Warum darf GoogleAnalytics in der EU nicht mehr eingesetzt werden? Und was soll man nun tun?

Ein Urteil der Österreichischen Datenschutzbehörde DSB erklärte Anfang 2022 GoogleAnalytics für nicht DSGVO-konform.
Inzwischen hat auch die französische Datenschutzbehörde ein vergleichbares Urteil erlassen und auch aus den Niederlanden hört man Ähnliches. Da es sich um EU-Recht handelt, genügt bereits die Entscheidung eines einzigen Landes für weitreichende Folgen!

"Wieso darf Google ein illegales Werkzeug überhaupt anbieten?", hört man inzwischen oft. Doch diese Frage ist falsch gestellt, dann natürlich ist GoogleAnalytics selbst nicht illegal, sondern dessen Einsatz unter bestimmten rechtlichen und technischen Rahmenbedingungen.

Wo liegt das Problem genau?

Durch Einbinden des GoogleAnalytics-Skripts in eine Website werden nicht nur anonyme statistische Daten erhoben. Im Hintergrund fließen zahlreiche Daten an Google (und Dritte), die den Websitebesucher wiedererkennbar und identifizierbar machen, um ihm aufgrund dieser Kenntnisse zielgerichtet personalisierte Werbung präsentieren zu können - was das eigentliche Geschäftsmodell hinter all den so freigiebig angebotenen Google-Services ist.

  1. Unter diesen, mittels Cookies erhobenen Daten sind die IP-Adresse und andere Daten, anhand derer Google den Besucher eindeutig identifizieren kann (und dies selbst dann, wenn die "IP-Anonymisierung" aktiviert ist). Damit sind das "personenbezogene Daten" und daher fällt diese Datenverarbeitung unter die DSGVO.
  2. Die erhobenen Daten werden an Google übertragen - und Google ist ein Unternehmen mit Sitz in den USA. Es unterliegt daher US-Gesetzen, darunter dem sog. CloudAct, der das Unternehmen zwingt, seine zB. mit GoogleAnalytics erhobenen Daten jederzeit an US-Behörden (darunter auch US-Geheimdienste) herausgeben zu müssen. Dies auch dann, wenn Google argumentiert, die Daten würden auf Servern in der EU verarbeitet - es zählt der Unternehmessitz, welchem Gesetz man unterliegt. Dies kommt einer anlasslosen Massenüberwachung aller Internetnutzer gleich - und das ist nicht zulässig.
  3. Da in den USA (mit Ausnahme von Kalifornien) kein annähernd zur DSGVO vergleichbares Datenschutzrecht existiert, haben die Besucher von Websites, auf denen GoogleAnalytics eingesetzt wird, keine Möglichkeit, sich gegen diese Datenweitergabe zu wehren oder deren Löschung zu verlangen. Die DSGVO verbietet genau das: das Übertragen personenbezogener Daten nach außerhalb der EU, wo kein durchsetzbares Datenschutzrecht herrscht.
  4. Zudem gibt Google die erhobenen Daten an zahllose, nicht transparent gemachte Dritte (andere Unternehmen...) weiter, tw. werden diese auch verkauft. Die Betroffenen haben keine Möglichkeit, zu erfahren, wer die Daten erhält, noch können sie sich dagegen wehren. Auch das verstößt gegen die DSGVO.
  5. Die ungeliebten Cookiebanner versuchen, europäische Internetnutzer vor diesen Verstössen zu schützen. Klicken sie jedoch auf "Alle zulassen" (oder gibt es gar keine Möglichkeit, abzulehnen, wie dies noch immer auf zahlreichen Websites der Fall ist), findet die Datenübermittlung trotzdem statt. Da die Werbsitebetreiber aber selbst nicht wissen, an wen aller GoogleAnalytics die Daten ihrer Besucher weitergibt, ist selbst die so eingeholte Zustimmung der Besucher nicht ausreichend und daher ungültig

Auch Google selbst kann daran wenig ändern, denn das eigentliche Problem sind die äußerst mangelhaften Datenschutzgesetze in den USA. Google könnte allenfalls Analytics so verändern, dass keine personenbezogenen Daten mehr verarbeitet werden - für die reinen Statistikfunktionen sind diese natürlich nicht notwendig. Doch würde Google damit sein lukratives Geschäftsmodell verlieren, den Internetnutzern personalisierte Werbung zuzuspielen. Weder damit, noch mit einer echten Änderung der US-Gesetzeslage ist in nächster Zeit zu rechnen, ganz im Gegenteil scheinen sich EU und USA in ihren neuen Verhandlungen wieder auf eine zahnlose Regelung einigen zu wollen....

Was ist nun zu tun?

Im Grunde gibt es fünf Möglichkeiten:

  1. GoogleAnalytics wird einfach wie bisher weiter betrieben. Hier ist tatsächlich zu befürchten, dass man, zwar nicht gleich, aber doch früher oder später vor Gericht mit erheblichem Strafrahmen landen könnte.
  2. GoogleAnalytics wird in der neuen Version "GoogleAnalytics 4"  verwendet, das laut Google "datenschutzfreundlicher" sei. Worin diese Datenschutzfreundlichkeit besteht bleibt jedoch verborgen - Benutzerdaten werden weiterhin übertragen. Trotz Umstellungsaufwand wird das eigentliche Problem dadurch nicht gelöst, die Folgen sind wie bei Möglichkeit 1.
  3. GoogleAnalytics wird ersatzlos deaktivert. Man verliert dann jegliche Kenntnis über Zustand und Nutzung einer Website.
  4. GoogleAnalytics wird technisch umgebaut, sodass es keine personenbezogenen Daten mehr in die USA überträgt. Das ist prinzipiell möglich, aber technisch aufwändig und daher nur mit darauf spezialisierte Dienstleister machbar.
  5. GoogleAnalytics wird durch eine DSGVO konforme Alternative ersetzt.

Wir bieten Ihnen eine genau solche Alternative! Basis ist die europäische Open-Source-Webanalytik-Plattform "Matomo" (ehemals "Piwik"). Damit ein Maximum an Datenschutz gewährleistet werden kann, betreiben wir diesen Service garantiert auf einem eigenen Server in der EU und nicht auf irgendeinem Cloud-Server. So gehören diese Daten nur unseren Kunden selbst, sie werden an niemanden weitergegeben und sie verlassen niemals den Server bzw. die EU.