Keine Panik: Google Analytics kann weiter DSGVO-konform genutzt werden
Nach einer Musterbeschwerde bei der österreichischen Datenschutzbehörde (DSB) durch den bekannten Datenschützer Max Schrems ist es zu einem folgenreichen Urteil gekommen: Der Einsatz von Google Analytics auf Websites stellt einen Verstoß gegen die Datenschutzgrundverordnung (DSGVO) dar, wird ein neues Urteil der DSB interpretiert. Die Übermittlung von einzigartigen Nutzer-ID-Nummer, IP-Adressen und Browser-Parameter seien durch die Standardschutzklauseln, die Google anbietet, nicht ausreichend geschützt.
Die DSB sieht Artikel 44 der DSGVO verletzt, weil die Analyse-Software persönliche Nutzerinformationen an die Google-Konzernzentrale in den USA übermittle – und damit nicht vor dem Zugriff durch US-Behörden geschützt seien. Nun sind viele der Meinung, dass österreichische Unternehmen Google Analytics nicht mehr ordnungsgemäß einsetzen dürfen und dass das Urteil der DSB vom Einzelfall (es handelt sich um netdoktor.at im Jahr 2020) auf alle anderen Web-Dienste europäischer Unternehmen übertragbar sei.
Stimmt nicht, heißt es seitens der auf Google und Data-Driven Advertising spezialisierten Agentur e-dialog mit Niederlassungen in Wien, Düsseldorf und Zürich. „In der aktuellen Berichterstattung wird fälschlicherweise gemeldet, dass Google Analytics nach einem Entschluss der österreichischen Datenschutzbehörde nicht mehr datenschutzkonform sei“, heißt es in einem aktuellen Mailing sowie einem Blog-Beitrag an Kund:innen der Agentur. Man solle diese Aussage nicht verallgemeinern, man könne Google Analytics in der EU weiterhin datenschutzkonform nutzen. Beim netdoktor-Fall etwa hat es im betreffenden Zeitraum, auf den sich das DSB-Urteil bezieht, keinen Zustimmungsmechanismus für Cookies gegeben – eine Sache, die heute mittlerweile Standard bei vielen Webseiten ist.
5 Punkte zu berücksichtigen
Laut e-dialog können Webseiten-Betreiber Google Analytics weiterhin einsetzen, wenn folgende Punkte berücksichtigt werden:
- DPAs von Google akzeptieren: Google hat die „Google Data Processing Terms for all Google Products“ (DPAs) entsprechend angepasst, um die neuen Versionen der Standardvertragsklauseln widerzuspiegeln. Akzeptieren Sie die neuen DPAs von Google in den Settings von Google Analytics.
- Hinweis in den Datenschutzbestimmungen auf eine mögliche Datenübermittlung in Drittstaaten
- Zustimmung der User einholen: „Das bedeutet, dass Sie Google Analytics erst feuern können, wenn Sie die Einwilligung dazu erhalten haben und diese auch speichern sowie beauskunften können. Eine Consent Management Plattform (CMP) erleichtert diesen Prozess“, heißt es seitens e-dialog.
- Richtige Konfiguration von Google Analytics: Beim Setup dürfen keine personenbezogenen Daten/PIIs in Analytics einfließen, so die Expert:innen von e-dialog. Man sollte deswegen von der IP-Anonymization Gebrauch machen. Weitere Infos dazu gibt es hier.
- Auf Serverside Tracking umstellen: „Serverseitiges Tracking ist nicht nur eine geeignete Lösung, um die Lebensdauer von 1st-Party Cookies zu erhöhen und so manchen Tracking-Blocker zu umgehen, sondern man hat dabei auch Möglichkeiten die Daten zu adaptieren bevor sie an Google Analytics gesendet werden“, heißt es seitens e-dialog. „Das bedeutet konkret, dass man zum Beispiel die IP-Adressen der User komplett entfernt, bevor man die Daten weiter an Google Analytics sendet.“
- Daten-Katalysator: Laut Klaus Müller, Co-CEO und Mitgründer des Startups Jentis, sei hier aufs Detail zu achten. Server-seitiges Tracking von Google in der Google Cloud sei nicht genug, man brauche einen Datenkatalysator vor Google, der die Anonymisierung der Daten vornimmt – und ein solches Tool biete man mit Jentis. Selbst wenn die Google Cloud in Europa ist, also die Daten auf Servern mit Standorten in Europa liegen, können US-amerikanische Behörden via US Cloud Act auf die Daten zugreifen. „Deswegen ist es so wichtig, dass die personenbezogene bzw. -beziehbare Daten vorab und „außerhalb“ von Google anonymisiert oder verschlüsselt werden – und zwar mit einem europäischen Compliance-Tool, auf das kein externer Zugriff möglich ist. Nur so können Unternehmen sicherstellen, dass entsprechende Daten angemessen geschützt sind. Dieser Schritt fällt unter die Verpflichtung für Unternehmen, gegebenenfalls zusätzliche Maßnahmen zu ergreifen, um Schutzlücken in den Rechtssysteme von Drittstaaten auszugleichen“, so Müller. Allerdings, entgegnet Siegfried Stepke von e-dialog, dass man auch den Serverside-Teil von Google Analytics so aufsetzen könne, dass alles konform ist. Man brauche nicht notwendigerweise Middleware.
Natürlich ist das Urteil der DSB auch ein Anlass, sich über mögliche Alternativen zu Google Analytics zu informieren. Trending Topics wird dazu demnächst eine Übersicht bringen.
Anmerkung: Es wurden Details von e-dialog und Jentis in punkto Server-Side-Tracking, Compliance und Middleware ergänzt.