Europäische Datenschutzbehörden sehen Google Analytics immer skeptischer

Google Analytics erfreut sich weltweit großer Beliebtheit. Schätzungen gehen davon aus, dass dieses Werkzeug bei weit über 50 % der Websites zum Einsatz kommt. Auch in der EU nutzen viele Website-Betreiber dieses Werkzeug.

Mit Google Analytics können die Website-Betreiber umfangreiche Informationen über die Besucher der Website in Erfahrung bringen, etwa wie lange diese auf den Seiten verweilen, welche Inhalte (z.B. eingebundene Videos) sie abrufen, ob sie die Seiten zu ihren Favoriten hinzufügen oder auch auf welchen Wege sie auf die Website gelangt sind.

Somit können die Website-Betreiber Google Analytics auch zur Erfolgsmessung von Marketingaktivitäten verwenden, indem sie etwa erfassen, wie viele Adressaten einer Werbe-Mail reagieren und die hierin enthaltenen Links anklicken, oder wie viele Besucher über ein Werbebanner auf das Angebot gelangen.

Google Analytics ist datenschutzrechtlich schon lange umstritten

Gegen den Einsatz von Google Analytics gibt es schon seit langem datenschutzrechtliche Bedenken, wobei es vor allem zwei Problembereiche gibt. 

• Zum einen ist das Ausmaß der erhobenen Daten zum individuellen Nutzerverhalten umstritten und dass diese Daten auch mit zusätzlichen Google-Daten (etwa Suchanfragen oder Daten aus dem Google-Konto) zusammengeführt werden können, über die Google prinzipiell auch sehr detaillierte Verhaltensprofile einzelner Nutzer generieren kann.
• Zum anderen wird gerade von EU-Datenschutzbehörden kritisiert, dass über Google Analytics erhobenen Daten, darunter auch personenbezogene Daten wie die IP-Adresse der Surfer, an Google-Server in den USA fließen und Google als US-Konzern diese Informationen nach US-Recht diese Daten auf Anforderung hin an US-Behörden weitgeben muss.

Datenschutzinitiative mit Musterbeschwerde vor österreichischem Gericht erfolgreich

Gegen die Nutzung von Google Analytics hatte die Datenschutzorganisation NOYB (Europäisches Zentrum für digitale Rechte, „None Of Your Business“, etwa: „Geht Dich nichts an“) eine Musterbeschwerde bei der österreichischen Datenschutzbehörde eingereicht, nachdem der EuGH im Sommer 2020 mit dem sogenannten Schrems-II-Urteil festgestellt hatte, dass eine Übermittlung personenbezogener Daten von EU-Bürgern an US-Provider, die verpflichtet sind, diese Daten auf Anfrage an US-Behörden weiterzuleiten, einen Verstoß gegen die Vorgaben der DSGVO darstellt. Die Datenschutzbehörde vertritt in einem Teilbescheid die Auffassung, dass der Einsatz von Google Analytics auf Webseiten in der EU gegen die allgemeinen Grundsätze der Datenübermittlung nach Artikel 44 DSGVO verstoße und daher unzulässig sei.

Der Fall: In dem konkreten Fall hatte NOYB sich über den österreichischen Betreiber einer Gesundheits-Website beschwert. Da diese Website zwischenzeitlich an ein in München ansässiges Unternehmen übertragen wurde, ist die österreichischen Datenschutzbehörde mittlerweile nicht mehr zuständig und hat daher ein Ersuchen an den bayerischen Landesbeauftragten für den Datenschutz gestellt, der nun darüber zu entscheiden hat, ob die beanstandete Website eingestellt werden muss.

Beschwerde gegen Google selbst nicht zugelassen

Während die Beschwerde gegen den Website-Betreiber damit erfolgreich war, wies die Behörde den Teil der Beschwerde, der sich gegen Google selbst richtet, zurück. Begründet wurde dies damit, dass die Regeln für die Übermittlung der Daten ausschließlich für EU-Einrichtungen, nicht aber für US-Empfänger gelten. Allerdings wies die Datenschutzbehörde darauf hin, dass ein Verfahren gegen Google im Hinblick auf mögliche Verstöße gegen die Artikel 5, 28 und 29 DSGVO weiterlaufe und es hierzu demnächst eine separate Entscheidung geben werde.

Ablehnende Haltung wird immer stärker

Die Entscheidung der österreichischen Datenschutzbehörde zum Einsatz von Google Analytics bzw. allgemein zur Übertragung der Daten von EU-Bürgern auf US-Server steht nicht allein.

• So hatte etwa das Verwaltungsgericht Wiesbaden einer Hochschule die Verwendung eines Cookie-Tools verboten, bei dem ein solcher Datentransfer stattfindet, da der Anbieter dieses Dienstes (Cookie-Bot) von den USA aus arbeitet und personenbezogene Nutzerdaten auf dortigen Servern gespeichert werden.
• Auch der EU-Datenschutzbeauftragte hat kürzlich eine klare Position bezogen und sich unter Hinweis auf das Schrems-II-Urteil gegen den Einsatz von Google Analytics und eines US-Bezahldienstes (Stripe) auf Webseiten des EU-Parlaments ausgesprochen.
• Die niederländische Datenschutzbehörde (Autoriteit Persoonsgegevens – AP) hat ihre Hinweise zu einer datenschutzfreundlichen Einrichtung von Google Analytics  um den Hinweis erweitert, dass dieses Tool möglicherweise schon bald nicht mehr erlaubt sei.  Auch in den Niederlanden sind zwei Beschwerden gegen die Verwendung von Google Analytics anhängig, über die entschieden werden soll.
• Die französische Datenschutzbehörde CNIL hat im Juni 2022 eine Stellungnahme zu Google Analytics veröffentlicht, in der sie die gemeinsamen europäischen Standpunkte wiederholt. Der Einsatz von Google Analytics stellt demnach eine illegale Übermittlung personenbezogener Daten an Google Server in den USA dar. Die Anpassungen der Standardvertragsklauseln und neue Einstellungsmöglichkeiten, die Google im Mai 2022 vorgenommen und eingeführt hatte, änderten daran nichts, da die Identifizierung der Nutzer immer noch möglich sei.
• Die italienische Datenschutzbehörde hat ebenfalls im Juni 2022 den Einsatz von Google Analytics gerügt und festgestellt, dass dieser ohne zusätzliche Schutzmaßnahmen gegen die DSGVO-Vorschriften verstößt. Die Behörde hat bereits mehrere Website-Betreiber aufgefordert, die Verarbeitung mittels Google Analytics innerhalb von 90 Tagen einzustellen.

Alternativen zu Google Analytics suchen

Die jüngsten Entwicklungen deuten darauf hin, dass eine weitere Verwendung von Diensten und Tools, bei denen personenbezogene Daten zu US-Anbietern übertragen werden, in der EU künftig deutlich mehr Probleme bereiten könnte als bisher schon. Auch Nachbesserungen, wie sie etwa durch überarbeitete Standardvertragsklauseln erreicht werden sollten, scheinen den EU-Datenschützern nicht zu genügen, wie die Entscheidungen und Stellungnahmen aus Österreich, Frankreich und Italien aufzeigen.

Spätestens jetzt sollten sich die Betreiber von Websites, die Google Analytics einsetzen, mit datenschutzkonformen Alternativen befassen, die nach Möglichkeit von EU-Anbietern stammen oder bei denen zumindest die Daten garantiert innerhalb der EU verbleiben und somit kein so einfacher Zugriff durch US-Behörden mehr erfolgen kann.

Neben Google Analytics sind auch zahlreiche andere Dienste betroffen und in der nächsten Zeit dürften weitere Entscheidungen von europäischen Datenschutzbehörden zu erwarten sein, denn insgesamt hat allein die Datenschutzorganisation NOYB über 100 Beschwerden gegen die Nutzung von Diensten eingereicht, bei denen personenbezogene Daten in die USA übertragen werden.

Hintergrund: Transfers personenbezogener Daten in die USA

Um die Rechtmäßigkeit des Transfers personenbezogener Daten in die USA hat es in den letzten Jahren immer wieder juristische Auseinandersetzungen gegeben. Kritiker befürchteten etwa einen massenhaften Zugriff auf Daten von EU-Bürgern durch US-Behörden und konnten vor Gericht bereits die Aufhebung von zwei Abkommen zur transatlantischen Datenübertragung erreichen.

So kippte etwa der EuGH nach dem Safe-Harbor-Abkommen auch das danach genutzte Privacy-Shield-Abkommen, da etwa die in den USA mögliche Praxis der Massenüberwachung nicht den in der EU vorgeschriebenen Datenschutzstandards entspricht. 

Neue Standardvertragsklauseln: Als Rechtsgrundlage für die Übertragung persönlicher Daten konnten die sogenannten Standardvertragsklauseln (SVK) verwendet werden, die nach dem letzten Urteil des Europäischen Gerichtshofs jedoch ebenfalls überarbeitet werden mussten. Im Juni 2021 hatte die EU diese Anpassungen abgeschlossen und die neue Version der Standardvertragsklauseln veröffentlicht.