Ad Technologies, ePrivacy, Privacy

Wie DSGVO-konform ist Google Analytics wirklich?

Laut heimischer Datenschutzbehörde (DSB) ist die Einbindung von Google Analytics auf Webseiten aufgrund einer möglichen Datenübertragung in die USA rechtswidrig. Im folgenden Beitrag beleuchten wir das Thema näher.  

Der Ursprung des Dilemmas – Sachverhalt 

Es ist nicht das erste Mal, dass ein Behördenbescheid dem US-Riesen an den Kragen will. Der österreichische Datenschutzaktivist Max Schrems hatte eine Musterbeschwerde bei der österreichischen Datenschutzbehörde (DSB) eingereicht, auf Basis des Urteils „Schrems II“ des Europäischen Gerichtshofs des vergangenen Jahres. Im Juli 2020 war das „Privacy Shield“-Abkommen mit den USA für unzulässig erklärt worden, welches das Senden von Daten europäischer Nutzer*innen auf US-Servern ermöglichte und regelte. Standardschutzklauseln, die Google hierfür anbot, waren in weitere Folge ebenfalls nicht mehr rechtsgültig. 

Aktuell liegt ein Urteil gegen die Website netdoktor.at vor, die durch den Einsatz von Google Analytics, gegen die Datenschutzgrundverordnung (DSGVO) verstoßen hat. Die Datenschutzbehörde hat im konkreten Fall festgestellt, dass die Verwendung von Google Analytics zum damaligen Zeitpunkt (August 2020) insbesondere deswegen unrechtmäßig zum Einsatz kam: 

  • Da sich der*die Websitebetreiber*in nur auf einen Auftragsverarbeitungsvertrag und die unzulässigen Standardvertragsklauseln gestützt hatte. 
  • Keine Anonymisierungsfunktion sensibler Daten implementiert war. 
  • Es keinen DSGVO-konformen Zustimmungsmechanismus für Cookies gegeben hat.  Laut Artikel 49 (1) lit a DSGVO wurde folglich der Consent der Nutzer*innen nicht eingeholt und überprüft. 

Die Entwarnung – keine Panik: Google Analytics ist gekommen, um zu bleiben 

Das Urteil wurde im nächsten Schritt entsprechend verallgemeinert, d.h. Google Analytics sei generell nicht mehr ordnungsgemäß einsetzbar und das Urteil auf alle österreichischen Websites, die Google Analytics verwenden, übertragbar. 

Dies ist aber so nichtzutreffend, denn das Urteil bezieht sich auf die oben genannten Mängel von netdoktor.at und nicht auf den generellen Einsatz von Google Analytics. DSGVO-konforme Zustimmungsmechanismen für Cookies sind heutzutage grundsätzlich gelebter Standard – auch am österreichischen Werbemarkt.  

Welche Schlüsse kann man aus diesem Urteil ziehen? 

Das Urteil sollte gegebener Anlass sein, sich Zeit zu nehmen, um seine eigene Datenstrategie nochmals auf den Prüfstand zu stellen.  

CMP – Technische Umsetzung 

Durch den Einsatz von Plattformen zur Verwaltung und Dokumentation von Einwilligungen aka Consent Management Platforms (CMPs) anstatt „Cookie Banner“ hat man jedenfalls das Fundament einer soliden Datenschutz-Strategie gelegt. So können auch unnötige Bußgeldverfahren vermieden werden. 

Die richtige Konfiguration hinsichtlich Anonymisierung und technischer Ablauf sind hier entscheidend. Es gilt zu prüfen, ob die Anonymisierungsfunktionen und Aggregation persönlicher Daten nach Consent korrekt implementiert wurden. Des Weiteren muss sichergestellt werden, dass Cookies nicht bereits beim Laden der Seite sondern erst dann abgefeuert und verarbeitet werden, wenn auch die Einwilligung der Nutzer*in erfolgt ist. Dies gilt natürlich nicht nur für Google Analytics, sondern für alle Tracking-Tools, die zum Einsatz kommen. 

CMP – Datenschutz Präferenzen

Eine moderne CMP bietet User*innen die Möglichkeit selbst zu entscheiden, welche Cookies akzeptiert werden und welche nicht. Hier sollte auch klar dargelegt werden, dass auch Leistungs- und Marketing-Cookies in Drittländer übermittelt und verarbeitet werden können. Dies ist insbesondere dann notwendig, wenn Google Produkte im Einsatz sind.

Google Analytics

Auch in Analytics selbst sollte geprüft werden, ob die letztgültigen DPAs (Google Data Processing Terms for all Google Products) in den Settings akzeptiert wurden. Dies gilt auch für den Vertrag zur Auftragsdatenverarbeitung inklusive der aktuellen Standardvertragsklauseln von Google Ireland ltd. 

Bei diesen Empfehlungen handelt es sich um eine Einschätzung. Diese können keinesfalls eine individuelle Rechtsberatung ersetzen. 

Das richtungsweisende Urteil von netdoktor.at zeigt einmal mehr, wie wichtig es ist, in eine sichere Datenstrategie zu investieren. Hier gilt es, auf individuelle Rechtsberatung und eine gesetzeskonforme technische Implementierung durch Expert*innen zu setzen. Am Ende des Tages trägt jedes Unternehmen selbst die Verantwortung.

Ivan Markovic, Head of Enterprise und Google Experte

Fazit

Eines steht wohl fest: Es wird immer wieder Angriffspunkte für Datenschutzaktivist*innen geben und es wird auch in Zukunft noch den einen oder anderen kleinen oder großen Player am Werbemarkt treffen. Der Schutz der Privatsphäre, das Vertrauen von Kund*innen in eine transparente und gesetzeskonforme Nutzung ihrer Daten, ist und bleibt ein wertvolles und zu respektierendes Gut. Es liegt in der Verantwortung jedes einzelnen werbetreibenden Unternehmens und ist im Interesse der gesamten Branche, verantwortungsvoll damit umzugehen und sachgemäß zu prüfen, ob man sich innerhalb des Rahmens, den die DSGVO bietet, bewegt. Denn: Nutzer*innendaten und datenbasierte Erkenntnisse in anonymisierter und legitimer Form sind und bleiben essenzieller Schlüssel für den Marketingerfolg. 

Möchten Sie das technische Setup Ihrer CMP noch einmal überprüfen, oder interessieren Sie sich für mögliche Alternativen zu Google Analytics? Unsere Expert*innen stehen Ihnen sehr gerne jederzeit für Ihre Fragen zur Verfügung. Schreiben Sie uns adverserserve/kontakt oder kontaktieren Sie uns telefonisch unter +43 1 522 7220-80.   

Voriger Beitrag Nächster Beitrag

Ähnliche Beiträge