Kommt es zum Verbot von Google Analytics in der EU?

Google Analytics ermöglicht unzähligen Webseitenbetreibern Einblicke in das Verhalten ihrer Kunden. Wie kein anderer Dienstleister versteht es Google, Daten zu erfassen und auszuwerten. Datenschützer bemängelten schon in der Vergangenheit, dass dieser Wettbewerbsvorteil zulasten des Schutzes der personenbezogenen Daten geht. Nun geben gleich mehrere europäische Datenschutzbehörden diesen Bedenken recht: Google Analytics sei nicht mit der Datenschutzgrundverordnung vereinbar und die Verwendung somit gesetzeswidrig.

Angestoßen wurde die aktuelle Entwicklung durch eine Entscheidung im Fall "Schrems II". Am 16.07.2020 erklärte der Europäische Gerichtshof den sogenannten "Privacy Shield" für unzulässig. Dieses Datenschutzabkommen zwischen den USA und der EU regelte bisher die Übermittlung von personenbezogenen Daten in die USA. Durch das Urteil sah sich der österreichische Datenschutzverein noyb veranlasst, gegen 101 Unternehmen aus der EU und dem Europäischen Wirtschaftsraum vorzugehen.

Am 12. Januar 2022 kam es zu einer ersten Entscheidung. Die österreichische Datenschutzbehörde erklärte, dass das Web-Analyse-Tool Google Analytics in mehreren Punkten gegen die Vorgaben der Datenschutzgrundverordnung (DSGVO) verstoße. Vor allem die Anforderungen zur Drittlandübermittlung und die allgemeinen Grundsätze zur Datenübermittlung nach Art. 44 DSGVO werden demnach nicht eingehalten. Weitere europäische Behörden folgten der Einschätzung.  

Google gilt weltweit als Experte in der Erfassung und Aufbereitung von Nutzerdaten. Jedes Mal, wenn ein Kunde eine Webseite besucht, erhält Google wichtige Informationen. Die IP-Adresse und die Cookie-Daten werden bei jedem Besuch erfasst. Hinzu kommen wichtige Informationen zum Webbrowser, dem Betriebssystem oder dem genauen Zeitpunkt des Besuchs. Die Datenmenge kann nach festgelegten Kriterien analysiert werden und gibt Betreibern so Hinweise zur Nutzung der eigenen Webseite.

Das Problem dabei: Die gesammelten Daten ermöglichen eine Identifizierung des Besuchers. Um dies zu verhindern, müssten laut DSGVO die personenbezogenen Daten besser geschützt werden. Doch diesen Vorgaben kommt Google Analytics nicht nach.

Mehr noch, Google verwendet die erhobenen Daten für eigene Zwecke und fasst diese zu ganzen Nutzerprofilen zusammen. In den Nutzungsbedingungen von Google wird dieses Vorgehen zwar erläutert, den wenigsten Usern dürfte dies aber bekannt sein. Google übermittelt die erhobenen Daten an Cloud-Rechenzentren in den USA. Ein solcher Transfer ist aber nur datenschutzkonform, wenn das Drittland - in diesem Fall die USA - über ein Datenschutzniveau verfügt, das dem EU-Recht gleichwertig ist. Dies ist in den USA nicht der Fall. Im Gegenteil, die US-Geheimdienste haben unbeschränkte Zugriff- und Eingriffsrechte, selbst auf übermittelte Daten von EU-Bürgern. Betroffene werden über einen solchen Zugriff nicht informiert und können sich somit auch nicht widersetzen.    

In Deutschland herrscht seitdem große Unsicherheit über die weitere Nutzung von Google Analytics. Ende März sorgte zudem die Meldung, dass die EU-Kommission und die USA eine Überwachungsreform versprechen, für weitere Unklarheit. Der sogenannte "Trans-Atlantic Data Privacy Framework" soll Verbindlichkeiten und Regeln enthalten, die Zugriffsrechte der US-Sicherheitsbehörden auf personenbezogene Daten eingrenzen. Die Einhaltung der EU-weiten Datenschutzregelungen wird demnach über entsprechende Verfahren garantiert. Unternehmen aus den USA, die Daten aus der EU weiterhin zur Verarbeitung in die USA übermitteln, sollen sich mittels einer Selbstzertifizierung zur Einhaltung des neuen Abkommens verpflichten.

Aktuell bleibt ungewiss, ob es sich um den nächsten gescheiterten Versuch einer datenschutzkonformen Zusammenarbeit handelt oder das Abkommen die Voraussetzungen für eine rechtmäßige Übertragung personenbezogener Daten in Drittländer erfüllt. Datenschützer weisen bereits jetzt darauf hin, dass es sich bei den in Aussicht gestellten Einschränkungen der Eingriffsbefugnisse der US-Sicherheitsbehörden nicht um den Erlass entsprechender neuer Gesetze, sondern lediglich um Verwaltungsanweisungen in Form sogenannter "Executive Orders" handelt, bei denen die, den EU-Bürgern eingeräumte Rechtsschutzqualität doch eher fraglich erscheine.   

Der Bemühungen einiger Webseitenbetreiber, die Datenübermittlung bei der Nutzung von Google Analytics über eine ausdrückliche Zustimmung der User gem. Art. 49 Abs. 1 lit. a DSGVO doch noch rechtssicher zu ermöglichen, erweist sich als wenig zielführend. Denn es handelt sich ausdrücklich um eine Ausnahmevorschrift zu Art. 44 DSGVO, die keine rechtliche Grundlage für die dauer- und massenhafte Datenübermittlung in ein Drittland sein kann.

So bleibt den meisten Webseitenbetreibern nur der Wechsel zu einem Tracking-Tool, das den Anforderungen der DSGVO entspricht. Denn die Verantwortung für eine rechtssichere Nutzung der eigenen Webseite liegt immer beim Betreiber. Bei einem datenschutzkonformen Web-Analyse-Tool werden Daten verschlüsselt oder verkürzt und ermöglichen so keine Identifizierung einzelner Nutzer. Ein Serverstandort in Deutschland oder der EU verhindert am effektivsten, dass es zu Problemen bei der Übermittlung von Daten in ein Drittland kommt.

Obwohl in Deutschland noch keine verbindliche Entscheidung vorliegt, sollten Webseitenbetreiber frühzeitig den Wechsel planen. So bleibt genügend Zeit bei der Auswahl des passenden Tools und eine schrittweise Umstellung. Google hat die bisher eingegangenen Entscheidungen der europäischen Gerichte und Datenschutzbehörden weitestgehend ignoriert. Man kann also gespannt sein, wie der Tech-Riese reagieren wird, sollte es doch zu einem europaweiten Verbot von Google Analytics kommen.