daten von Besuchern von Webseiten auswerten und diese dann nutzen, dies nur mit Einwilligung der Besucher dürfen und zwar unabhängig mit oder ohne Cookies.

Trotzdem gibt es auch in Deutschland erste Bußgeldandrohungen von Datenschutzbehörden im Zusammenhang mit diesem Google-Dienst, Double Click und Criteo. Bußgelder sind jedoch noch nicht verhängt worden. Hierbei handelt es sich bisher lediglich um Androhungen von Bußgeldern durch die Niedersächsischen und Bayerischen Datenschutzbehörden.

Auch die Cookies dürfen gemäß den europäischen Urteilen nicht mehr ohne echte Einwilligung der betroffenen Personen gesetzt werden. Dabei gilt dies unabhängig davon, ob in den Cookies personenbezogenen Daten oder anonyme Daten gespeichert werden. Davon sind jedoch nicht alle Cookies betroffen. Hier sind zum Beispiel ohne Einwilligung sogenannten First Party Cookies erlaubt, welche für eine Webseite notwendig sind. Dazu gehören zum Beispiel Login-Cookies, Warenkorb Cookies oder Cookies, welche eine Sprachauswahl oder Länderauswahl betreffen. Bei der aktuellen Diskussion geht es hauptsächlich jedoch um Tracking- und Marketing-Cookies. Grundsätzlich sollten jedoch solche Dienste, wie es hier Google anbietet, nur mit einer vorherigen Einwilligung der Nutzer, eingesetzt werden.

Kurzer Rückblick unserer vorherigen Beiträge zum Thema:

Die Datenschutz-Grundverordnung legte einen neuen Rahmen für Datenschutzgesetze und -vorschriften für die Mitgliedstaaten der Europäischen Union fest.

Cookies – Online-Werbemarkt in Europa vor dem Kollaps?

Cookies: 2022 EDSA Europäischer Datenschutzausschuss äußert sich zu Cookie Consent

Tracking – Third Party Cookies werden ab 2023 auch in Chrome blockiert.

Cookieless: Kommt 2023 die Zeit ohne Cookies?