DSGVO: Google Analytics in Europa illegal?

Nachdem die österreichische Datenschutzbehörde im Dezember geurteilt hatte, dass Google Analytics nicht DSGVO-konform ist, sah wenig später auch die französische Datenschutzbehörde den Einsatz des Analyse-Tools nicht mit EU-Recht vereinbar. Im heutigen Beitrag zeigen wir auf, wie die Behörden zu ihrer Einschätzung gelangten und welche Konsequenzen ein EU-weites Verbot von US-Tools wie Google Analytics hätte. Außerdem blicken wir auf Alternativen zu dem US-Riesen.

Google Analytics verstößt gegen EU-Recht

Die österreichische NGO noyb mit Sitz in Wien hatte Musterbeschwerde bei der österreichischen Datenschutzbehörde (DSB) gegen die Nutzung von Google Analytics eingereicht: Das Website-Analyse-Tools vom US-Riesen Google verstoße gegen die DSGVO. Dem ging eine wegweisende Entscheidung voraus: Das vielbeachtete „Schrems II“-Urteil von EuGH aus Juli 2020.

Seinerzeit verkündeten die Richterinnen und Richter, dass Datenübermittlungen an US-Provider gegen die Daten-Exportverbote der DSGVO verstoßen. Dasselbe galt schon für den Vorgänger „Safe Harbor“, der im Jahr 2015 vom EuGH für ungültig erklärt wurde. Infolge der zweiten Entscheidung aus 2020 wurde das „Privacy Shield“-Abkommen gekippt, auf dessen Grundlage Datenübermittlungen an US-Provider bislang stattfanden. Die Tech-Unternehmen ignorierten die Entscheidung des EuGH weitgehend – neben Google stützten sich auch Amazon, der Meta-Konzern oder Microsoft auf „Standardvertragsklauseln“ und der Datentransfer ging nahezu ungebremst weiter.

Google listete als Antwort auf die Musterbeschwerde von noyb nur wenig effiziente technische und organisatorische Maßnahmen (TOMs) auf – die österreichische DSB jedenfalls bewertete eben diese Maßnahmen als nutzlos, denn die EuGH-Entscheidung fußt vorrangig auf der Tatsache, dass US-Behörden auf Daten zugreifen können. Und diese möglichen Datenzugriffe lassen sich weder durch die von Google vorgeschlagenen Zäune um Datenzentren noch durch das Überprüfen von Behördenanfragen verhindern.

Zwei Wochen nach der Entscheidung der österreichischen Behörde hatte die französische Datenschutzbehörde Commission Nationale de l’Informatique et des Libertés (CNIL) nachgelegt: Sie erließ eine Anordnung an französische Webseitenbetreibende, in der diese aufgefordert wurden, die weitere Nutzung von Google Analytics zu stoppen.

Gründer und Vorsitzender der NGO noyb.eu, Max Schrems, erklärte zu den Urteilen der Datenschutzbehörden: „Die verschiedenen europäischen Datenschutzbehörden kommen alle zu demselben Schluss: Die Verwendung von Google Analytics ist illegal. Die europäischen Behörden koordinieren die Entscheidungen in einer Task Force und wir gehen davon aus, dass andere Behörden bald ähnlich entscheiden werden.“

Tatsächlich aktualisierte kurz nach den Entscheidungen die niederländische Behörde für persönliche Daten (AP) ihre Anleitung zur „datenschutzfreundlichen Einrichtung Google Analytics“ und erklärte: „Bitte beachten: Die Verwendung Google Analytics‘ ist möglicherweise bald nicht mehr erlaubt.“ Weiter erklärte die AP, selbst Beschwerden über das Analysetool in den Niederlanden zu untersuchen. Auch das Europaparlament selbst wurde schon für den Google Analytics-Einsatz gerügt: Der europäische Datenschutzbeauftragte sanktionierte am 11. Januar das Europaparlament aufgrund eines Verstoßes gegen die „DSGVO für EU-Institutionen“.

Wegweisende Entscheidung für EU-Websites

Google Analytics ist das meistgenutzte Analyse-Programm für Websites – mit 86,1 Prozent Marktanteil (Stand: 03/2022; Quelle: w3techs.com) haben die Entscheidungen der Datenschutzbehörden starke Konsequenzen. Denn es geht nicht nur um Google Analytics, sondern generell um US-Tools und damit beispielsweise auch um US-Cloud-Lösungen jedweder Couleur: Industrial Clouds sind genauso betroffen wie Office 365 oder Cloud-basierte CRM-Systeme. Seitenbetreibende sind nun in der Pflicht, sich ausreichend zu informieren und entsprechende Maßnahmen zu ergreifen. Dazu gehört mitunter, sich nach Alternativen umzusehen, nachdem durch eine Ist-Analyse herausgefunden wurde, welche Tools überhaupt zum Einsatz kommen.

Es ist jedoch auch damit zu rechnen, dass sich US-Anbietende früher oder später dem EU-weiten Druck beugen. Laut Schrems bestünden zwei Möglichkeiten: Entweder es existieren getrennte Produkte für die EU und die USA oder die USA erhöhen ihr Datenschutzniveau. Beide Optionen dauern allerdings noch eine Zeitlang – und Website-Betreiber in der EU müssen zeitnah reagieren. Es gäbe noch zwei weitere Möglichkeiten: Anstatt die personenbezogenen Daten wie aktuell nur zu pseudonymisieren könnten diese anonymisiert werden, sodass keinerlei Rückschlüsse auf Individuen möglich sind. Oder auf US-Boden verarbeitete Daten werden verschlüsselt, ohne US-Anbietenden Zugriff auf die jeweiligen Entschlüsselungsschlüssel zu geben.

Neben den Entscheidungen der europäischen Behörden kommt ein weiterer Faktor hinzu, der bei Website-Betreibenden für Unsicherheit sorgt: Nutzende selbst legen immer größeren Wert auf Privatsphäre. Schon seit einiger Zeit bröckelt die Basis für Nutzermessungen, da sich Nutzende nicht mehr nachverfolgen lassen möchten.

Der einfachste Fall auf EU-Websites wäre, wenn Google Analytics ausschließlich für die Webanalyse verwendet wird. Hier müsste nur ein DSGVO-konformes Tool für diesen Einsatz gefunden werden – und diese gibt der Markt her. Deutlich komplizierter ist dies bei Fällen, in denen Google Analytics tief mit anderen Lösungen verknüpft wurde, was bei Advertisern oft üblich ist. Sind alle Dienste der Google Marketing Plattform verknüpft, stünden Advertiser vor großen Herausforderungen: das datenschutzkonforme Aggregieren aussagekräftiger Daten sowie neue Tracking-Konzepte müssten her.

Um die Marketingstrategie zukunftsfähig und damit rechtssicher auszurichten, sind Neuorientierungen notwendig. So braucht es Trackingdaten, bei denen auf individuell identifizierbare Informationen verzichtet wird – etwa Impressionen oder andere Metriken. Gezielte Experimente können durch A/B-Tests aufzeigen, was welche Nutzerreaktion hervorruft. Panisch müssen Website-Betreibende also nicht werden, jedoch sind kurz- und mittelfristige Reaktionen unabdingbar: Ergreifen Sie schnellstmöglich Maßnahmen, um sich rechtlich abzusichern, und schauen Sie sich mittelfristig nach zukunftssicheren Alternativen um.

Wie könnte es weitergehen mit Google Analytics?

Die österreichische NGO noyb hat 101 Musterbeschwerden eingereicht – europaweit, also auch hierzulande. Die bisherigen Entscheidungen der Datenschutzbehörden haben für Deutschland Signalwirkung. Befassen sich deutsche Datenschutzbehörden mit den Beschwerden von noyb, ist zu erwarten, dass diese zu ähnlichen Entscheidungen kommen – und dann sollten Sie umgehend handeln, denn dann könnten horrende Bußgelder die Folge sein. Sinnvoller als diese Entwicklung tatenlos abzuwarten ist es, schon jetzt mit der Suche nach Alternativen für US-Produkte zu beginnen. Neben der Option, europäische Produkte zu verwenden, gäbe es auch die Möglichkeit, US-Produkte selbst zu hosten.

Alternativen zu Google Analytics

Wir stellen Ihnen im Folgenden drei in Europa gehostete Alternative vor, anschließend noch eine vierte Variante, die Sie selbst hosten können. Leider sind nicht alle Alternativen kostenfrei. Allerdings können Sie bei diesen Tools davon ausgehen, dass nicht mit Nutzerdaten gezahlt wird – wie es Google Analytics durchaus vorgeworfen werden darf.

  • etracker: Die Lösung ist nicht nur „Made in Germany“, sondern auch kostenfrei für kleinere Websites. Datenschutzfreundliche Voreinstellungen sorgen auch bei weniger versierten Nutzenden für Rechtssicherheit. Plugins stehen für diverse CMS- und Shoppinglösungen wie TYPO3, WordPress, shopware oder Magento bereit und die Konfiguration ist ohne Coding möglich.
  • Plausible Analytics: Diese Lösung kann als selbstgehostete oder als Cloud-Variante genutzt werden. Wird die Cloud-Variante bevorzugt, liegen die Daten bei europäischen Providern, sodass US-Behörden keine Zugriffsmöglichkeit haben. Als Open Source-Tool ist der Quellcode von Plausible Analytics auf GitHub einsehbar, sodass unabhängig überprüft werden konnte, dass das Tool die Privatsphäre von Nutzenden respektiert. Die Preise für Plausible sind abhängig von monatlichen Pageviews. Überzeugen kann man sich in einem 30-tägigen Test, bei dem alle Funktionen uneingeschränkt genutzt werden können.
  • fathom: Dieses Analyse-Tool lässt den EU-Traffic über einen deutschen Provider (Hetzner) laufen. So lässt sich fathom DSGVO-konform verwenden, ohne viel konfigurieren zu müssen. Das Tool sammelt keine Daten, liefert anonymisierte Logs und kann während einer siebentägigen Testphase kostenfrei genutzt werden. Anschließend beginnen die Preise bei 14 US-Dollar pro Monat.

Google Analytics-Alternative Matomo

Zu den wohl besten Alternativen zu Google Analytics auf dem Markt gehört das Open Source-Tool Matomo (ehemals Piwik). Da Matomo selbst gehostet werden kann, behalten Website-Betreibende volle Datenhoheit: Anstatt auf US-Servern landen die Tracking-Anfragen und –Protokolle auf Ihrem eigenen Server. Ihre Datenschutzerklärung dürfte mit dieser Alternative auch viel dünner werden. Matomo lässt sich ohne Cookies betreiben, wovon der Datenschutz von Websites weiter profitiert. Und noch ein Vorteil: Matomo lässt sich kostenfrei einsetzen. Wenngleich kostenpflichtige Services und Plugins angeboten werden, kommen Sie mit Matomo in der Basisversion schon ordentlich weit.

Matomo überzeugt mit einer aufgeräumten und übersichtlichen Oberfläche, sodass man sich schnell zurechtfindet. Ein sehr wesentlicher Vorteil von Matomo ist übrigens, dass das Tool seltener von Adblockern blockiert wird. Der Matomo-Entwickler InnoCraft bietet kostenpflichtigen Support für das Tool, Unterstützung findet man jedoch auch im Support-Forum. Weil Matomo Open Source ist, existieren im Matomo Marketplace zahlreiche Plugins, die die Funktionalität, Integrationsmöglichkeiten und auch die Sicherheit erweitern.

Google Analytics: Rechtssicher agieren

Sie sehen: Derzeit herrscht einmal mehr Unsicherheit. Die Entscheidungen aus Österreich und Frankreich, die Anweisungen aus den Niederlanden und des EU-Datenschutzbeauftragten zeigen jedoch, wohin die Reise höchstwahrscheinlich gehen könnte: Google Analytics wird sich offenbar nicht mehr rechtssicher nutzen lassen. Solange Google keine Lösung dafür findet oder in den USA ein anderes Datenschutzniveau herrscht, ist es an den europäischen Website-Betreibenden, Alternativen zu finden.

Neben Lösungen „Made in Germany“ oder mit Hosting innerhalb der EU gibt es auch die Option, ein Analyse-Tool wie Matomo oder Plausible Analytics selbst zu hosten und so die Datenhoheit zu behalten. Selbstredend müssen Server ebenfalls vor unbefugten Zugriffen gesichert und DSGVO-konform betrieben werden. Haben Sie Fragen zu DSGVO-konformen Tracking im Allgemeinen oder zu bestimmten Analysetools im Besonderen, nehmen Sie einfach Kontakt zu uns auf – wir unterstützen Sie gerne!

1 Comment

  1. Danke für den Artikel, GA ist sehr wichtig für viele Firmen, ich denke, da werden viele das Risiko eingehen.

Leave a Comment

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>
*
*