Einleitung 

Google Analytics ist ein allseits bekannter Webanalyse-Dienst und wird von sehr vielen Websitebetreibern gerne genutzt. Im Rahmen der Verarbeitung werden Nutzerdaten gesammelt und von Google ausgewertet, um Einsicht in das Nutzerverhalten zu erlangen. Aus diesen Daten lassen sich Änderungen für Optimierungsprozesse der Website ableiten, entwickeln und umsetzen. Die häufige Nutzung des Analyse-Tools lässt sich auch darauf zurückführen, dass die meisten Funktionen kostenlos sind.

Die Vorteile liegen somit klar auf der Hand. 

Allerdings ist die Nutzung von Google Analytics unter anderem aufgrund des Datentransfers in die USA seit dem zweiten Schrems-Urteil des Europäischen Gerichtshofs immer wieder der Kritik von Datenschutzbehörden ausgesetzt. In den letzten Monaten äußerten sich mehrere europäische Datenschutzbehörden kritisch über die Anwendung von Google Analytics. Doch ist die Nutzung tatsächlich rechtswidrig? 

Was ist das Problem an der Nutzung von Google Analytics? 

Zunächst einmal merken die Webseiten-Nutzer ohne ausreichend transparente Information nicht, wie viele oder welche Daten gesammelt werden. Denn diese Prozesse laufen im Hintergrund. Im Rahmen der Analyse können die gesammelten Daten sowie die IP-Adresse einem Nutzer eindeutig zugeordnet werden. Zwar werden diese Daten laut Google pseudonymisiert. Jedoch, so die Kritik, sei diese Pseudonymisierung als Schutzmechanismus nicht ausreichend.  

Des Weiteren gelten die USA als Drittland im Sinne der DS-GVO. Für eine Datenübermittlung in Drittländer ist eine entsprechende Rechtsgrundlage erforderlich. Zwischen Deutschland und den USA wurde dazu ursprünglich der Privacy Shield genutzt. Diese Rechtsgrundlage entfiel jedoch mit Urteil des Europäischen Gerichtshofs im Jahr 2020 („Schrems II“).

Seit einiger Zeit arbeitet die Europäische Kommission mit den USA ein neues Datenschutzabkommen aus. Im März 2022 wurde eine erste Einigung erzielt.

Nachdem Präsident Joe Biden am 7. Oktober 2022 eine „Excecutive Order“ erließ, die den Datenschutz von Europäern gegen Abhöraktivitäten der US-Geheimdienste verbessern soll, ist nun die EU-Kommission am Zug. Doch bis diese einen zugunsten der USA wirkenden Angemessenheitsbeschluss erlässt, dürften noch einige Wochen oder gar Monate vergehen.  

Wie ist die aktuelle Einschätzung internationaler Datenschutzbehörden? 

Aufgrund dieser Problematiken entschied die österreichische Datenschutzbehörde (ÖDSB) im Januar 2022 als erste Behörde über den rechtswidrigen Einsatz von Google Analytics. Bei dem Einsatz der Tracking-Software liege ein Verstoß gegen Art. 44 DS-GVO vor, da die Übermittlung personenbezogener Daten in die USA ohne Rechtsgrundlage erfolge.  

Im Verlauf des Jahres folgten noch weitere europäischen Datenschutzbehörden (u.a. CNIL, GPDP) dieser Einschätzung und erklärten die Nutzung von Google Analytics als rechtswidrig. 

Weitere Behörden werden sich diesem Urteil voraussichtlich noch anschließen. 

Was muss ich als Website-Betreiber bei der Nutzung nun beachten? 

Viele Optionen für den Website-Betreiber für einen datenschutzkonformen Einsatz von Google-Analytics gibt es laut den Datenschutzbehörden nicht.  

Eine ausdrückliche und freiwillige Einwilligung der Nutzer ist einerseits für die Verarbeitung als solche, also die Analyse, essenziell. Hier liegt die Rechtsgrundlage in Art. 6 Abs. 1 S. 1 lit. a, Art. 7 DS-GVO. Zudem ist mit Blick auf den Drittlandtransfer eine Einwilligung ratsam, welche sich dann nach Art. 49 Abs. 1 a DS-GVO richtet.

Jedoch wird auch diese Vorgehensweise von den Datenschutzbehörden weitgehend kritisch betrachtet, weil es sich bei der Vorschrift um eine Ausnahmevorschrift von Art. 44 DS-GVO handele. Die Einwilligung soll nur für einzelne Übermittlungen erteilt werden. Im Rahmen von Google Analytics erfolgt allerdings eine fortwährende Drittlandübermittlung, sodass nicht mehr von einem Ausnahmefall gesprochen werden könne. 

In jedem Fall sollte eine Anpassung des Codes vorgenommen werden, sodass eine vollständige Weitergabe der IP-Adresse verhindert und damit eine Identifizierung der Person erschwert wird.  

Zudem sollte die Nutzung von Google Analytics und in welchem Umfang diese stattfindet, in der Datenschutzerklärung benannt werden. 

Gibt es alternative Tracking Modelle zu Google Analytics? 

Ja, die gibt es und der Markt dafür wächst.

Website-Betreiber, die kein Risiko eingehen wollen, sollten sich mit alternativen Tracking- und Analyse-Tools auseinandersetzen, welche personenbezogene Daten ausschließlich in der EU verarbeiten, auf websiteübergreifendes Tracking verzichten und eine frühzeitige Anonymisierung personenbezogener Daten sicherstellen.  

Fazit 

Nachdem sich nun ein paar Datenschutzbehörden gegen den Einsatz von Google Analytics ausgesprochen haben und in weiteren 23 Staaten bereits mehrere Datenschutzbeschwerden in diesem Zusammenhang vorliegen, ist eine Nutzung von Google Analytics riskant.

Daher ist es ratsam sich über die genutzten Programme im Unternehmen zu informieren und bei Bedarf Alternativen zu suchen.

Mittlerweile gibt mehrere Alternativen auf dem Markt, die je nach Bedarf passend für die eigene Website sein können.

Gerne helfen wir Ihnen bei der Auswahl. Wer auf Nummer sicher gehen will, der verzichtet gänzlich auf die Verwendung von Google Analytics.

Letztlich liegt es im Ermessen des Website-Betreibers. Dabei ist zu beachten, dass bei Verstößen nicht nur Google, sondern der Website-Betreiber für Datenschutzverstöße verantwortlich sein kann. 

Über die rechtliche Entwicklung einer rechtskonformen Nutzung von Google Analytics sowie ähnlichen Programmen werden wir Sie hier weiterhin informieren.