Die österreichische Datenschutzbehörde (DSB) hat entschieden, dass der Einsatz von Google Analytics nicht mit der DSGVO vereinbar ist. Laut der DSB verstößt die Einbindung des beliebten Dienstes gegen das Schrems II-Urteil des Europäischen Gerichtshofs von 2020, das besagt, dass US-Anbieter:innen keine personenbezogenen Daten aus der EU in ein Nicht-EU-Land übermitteln dürfen. Die Datenübermittlung von Google Analytics in die USA hat laut DSB kein angemessenes Schutzniveau gemäß Art. 44 DSGVO. Eine Beschwerde, die direkt gegen Google eingereicht wurde, wurde von der Behörde abgelehnt.
Was bedeutet dies für die Nutzung von Google Analytics?
Seit der Schrems II-Entscheidung dürfen US-Unternehmen personenbezogene Daten aus der EU nur dann in die USA übermitteln, wenn sie explizit gültige Standardvertragsklauseln verwenden. Allerdings wird dies in vielen Fällen bei Google und anderen Unternehmen nicht beachtet.
Max Schrems, Vorsitzender von noyb.eu, erklärt auf der Website des Vereins:
Anstatt ihre Dienste technisch so anzupassen, dass sie mit der DSGVO-konform sind, haben US-Unternehmen versucht, einfach ein paar Texte in ihre Datenschutzrichtlinien einzufügen und den EuGH zu ignorieren. Viele EU-Unternehmen sind diesem Beispiel gefolgt, anstatt auf legale Dienste zu wechseln.
Die österreichische Datenschutzbehörde hat die von Google als Datenschutzoptionen genannten technisch-organisatorischen Maßnahmen (TOMs) als nutzlos bewertet, wenn es um den möglichen Zugriff der US-Behörden auf personenbezogene Datensätze geht. Der Bescheid besagt, dass diese Maßnahmen keinen ausreichenden Schutz vor einem solchen Zugriff bieten.
Sofern die technischen Maßnahmen betroffen sind, ist ebenso nicht erkennbar – und wurde seitens der Beschwerdegegner auch nicht nachvollziehbar erklärt –, inwiefern der Schutz der Kommunikation zwischen Google-Diensten, der Schutz von Daten im Transit zwischen Rechenzentren, der Schutz der Kommunikation zwischen Nutzern und Websites oder eine ,On-Site-Security‘ die Zugriffsmöglichkeiten von US-Nachrichtendiensten auf der Grundlage des US-Rechts tatsächlich verhindern oder einschränken.
Nach Bekanntwerden dieses Bescheids könnte die Einbindung von Google Analytics, wie sie bisher weit verbreitet ist, in Gefahr sein. Die meisten Unternehmen und Selbstständigen setzen auf das Statistikprogramm von Google. Der Datenschutzverein Noyb hat dazu Folgendes erklärt:
Obwohl es viele Alternativen gibt, die in Europa gehostet werden oder selbst gehostet werden können, verlassen sich viele Websites auf Google und übermitteln damit ihre Nutzerdaten an den US-Multi. Ebenso werden viele andere US-Dienste genutzt, die einen Zugriff durch US-Geheimdienste ermöglichen. Die Tatsache, dass die Behörden nun nach und nach US-Dienste für illegal erklären könnten, erhöht den Druck auf EU-Unternehmen und US-Provider, auf sichere und legale Optionen zu setzen. Hier ist vor allem die Verarbeitung ohne faktischen Zugriff von US-Unternehmen wichtig.
Wenn große Unternehmen wie Google, Meta, Microsoft und Apple ihre Datenschutzrichtlinien nicht an das EU-Recht anpassen, könnten Behörden und Gerichte ihre Dienste in der EU schrittweise als nicht rechtmäßig nutzbar erklären.
Verstoßen nicht alle US-Dienste gegen die DSGVO?
Der Verein Noyb, unter der Leitung von Max Schrems, hat zahlreiche Beschwerden bei verschiedenen EU-Behörden im Kontext der Missachtung des Schrems II-Urteils eingereicht. Schrems erklärte:
Wir erwarten, dass ähnliche Entscheidungen nun schrittweise in den meisten EU-Mitgliedstaaten fallen werden. Wir haben 101 Beschwerden in fast allen Mitgliedstaaten eingereicht, und die Behörden haben die Entscheidungen koordiniert. Eine ähnliche Entscheidung hat auch der Europäische Datenschutzbeauftragte letzte Woche getroffen.
Welche Alternativen zu Google Analytics gibt es?
Es gibt eine Reihe von Tools, die als DSGVO-konforme Alternative zu Google Analytics betrachtet werden können. Einige Beispiele sind:
- Matomo (früher Piwik): Dies ist eine Open-Source-Analyseplattform, die auf den eigenen Servern gehostet werden kann und somit die Kontrolle über die gesammelten Daten ermöglicht.
- Fathom Analytics: Dies ist eine einfache, datenschutzfreundliche Analyseplattform, die auf Transparenz und Privatsphäre ausgerichtet ist.
- Plausible: Dies ist eine Open-Source-Web-Analyseplattform, die auf Benutzerfreundlichkeit und Datenschutz ausgerichtet ist.
- Simple Analytics: Dies ist eine einfache Analyseplattform, die sich auf die wichtigsten Metriken konzentriert und keine Cookies verwendet.
Es ist wichtig zu beachten, dass keines dieser Tools eine perfekte DSGVO-konforme Alternative darstellt, da sie alle auf unterschiedliche Weise Daten sammeln und verarbeiten. Es empfiehlt sich daher, die Datenschutzbestimmungen und -richtlinien sorgfältig zu lesen und zu verstehen, bevor Sie eines dieser Tools verwenden.