Nach Beschwerden des Datenschutzvereins noyb des Juristen Max Schrems haben die Datenschutzbehörde in Österreich und Frankreich (CNIL) Google Analytics als nicht EU-datenschutzkonform eingestuft. Prüfungen in weiteren Ländern sind anhängig.
Google hat bisher mit einem Verweis auf seine vorhandenen Datenschutzbemühungen rund um Analytics reagiert, sowie der Forderung nach einer Nachfolgevereinbarung zum Privacy Shield zwischen der EU und USA.
Was ist das Problem?
In der EU regelt die DSGVO die Erhebung, Verarbeitung und Übertragung von personenbezogenen Daten. Personenbezogene Daten sind stark vereinfacht gesprochen solche Daten, die die Identifikation einer Person innerhalb einer Gruppe ermöglichen, etwa Name, Adresse oder Telefonnummer.
Auch Email-Adresse, IP-Adresse oder User-IDs, die durch Cookies oder ähnliche Technologien eine Profilbildung des Nutzers erlauben, sind zu prüfen. Besonders solche IDs, die eine Verknüpfung mit Profildaten aus weiteren Quellen ermöglichen, werden kritisch gesehen. Google Analytics überträgt die (zuvor durch Google gekürzte) IP-Adresse, sowie User-IDs (aus Cookies) in die USA.
In der Vergangenheit gab es mit Privacy Shield eine Vereinbarung zwischen der EU und den USA zur Anerkennung des gegenseitigen Datenschutzstandards. Auf diese Vereinbarung bezogen sich viele Datenübertragungen in der Vergangenheit. Mit dem Schrems 2 Urteil in 2020 wurde diese Vereinbarung für unzureichend erklärt.
Als Nicht-EU Mitglied gilt die USA als Drittland und erfordert somit eine besondere Prüfung des Datenschutzniveaus. Amerikanischen Geheimdiensten ist der Zugriff auf sämtliche gesammelte Daten eines US-Unternehmens gestattet. Somit sind potentiell auch Daten von EU-Bürgern betroffen, was nicht mit dem Schutzanspruch der DSGVO vereinbar ist.
Aus Sicht des Datenschutzes gilt die USA momentan als nicht-sicheres Drittland. Eine Übertragung und Verarbeitung personenbezogener Daten erfordert daher besondere Maßnahmen und Vereinbarungen. Diese waren aus Sicht der ÖDSB und des CNIL in den geprüften Fällen nicht gegeben, wodurch eine Verarbeitung der Nutzerdaten gegen die DSGVO verstößt.
Hinweis: Google Analytics als Tool selbst wurde nicht beanstandet, sondern die Übertragung und Verarbeitung in einem unsicheren Drittland.
Was können wir tun?
Nun stellt sich die Frage, wie man mit der Situation umgehen soll. Grundsätzlich gibt es zwei Optionen: Entweder darauf warten, dass die Politik oder Google das zugrundlegende Problem beseitigen. Oder aktiv das eigene Tracking-Setup so verändern, dass die problematische Datenverarbeitung nicht stattfindet.
Warten auf gesetzliche Regelung
Die EU und USA arbeiten seit längerem an einem Nachfolger des Privacy Shield. Allerdings ist fraglich, ob so eine Vereinbarung unter den aktuellen Rahmenbedingungen überhaupt möglich ist. Denn eine solche Neuauflage soll nicht direkt nach dem Start wieder kassiert werden durch erneute Klage. Google hofft auf einen baldigen Abschluss der Gespräche. Der Austausch zwischen EU und USA läuft, ob das eine Lösung bringt, ist allerdings offen.
Warten auf Google
Ein anderer Ansatz ist, dass Google Daten für Analytics explizit innerhalb Europas erfasst, verarbeitet und speichert. Somit gäbe es keine Datenübertragung in ein Drittland. Allerdings besteht hier die Möglichkeit, dass Google als US-Unternehmen dennoch verpflichtet wäre, Zugriff für Geheimdienste einzuräumen. Nach den bisherigen Äußerungen ist es aktuell unwahrscheinlich, dass Google einen EU-eigenen Dienst einrichtet.
Analytics Tool wechseln
Nutzt man ein Analytics-Tool, bei dem Betreiber und Technik innerhalb der EU sitzen, gibt es kein Problem mit der Datenübertragung. Ein Anbieter mit europäischem Standort ist Piwik Pro. Der Dienst hat die Open Source Software Piwik weiterentwickelt und bietet eine vollwertige SAAS Lösung an. Dabei orientiert sie sich sowohl technisch als auch in der Nutzeroberfläche stark an den Google Produkten.
Mit Matomo gibt es eine Open Source Lösung, die auf eigenen Servern gehostet werden kann. Aufgrund des Open-Source Status fallen für die Software keine Lizenzkosten an, allerdings benötigt der Betrieb entsprechend performante Server-Systeme, sowie Ressourcen zur Administration und Pflege von Updates. Der Funktionsumfang und die Verknüpfungsmöglichkeiten mit anderen Tools sind eingeschränkt bzw. benötigen Anpassungen der Code-Basis.
Weitere Anbieter wie etracker oder econda werben mit DSGVO-konformen Hosting innerhalb der EU. Auch hier müssen Features, Performance und letztlich auch Kosten geprüft werden. Ein großer Vorteil der Google Systeme ist ihr einfacher Datenaustausch untereinander, gerade mit den Marketing-Diensten ist die Verknüpfung einfach und umfangreich. Wenn GA auch als Basis für Search und Display Ads genutzt wird, werden Verknüpfungen und Anpassungen in weiteren Systemen nötig. Gerade zu Kampagnen und Marketing können einige Tools nicht den gleichen Funktionsumfang von Google Analytics liefern.
Ein Systemwechsel erfordert Aufwände für Umstellung, Einarbeitung sowie Lizenzkosten. Mit einem europäischen Anbieter ist dafür die Diskussion zu Drittländern hinfällig.
Aktiv personenbezogene Daten in Google Analytics vermeiden
Gar nicht erst zur Anwendung käme die DSGVO, wenn man die Übertragung und anschließende Verarbeitung personenbezogener Daten von vorneherein vermeiden könnte. Hier setzt Server-Side Tracking als Lösung an: Dabei werden die Daten, die über Nutzer gesammelt werden, zunächst an einen eigenen Server geleitet. Dieser kann Daten wie die IP-Adresse vor dem Weitersenden zum eigentlichen Analytics Tool verändern, verschlüsseln oder komplett löschen. Findet diese Bearbeitung in der EU statt, würden nur noch „gesäuberte Daten“ an ein Drittland weitergeben.
Die Umsetzung so einer IP-Löschung ist für Google Analytics realisierbar (allerdings nicht zwangsläuft für alle Marekting-Tools – hier muss individuell geprüft werden). Erforderlich ist eine Erweiterung des bisherigen Google Taggings oder alternativ ein Wechsel auf ein entsprechendes Taggingsystem. In beiden Fällen fallen Kosten für Service oder Hosting an. Viele Datenschützer haben server-side Tagging noch nicht tiefer betrachtet, sodass es da noch keine allgemeingültigen Aussagen dazu gibt und eine individuelle Diskussion nötig machen. Grundsätzlich ist die Funktion aber gut erklär- und nachvollziehbar.
Webinar zu Google und der Datenschutz
Fazit
Der Einsatz eines anderen Tagging oder Analytics-Systems kann überlegt werden, ist aber mit einem so hohen Aufwand verbunden, dass eine Umstellung gut überlegt und kalkuliert werden sollte.
Wird eine direkte Reaktion auf die Beschlüsse der Datenschützer nötig, ist der Einsatz von server-side Trackings eine Option. In einer ersten Stufe kann damit eine IP-Löschung implementiert werden. Perspektivisch ist der Einsatz für weitere Themen interessant, wie cookieless-Tracking oder Performance-Optimierung. Der Server-side GTM von Google bietet eine zügige Implementierung ins bestehende Setup bei überschaubarem Aufwand und Kosten. Mit etwas Handarbeit, lässt sich ein Container in der EU hosten – bei Google oder auch anderen Diensten wie Azure oder AWS.
Die Beschlüsse sind kein Grund, euer Analytics in den Müll zu werfen. Der Einsatz von server-side Tracking ist nicht die Lösung aller Probleme, aber es bietet ein weiteres Werkzeug um die Hoheit über die eigene Datensammlung zu behalten.