Aufgrund der Entscheide verschiedener Datenschutzbehörden stellen sich viele Betriebe und Unternehmen die Frage, ob Google Analytics weiterhin nutzbar ist. Vorweg, Google Analytics ist unserer Meinung nach per se nicht illegal. Es geht bei der aktuellen Datenschutzdebatte aber auch nicht nur um Google Analytics. Das Thema ist im Moment brandheiss und wird von verschiedenen Parteien hart umstritten. In diesem Artikel versuchen wir, die wichtigsten Erkenntnisse zur Debatte zu interpretieren. Ebenfalls beschreiben wir Möglichkeiten, Google Analytics zumindest sicherer nutzen zu können.
Dieser Blogbeitrag soll verlässliche Informationen zu folgenden zentralen Fragestellungen liefern:
- Um was geht es bei der aktuellen Datenschutzdebatte zwischen der EU und USA genau?
- Ist Google Analytics weiterhin nutzbar?
- Wie interpretieren wir das aktuelle Geschehen rund um die Debatte?
- Was sollten Unternehmen in der Schweiz nun tun, um Google Analytics DSGVO konform nutzen zu können?
- Ist eine Lösung zur sicheren Nutzung von Google Analytics & Co. in Sicht?
Google Analytics und Datenschutz
Google Analytics ist ein kostenloses Analyse-Tool von Google. Das Tool ist etwas einfach ausgedrückt eine Art Sammelstelle verschiedenster Nutzerdaten aus unterschiedlichen betriebszugehöriger Datenquellen (Webseite, Social Media, CRM etc.). Betriebe nutzen Google Analytics zur Auswertung und Überprüfung verschiedener Daten. Damit bietet Googles Analytics eine Grundlage für die Optimierung der betrieblichen (Marketing-) Prozesse. Google Analytics ist durch seine Vielseitigkeit, Nutzerfreundlichkeit und Konnektivität (Verbindung und Auswertung von Daten aus unterschiedlichen Quellen, wie Google Ads, Facebook Pixel, CRM etc.) äusserst beliebt und verbreitet.
Es ist also nicht verwunderlich, dass das wohl mächtigste und meistgenutzte Analyse-Tool durch Datenschützer genau unter die Lupe genommen wird. Die österreichische Datenschutzbehörde entschied bei einem Gerichtsurteil gar, dass die Verwendung von Google Analytics gegen die Datenschutz-Grundverordnung der Europäischen Union (DSGVO) verstösst und damit rechtwidrig ist.
Wer sich den Fall genauer anschauen möchte: Hier geht’s zum Case:
Aufgrund der Beschwerden von Max Schrems hat auch die französische Datenschutzbehörde (CNIL) einen ähnlichen Entscheid gegen einen Webseitenbetreiber gefällt. Es ist anzunehmen, dass künftige Entscheidungen von den europäischen Datenschutzbehörden weiter gegen den Einsatz von Google Analytics sprechen werden.
Wichtig:
Weder die österreichische noch die französische Entscheidung besagt allerdings, dass Google Analytics grundsätzlich verboten ist. Sie besagt, dass die derzeitige Implementierung von Google Analytics auf den spezifischen Webseiten, die geprüft wurde, nicht mit wichtigen Grundsätzen der DSGVO übereinstimmen. Dies klärt unserer Meinung nach als noch nicht die Frage, ob Google Analytics weiterhin nutzbar ist.
Unser Standpunkt zum Thema Datenschutzdebatte zwischen EU & USA
In diesem Artikel wollen wir dem Leser vermitteln, dass das Datenschutz Problem nicht rein Google Analytics oder sonst ein einzelnes amerikanisches Tool betrifft. Wir befinden uns inmitten einer gigantischen, transformativen und vor allem politischen Debatte zwischen der EU und der USA und anderen Drittstaaten . Unter diesem in erster Linie politischen Dilemma müssen nun Lösungen gefunden werden, die für Betriebe umsetzbar sind.
Wieso nicht einfach auf ein europäisches Tracking Tool umsteigen?
Der direkte Umstieg auf europäische Tracking Tool Anbieter ist zwar ein Ansatz und für manche Betriebe vielleicht die beste Lösung. Aber es gibt schon ein Grund (oder mehrere Gründe), wieso Google und andere amerikanische Firmen Weltmarktführer sind. Sie bieten schlicht das beste Angebot, die beste Leistung, sind bereits im Markt etabliert und kennen die Bedürfnisse der Nutzer, besser als jeder andere derzeitige Anbieter. Hinzu kommt, dass z.B. Google Analytics (Basisvariante) für alle kostenlos nutzbar und äusserst kompatibel mit den anderen sehr wichtigen Tools und Produkten ist.
Fakt ist, die Tools aus Amerika haben sich im freien Markt bewiesen, wurden von der Gesellschaft akzeptiert und verhelfen unzähligen Betrieben, ihre wirtschaftlichen Ziele zu erreichen, indem durch die Nutzung dieser Tools, Kundenbedürfnisse gezielt erkannt und angesprochen werden können. Dass Google, Facebook und Co. mit ihren Produkten Daten sammeln und diese auch für ihre Zwecke nutzen, ist und war wohl jedem in der Branche bewusst.
Forderungen im Einklang mit dem revidierten Schweizer Datenschutzgesetz
Dieser kleine Lobgesang an diese Firmen soll aber auf keinen Fall heissen, dass das Thema Datenschutz nicht vernachlässigt werden kann. Die Debatte zwingt zurecht Unternehmen Verantwortung über die gesammelten Daten zu übernehmen. Die Debatte steht auch im Einklang mit den zentralen Aspekten des revidierten Schweizer Datenschutzgesetzes (in Kraft ab 1. September 2023):
- Erhöhung der Transparenz der Datenverarbeitung und Stärkung der Rechte der betroffenen Personen
- Förderung der Prävention und der Eigenverantwortung der Datenbetreiber
- Stärkung der Datenschutzaufsicht
- Aufbau von Strafbestimmungen
Wir sind nur der Meinung, dass es nicht der richtige Ansatz von der EU ist, diese Tools nun grundsätzlich nicht mehr zu empfehlen. Wie so oft, ist hier leider unserer Meinung nach die Politik zu weit von der Praxis entfernt. Es wird versucht nun mit aller Gewalt, Regeln umzusetzen – wir finden, dieser Ansatz ist, wenn wir den Wortlaut des europäischen Gerichtshofs annehmen würden, nicht verhältnismässig. Aus unserer Sicht sind diese Bemühungen der EU, das Datenschutzniveau zu erhöhen und zu vereinheitlichen, im Grundsatz sehr gut. Es muss aber auch die Umsetzung dieser Massnahmen für Betriebe aller Grössen klarer geregelt und festgelegt werden.
Kann ich Google Analytics bald in Europa inkl. der Schweiz nicht mehr verwenden?
Durch die Schaffung neuer Datenschutzbestimmungen und durch die Urteile vom EuGH werden nun viele Fragen, die noch geklärt werden müssen, von den Nutzern von Google Analytics laut. Nutzer von Google Analytics und ähnlichen Anbietern sind nun oft überfordert, die State-of-the-Art Lösung in Ihrem Betrieb zu implementieren. Und vorweg, es gibt aktuell nicht die eine Lösung, die für jeden Betrieb gültig ist, noch ist Google Analytics in der Schweiz und auch nicht in Europa illegal. Generell ist aber bei einer Einbindung von Tracking Tools und anderen Third-Party Tools, die ein Cookie setzen, darauf zu achten, dass die Nutzer der Webseite dazu aktiv einwilligen und zwar bevor, dass die Tracking Cookies gesetzt werden.
Was sollten Unternehmen in der Schweiz nun tun, um Google Analytics DSGVO konform nutzen zu können?
Die Massnahmen zur Einhaltung der neuen Datenschutzgesetze und Verordnungen sind sehr umfassend und können von Betrieb zu Betrieb variieren. Es ist deshalb ratsam, sich von einer ausgewiesen Datenschutz Fachperson beraten zu lassen. Hier aber ein kleiner Überblick der Massnahmen, die wir von der onmit gmbh Ihnen empfehlen können, um Google Analytics (client-side-mode) möglichst datenschutzkonform nutzen zu können:
1. Cookie Consent Abfrage einrichten
Vorweg, wer denkt, dass sein Cookie Banner nach dem Opt-Out Verfahren den neuen Datenschutzrichtlinien entspricht, liegt falsch. Die Zeiten mit einem einfachen Cookie Banner im Footer, der darauf hingewiesen hat, dass die Seite Cookies verwendet, zusammen mit einem OK-Button sind vorbei.
Wer heute den Forderungen der DSGVO entsprechen muss, muss folgendes beachten, bevor die Daten von Nutzern überhaupt in irgendeiner Form von ein Tracking Tool aufgezeichnet und verarbeitet werden können:
- Nutzer müssen über die genaue Verwendung ihrer Daten verständlich informiert werden.
- Nutzer müssen aktiv für nicht erforderliche Cookies einwilligen (Opt-in). Das heisst, alle nicht erforderlichen Cookies müssen standardmässig deaktiviert sein (Privacy by Default).
- Als Webseitenbetreiber dokumentieren und speichern Sie die von den Nutzern erhaltene Zustimmung.
- Ermöglichen Sie den Nutzern den Zugang zu Ihrem Dienst/Webseite, auch wenn sie die Verwendung bestimmter Cookies ablehnen.
- Machen Sie es den Nutzern genauso leicht, ihre Zustimmung zu widerrufen, wie sie es getan haben, als sie ihre Zustimmung gaben.
Ohne die aktive Zustimmung von Nutzern können nach geltenden Regeln nur noch die zwingend erforderlichen Cookies gesetzt werden.
2. Von Google Universal Analytics auf Google Analytics 4 umsteigen
Google hat bereits auf die neuen Datenschutzbestimmungen reagiert und hat bei der Implementierung der neuen Version von Google Analytics, Google Analytics 4, verschiedene Vorkehrungen getroffen, die ein datenschutzkonformeres Tracking erlauben. Jedem Betrieb wird dringend empfohlen, auf diese Version umzusteigen bzw. parallel zum Google Universal Analytics aufzubauen.
Vorteile durch die Nutzung von Google Analytics 4 betreffend Datenschutzkonformität:
Standardmässige IP-Anonymisierung
Google Analytics 4 anonymisiert die IP-Adressen standardmäßig und diese Funktion kann nicht ausgeschaltet werden.
Kürzere Datenaufbewahrung in Google Analytics
Die Daten werden kürzer in Google Analytics 4 aufbewahrt. Google Universal Analytics war ein Datenanalyse-Zeitfenster von 64 Monaten möglich. Neu mit GA4 können Sie zwischen 2 oder 14 Monate wählen.
Tipp:
Die Vergleiche von historischen Daten werden daher schwieriger. Wir empfehlen, die Daten in ein betriebseigenes Data Warehouse zu exportieren (z.B. BigQuery) oder evtl. auch Excel/Google Sheets, um diese später mit Visualisierungstools auswerten zu können.
Neues Feature, um individuelle Daten löschen zu können
Google Analytics 4 enthält ein neues Feature im User Explorer, dass es erlaubt, Daten auf eine sehr selektive Art und Weise zu löschen. So ist es nun auch möglich, einzelne User aus den Reports inkl. den Analytics Servern zu löschen. Dies gelingt z.B. indem die entsprechende NutzerID als Schlüssel zur Löschung aller entsprechenden Daten genutzt wird. Falls keine ID vorhanden ist, kann gegebenfalls auch nach entsprechenden nutzerspezifischen Merkmalen gefiltert werden (z.B. entsprechende TransaktionID).
3. Aktualisieren Sie Datenschutzvereinbarungen mit Google
Einige Nutzer von Google Universal Analytics haben noch Verträge mit Google LLC. Durch die neue Einrichtung von Google Analytics 4 unterzeichnen Sie standardgemäss Vereinbarungen mit Google Ireland Limited. Dies hat zur Folge, dass die Datenübermittlung, die durch den JavaScript-Code auf der Website des Herausgebers (bis anhin Ihre Webseite) an Google eingeleitet wird, nicht mehr unter Kapitel V der DSGVO fällt; die Übermittlung erfolgt innerhalb des EWR. Erst in einem zweiten Schritt werden die Daten in die USA übertragen, aber in diesem Fall wird Google Ireland Limited als Exporteur betrachtet und nicht der Herausgeber.
Wichtig:
Legen Sie in Ihren Datenschutzbestimmungen offen, wie Sie internationale Datenübertragungen nutzen.
Hinweis:
Überprüfen Sie in Ihren Google Analytics Kontoeinstellungen (Verwaltung –> Kontoeinstellungen), dass Sie den neusten Datenverarbeitungsbedingungen zugestimmt haben.
Google Ireland Limited hat mit Google LLC Modul 3 den neuen EU-Standardvertragsklauseln (SCC) vereinbart. Dies wird in den Google Ads-Datenverarbeitungsbedingungen – Abschnitt 10.3(b)(i)(A)) bestätigt.
4. Data-Sharing Option und Signals in Google Analytics deaktivieren
Deaktivieren Sie die Data Sharing Optionen in Ihrem Google Analytics Konto.
Verwaltung –> Kontoeinstellungen –> Datenfreigabeeinstellungen
Hinweis:
Vergewissern Sie sich, dass Sie Ihre Einstellungen/Änderungen speichern.
Deaktivieren Sie Google Signals
Verwaltung –> In der Spalte Property, Tracking Informationen –> Datenerfassung
5. Datenschutzbestimmung aktualisieren
Viele Unternehmen haben ihre Datenschutzbestimmungen seit einiger Zeit nicht aktualisiert. Aufgrund der rasanten technologischen und gesellschaftlichen Entwicklungen sind diese nun oft nicht mehr zeitgemäss.
Die Datenschutzerklärung auf Ihrer Website muss insbesondere folgende Angaben enthalten (Art. 19 Abs. 2 ff. nDSG):
- Wer ist für die Website verantwortlich und wie kann der Kontakt erfolgen?
- Für welchen Zweck oder für welche Zwecke werden die Personendaten bearbeitet?
- Wer sind allfällige Empfänger:innen der bearbeiteten Personendaten?
- Wie wird ein allfälliger Daten-Export abgesichert?
- Welche Rechte haben die betroffenen Personen im Zusammenhang mit dem Datenschutz?
Wir empfehlen Ihnen grundsätzlich Ihre Datenschutzerklärung von einer Fachperson auf deren Richtigkeit und Vollständigkeit überprüfen zu lassen und um die notwendigen Anpassungen vorzunehmen. Falls Sie dies aber nicht machen wollen, würden wir Ihnen raten, zumindest einen vertrauenswürdigen Datenschutz-Generator zu nutzen, um die wichtigsten Inhalte der Datenschutzerklärung zu aktualisieren.
Einen guten Überblick zum neuen Datenschutzgesetz in der Schweiz liefert dieser Artikel von economiesuisse.
Hintergrund zur politischen Debatte zwischen der EU und den USA zum Thema Datenschutz
Die Herausforderungen, die sich aktuell die verschiedenen Firmen und Behörden stellen müssen, sind sehr komplex und beziehen sich auch nicht nur auf Produkte von Google. Google und Facebook Produkte werden durch ihre weite Verbreitung momentan in Gerichtsfällen oft einfach als Fall beschrieben. Konkret geht es allerdings primär um den datenschutzkonformen, transatlantischen Handel von personenbezogenen Daten unter Einhaltung der unterschiedlichen Datenschutzbestimmungen und Gesetzgebungen der jeweiligen Parteien und Länder.
Was genau, wird von der Gerichtshöfen bemängelt?
Den Ball zum Thema Datenschutz so richtig ins Rollen gebracht, hat das Gerichtsurteil (bekannt als Schrems II) vom Gerichtshof der Europäischen Union (EuGH) am 16. Juli 2020. Dabei wurden die Beschwerden vom Datenschutz-Aktivisten Maximilian vom EuGH gutgeheissen. Bei den Beschwerden geht es darum, dass Facebook trotz der DSGVO weiterhin Daten von ihrem europäischen Hauptsitz in Irland unrechtens, gestützt durch SCC’s (Standardvertragsklauseln) an die USA übermittelt. Dies bedeutete, dass das Abkommen (Privacy Shield), das bisher den Handel personenbezogener Daten zu kommerziellen Zwecken zwischen der EU und US effizient regelte, ausser Kraft gesetzt wurde.
Die Datenkontrolle der US-Regierung
In Amerika und Europa (inkl. der Schweiz) gelten unterschiedliche Datenschutzbestimmungen. Im Beispiel Google Analytics liegt ein Datenschutzproblem darin, dass bei der Standard Implementierung Nutzerdaten auch in US-Servern abgespeichert und diese dort nach vorherrschendem Recht unter bestimmten Bedingungen von staatlichen Institutionen eingesehen werden könnten. Google relativierte dieses Szenario in einem öffentlichen Statement, indem sie erklärt haben, dass sie seit der Einführung von Google Analytics vor mehr als 15 Jahren noch nie eine Anfrage, über die spekuliert wird, seitens der US-Regierung erhalten haben und auch keine erwarten.
Die Entscheidung des Gerichtshofs bezieht sich darauf, dass die Verwendung und der Zugang zu EU-Daten durch US-Behörden nicht dem Grundsatz der Verhältnismässigkeit entsprechen.
Die Abhängigkeit des amerikanischen Ombudsmannes
Des Weiteren wurde vom EuGH der sogenannte „Ombudperson mechanism“ bemängelt. Im Rahmen des Privacy Shield haben die USA einen hochrangigen Beamten des Außenministeriums als „Ombudsmann“ benannt, der individuelle Beschwerden zum Thema Datenschutz prüft und bearbeitet. Die EuGH bemängelte, die Art und Weise, wie die Vereinigten Staaten Einzelpersonen Rechtsschutz gewähren, wenn sie glauben, Ziel einer illegalen Überwachung gewesen zu sein. Die Anforderungen von Artikel 47 der Charta der Grundrechte der Europäischen Union (Charta) werden nach Ansicht des EuGH nicht erfüllt, da es dem amerikanischen „Ombudsmann“ an Unabhängigkeit mangelt und er keine verbindlichen Entscheidungen treffen kann und dadurch gegen Artikel 47 bzw. der Charta der Grundrechte der EU verstösst.
Bedingungen zur Nutzung von SCC’s
Im weiteren Verlauf der Debatte hielt der EuGH zudem an seinem Standpunkt fest, dass die Aufsichtsbehörden verpflichtet sind, die Übermittlung von Daten in ein Drittland auszusetzen oder zu verbieten, wenn sie der Ansicht sind, dass der nach EU-Recht erforderliche Schutz nicht auf andere Weise gewährleistet werden kann. Der EuGH hob aber hervor, dass SCCs ein Mechanismus sind, der es in der Praxis ermöglicht, die Einhaltung eines Schutzniveaus im Einklang mit dem EU-Recht zu gewährleisten und zu garantieren, aber die Übermittlung personenbezogener Daten, im Falle eines Verstoßes gegen solche Klauseln oder wenn es unmöglich ist, sie einzuhalten, verboten wird.
Der Beschluss hält daran fest, da jede Datenübermittelung anders ist, muss jede einzeln geprüft werden, ob und welche zusätzlichen Maßnahmen ergriffen werden müssen, um sicherzustellen, dass das Datenschutzniveau, wie in der DSGVO gefordert wird, gewährleistet ist.
Die Standardvertragsklauseln (SCC) bleiben grundsätzlich in der Praxis weiterhin gültig, jedoch nur unter den oben beschriebenen Bedingungen. Die SCC’s wurden in der Zwischenzeit von der europäischen Kommission überarbeitet, um den breiteren Anwendungsbereich, der DSGVO widerzuspiegeln, sowie mehr Flexibilität, um die Verwendung von SCC in komplexen und sich ständig weiterentwickelnden Beziehungen zu erleichtern.
Die neuen Standardvertragsklauseln (SCC)
Wer mehr über die zwei neuen Standardvertragsklauseln lesen möchte:
Standardvertragsklauseln zwischen Verantwortlichen und Auftragsverarbeitern
Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer gemäß der Verordnung (EU)
Was ist der aktuelle Stand der Debatte und was passiert jetzt mit Google Analytics und Co.?
Zusammenfassend lässt sich sagen, dass die Schrems-II-Entscheidung Unternehmen dazu gezwungen hat, ihre Vorgehensweise bei internationalen Datenübermittlungen zu überdenken. Die modernisierten SCC der Europäischen Kommission wurden im Juni 2021 angenommen. Organisationen, die derzeit noch ältere Versionen der SCC verwenden, erhielten eine 18-monatige Übergangsfrist, um ihre Verträge zu aktualisieren.
Der endgültige Leitfaden der Datenschutzbehörde der Europäischen Union EDSB bietet nun einen klaren Fahrplan und umsetzbare Schritte. Dieser soll sicherstellen, dass die Übermittlung personenbezogener Daten rechtmäßig ist und dem Grundsatz der Rechenschaftspflicht gemäß Artikel 5 Absatz 2 der Datenschutz-Grundverordnung entspricht.
Aktuelle News zum Thema zeigen, dass die EU und USA intensiv an einem neuen Rahmenabkommen für transatlantische Datenströme arbeiten. In der Zwischenzeit ist es bereits zu einer grundsätzlichen Einigung für ein neues Framework gekommen. So twitterte Ursula von der Leyen am 25. März 2022 folgendes:
Pleased that we found an agreement in principle on a new framework for transatlantic data flows.
Ursula von der Leyen
It will enable predictable and trustworthy EU-US data flows, balancing security, the right to privacy and data protection.
This is another step in strengthening our partnership.
Dies deuten wir so, dass die europäischen Gerichtshöfe Firmen wie Google und Facebook nun dazu gezwungen haben, Anpassungen an ihren Datenschutz Richtlinien vorzunehmen. Wie wir in diesem Artikel auch lesen konnten, reagiert Google und Co. darauf aktuell stark, indem sie ihre Produkte DSGVO konform transformieren und den Datenschutz für deren Nutzer erhöhen, um die geforderte Konformität mit den europäischen Gesetzen zu erreichen. Die grundsätzliche Einigung zum neuen Framework für die transatlantischen Datenströme lässt Hoffnung erwecken, dass eine weitere Nutzung dieser amerikanischen Tools unter bestimmten Bedingungen auch in Europa weiterhin legal bleibt.
Wird das neue Framework für transatlantische Datenströme die Lösung sein?
Ob diese neuen Rahmenbedingungen sowie die neuen Möglichkeiten von Google & Co. nun der heilige Gral für datenschutzkonforme transatlantische Datenströme darstellen, ist leider weiterhin noch mit vielen Zweifeln verbunden. Fakt ist, Firmen und Betriebe sind jetzt unter Zeitdruck auf die neuen Standardvertragsklauseln umzustellen. Zudem gibt es noch keine Hinweise darauf, wie lange es dauern könnte, bis das neue Framework fertiggestellt ist und Rechtskraft erlangt. Der ehrenamtliche Vorsitzende von noyb und Datenschutz Aktivist Max Schrems nimmt bereits jetzt an, dass das neue Framework innerhalb weniger Monate nach der endgültigen Entscheidung zur Einführung wieder vor den Gerichten landen und angefechtet wird.
Den Betrieben bleibt in diesem politischen Chaos nichts anderes übrig, als aktiv die Debatte weiterzuverfolgen und sich laufend zu informieren, um kontinuierlich möglichst geeignete Massnahmen für die Unternehmen zu treffen. Die ideale Lösung, dass jeder weiss, was zu tun ist, bleibt wohl noch Jahre entfernt.
Möchtest du noch mehr zum Thema Datenschutz oder Google Analytics erfahren, dann melde dich bei mir.