Zusammenfassung der Urteilsverkündung: Google Analytics
Die Verwendung und Einbindung des Website-Analysedienstes "Google Analytics" durch Website-Betreibende ist gemäß Urteil der CNIL vom 10.02.2022 in der EU rechtswidrig!
Hier besteht für alle Nutzenden von Google Analytics nun zwingend Handlungsbedarf, um möglichen Abmahnversuchen Dritter frühzeitig entgegen zu wirken. Die Datenübertragung in die USA und an deren Geheimdienste stellt dabei den entscheidenden Kritikpunkt dar. Laut der französischen Datenschutzbehörde CNIL (Commission nationale de l’informatique et des libertés) reichen auch die von Google getroffenen zusätzlichen Schutzmaßnahmen nicht aus, um den Zugriff durch US-Geheimdienste auszuschließen. Konkret bedeutet dies, dass die Verwendung und Nutzung von Google Analytics im DSGVO-Raum umgehend einzustellen ist. Sofern weiteren Daten zur statistischen Erfassung von Website-Nutzungsdaten gewünscht sind, braucht es eine datenschutzkonforme EU-Alternative.
Das bedeutet folglich: Wenn Sie auch in Zukunft Analysedaten Ihrer Website(n) erfassen wollen, haben wir einige Empfehlungen alternativer Analysedienste für Sie vorbereitet (siehe Rubrik Handlungsempfehlungen).
Nachfolgend haben wir zudem eine ausführliche Beschreibung rund um die Urteilsfindung für Sie vorbereitet, um den Vorgang bestmöglich aufzurollen.
Unsere Handlungsempfehlung für Sie:
- Es ist nun zwingend notwendig, Google Analytics zu entfernen, sofern der Dienst auf Ihrer Website Verwendung findet. Rund um diesen Prozess (diverse Anpassungen im Quellcode, Anpassung der Datenschutzerklärung, Prüfung auf Restbestände, Testing, etc.) braucht es üblicherweise ca. 30-60 Minuten.
- Sofern Sie einen Selbsttest starten wollen, ob Google Analytics verwendet wird oder nicht, bietet sich dieses kostenfreie Online-Tool der Universität Bamberg an. Wir gehen davon aus, dass viele unserer Kunden ggf. auch private Webseiten oder Vereinswebseiten betreuen. Aus diesem Grund wollen wir Ihnen mit diesem Online-Tool die Möglichkeit geben, Gewissheit über die (bisher gestattete) Nutzung erlangen zu können.
- Die Datenerfassung über Analysedienste bietet für Webseiten-Betreiber einen großen Mehrwert hinsichtlich Auswertung wie auch Optimierung von Seiteninteraktion und auch eine klare Erfolgskontrolle. Mit dem neuen Urteil können Sie letztlich entscheiden, ob Sie (nur) auf die Verwendung von Google Analytics verzichten oder einen alternativen Analysedienst auf Ihrer Website einbinden.
- Hier ein Vorschlag ausgewählter Alternativen: Matomo Analytics | Friendly | etracker Analytics | Piwik Pro Analytics
- Je nach Website-System und -Umfang bietet sich der ein oder andere Analysedienst im Individualfall mehr oder weniger an. Teilweise sind diese externen Dienste mit laufenden Kosten verbunden, teilweise beschränkt sich der Aufwand auf ein erstes technisches Doing rund um die Einrichtung und Konfiguration. Gerne beraten wir Sie dahingehend und bieten unterschiedliche Handlungsvorschläge.
Bei Interesse: Hintergründe der Urteilsverkündung
- Bereits 2020 hat der europäische Gerichtshof Google zwei Jahre Zeit eingeräumt, um hinsichtlich DSGVO-Vorgaben nachzurüsten. Diese Frist ist nun abgelaufen.
- Zwischenzeitlich und bis zu den jüngsten Urteilen war die Verwendung von Google Analytics zulässig bzw. in einer rechtlichen Grauzone gestattet. Dahingehend sollte bisher gewährleistet werden, dass vor irgendeiner Form der Datenerfassung zunächst die Einwilligung des jeweiligen Seitenbesuchers eingeholt werden musste (siehe Cookie-Hinweis). Weiterhin sollten die Daten ausschließlich anonymisiert erfasst und ggf. auch an Google übertragen werden.
- Vor zwei Wochen (Ende Januar) hat die österreichische Datenschutzbehörde (DSB) nun entschieden, dass die kontinuierliche Nutzung von Google Analytics gegen die DSGVO verstößt. Konkret sieht die DSB vor allem die allgemeinen Grundsätze der Datenübermittlung gemäß Artikel 44 DSGVO als verletzt an, da mit dem Statistikprogramm persönliche Nutzerinformationen an die Google-Zentrale in den USA weitergegeben werden. Zu diesen Nutzerinformationen zählen einzigartige Nutzer-Identifikationsnummern, IP-Adressen und andere Browserparameter. Die DSB sieht zudem in den Analytics-Vertragsklauseln kein "angemessenes Schutzniveau", um die "Überwachungs- und Zugriffsmöglichkeiten durch US-Nachrichten- und Geheimdienste einzuschränken.
- Google war und ist anschließend bemüht, im Rahmen der Datenschutzklauseln "technische und organisatorische Maßnahmen" (TOMs) ergriffen zu haben wie beispielsweise zusätzliche Verschlüsselungstechniken. Diese Maßnahmen wurden seitens DSB allerdings bereits als unzureichend gegenüber den Ansprüchen von Geheimdiesnten wie der NSA oder der FBI eingestuft.
- Die französische Datenschutzbehörde CNIL hat nun das österreichische Urteil gegen Google Analytics bestätigt. Das Trackingtool ist im DSGVO-Raum nicht rechtskonform einsetzbar. Dieses Urteil wiegt für den europäischen Datenschuz noch schwerer als die Entscheidung aus Wien. In der Stellungnahme des CNIL heißt es ausdrücklich, dass man die Entscheidung in gemeinschaftlicher Abstimmung mit den anderen EU-Datenschützern getroffen habe. Es ist daher nur eine Frage der Zeit, bis auch weitere Behören offiziell und schriftlich nachziehen.
- Es könnte nun sein, dass Google dieser Problematik aus dem Weg geht, indem Google ausländische Daten außerhalb der USA verarbeitet oder die Vereinigten Staaten müssen ihren Datenschutz an geltendes EU-Recht anpassen. Die Wahrscheinlichkeit für eine kurzfristige Lösung ist allerdings sehr gering, sodass man darauf nicht warten können wird.
- Weiterhin könnten demnächst auch andere Dienste und Plattformen erneut und verstärkt unter den Prüfstand gestellt werden (z.B. Microsoft mit Teams, Google Adwords oder auch Zoom).
Aktuelle Online-Quellen zum Nachlesen:
- Zusammenfassung der Urteilsfindung der österreichischen Datenschutzbehörde auf Heise.de
- Englische Aufarbeitung der Datenschutz-Platform noyb.eu
- Zusammenfassung der Urteilsfindung der französischen Datenschutzbehörde auf Heise.de
Wir hoffen, Sie mit dieser Information bei der konkreten Umsetzung der DSGVO-Richtlinien zu unterstützen und stehen Ihnen gerne mit weiteren Hinweisen sowie technischer Unterstützung zur Verfügung.
Gleichzeitig weisen wir jedoch darauf hin, dass unter Umständen ein geschulter Datenschutzbeauftragter herangezogen werden sollte, der Sie bei Ihren individuellen Anforderungen ganzheitlich beraten kann.
Auch wir von M3 sehen uns gezwungen, zukünftig gegen nicht rechtskonforme Seiten vorgehen zu müssen, um sicherzustellen, dass wir nicht für ggf. vorhandene Verstöße haftbar gemacht werden können. (M3 kann keine 100%-Garantie auf die rechtskonforme Umsetzung aller datenschutzrelevanten Maßnahmen geben - dies obliegt einem hierfür ausgebildeten Rechtsanwalt oder Datenschutzexperten)
Viele Grüße aus Fulda!
Ihr M3-Team rund um Gregor Pchalek und Marius Hornung