Die österreichische Datenschutzbehörde hat im Jänner 2022 in einem Fall entschieden, dass der Einsatz von Google Analytics rechtswidrig ist. Doch ist die Entscheidung auch für andere Websites gültig bzw. gibt es aktuell Handlungsbedarf?
Die österreichische Datenschutzbehörde hat im Jänner 2022 in einem Fall entschieden, dass der Einsatz von Google Analytics gegen die Datenschutzverordnung verstößt. In zahlreichen Medien wurde daraus ein generelles Verbot von Google Analytics in Österreich konstruiert – doch bei genauerer Betrachtung ist dieser Schluss nicht wirklich zulässig.
Die rund 40-seitige Originalentscheidung offenbart einige wichtige Details:
Die fehlende Zustimmung und die fehlende IP-Anonymisierung entsprechen bereits seit längerer Zeit nicht mehr den gängigen Best Practices zum datenschutzkonformen Einsatz von Google Analytics. Es lagen schwerwiegende Mängel vor; die Entscheidung der Datenschutzbehörde war daher in diesem Fall erwartbar.
Ein generelles Verbot von Google Analytics in Österreich lässt sich daher aus dieser Entscheidung nicht ableiten. Zugleich bedeutet dies auch nicht, dass es gar keinen Handlungsbedarf gibt.
Zum rechtskonformen Einsatz sollten Sie dennoch kurzfristig folgende Punkte sicherstellen:
Das Tracking sollte ausschließlich nach expliziter Zustimmung der Nutzer·innen erfolgen. Setzen Sie dazu ein Cookie Consent Tool ein und stimmen Sie alle Trackings darauf ab. Gängige Tools dazu sind Usercentrics, OneTrust oder CookieBot. Gerne beraten wir Sie bei der Auswahl des besten Cookie Consent Tools für Ihren Anwendungsfall.
Für höchstmögliche Rechtssicherheit empfehlen wir, zwei gleichwertige Buttons "Alle akzeptieren" und "Alles ablehnen" anzubieten. Das Ablehnen von Cookies sollte nicht aufwändiger sein als das Akzeptieren von Cookies bzw. nicht hinter "Einstellungen" versteckt werden. Derzeit gibt es bereits zahlreiche Beschwerden gegen solche Konstruktionen - auch hier sind bald erste Entscheidungen der Datenschutzbehörden zu erwarten.
Für eine qualifizierte Zustimmung müssen Sie Ihre Nutzer·innen vollständig und korrekt aufklären. Erläutern Sie den Zweck des Trackings möglichst sachgerecht. Formulierungen wie "Wir verwenden Cookies, um Ihnen das bestmögliche Nutzererlebnis zu bieten ..." alleine geben den Zweck von Google Analytics nicht vollständig wieder bzw. könnten als irreführend interpretiert werden - womit keine qualifizierte Zustimmung vorläge.
Wir verwenden beispielsweise folgende Gestaltung und Formulierung:
Anmerkung: Diese Textierung bezieht sich nur auf Google Analytics zu Analysezwecken und berücksichtigt kein Remarketing. Eine eventuelle Übernahme auf Ihrer Website erfolgt ausschließlich auf Ihre eigene Verantwortung.
Die Datenübertragung in die USA wird als besonders kritisch gesehen, weil dort (u.a. wegen des CLOUD Act) nicht das gleiche Datenschutz-Niveau wie in der EU garantiert werden kann.
Die DGSVO §49 (1.a.) sieht jedoch folgende Ausnahme vor:
Falls weder ein Angemessenheitsbeschluss [...] vorliegt noch geeignete Garantien [...] bestehen, ist eine Übermittlung oder eine Reihe von Übermittlungen personenbezogener Daten an ein Drittland oder an eine internationale Organisation nur unter einer der folgenden Bedingungen zulässig: a) die betroffene Person hat in die vorgeschlagene Datenübermittlung ausdrücklich eingewilligt, nachdem sie über die für sie bestehenden möglichen Risiken derartiger Datenübermittlungen ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien unterrichtet wurde. [...]
Daher muss beim Einholen der Zustimmung zumindest explizit auf eine Datenübertragung in die USA hingewiesen werden. Weiters sollte auch erwähnt werden, dass in den USA "kein angemessenes Datenschutzniveau" garantiert werden kann. Bitte beachten Sie hierzu auch die weiteren Ausführungen weiter unten zur Anwendbarkeit des Paragraph 49.
Aktivieren Sie die Option zur IP-Anonymisierung gemäß unserer Anleitung bzw. prüfen Sie nochmals, ob das bereits korrekt erfolgt ist.
Akzeptieren Sie in Google Analytics die aktuellste Version der Datenverarbeitungsbedingungen (Data Processing Terms).
Die genannten Maßnahmen sind als unbedingt empfohlene Sofortmaßnahmen zu verstehen. Jedoch ist nicht geklärt, ob ob die genannten Maßnahmen alleine ausreichend sind.
Es bleibt abzuwarten, wie sich die Rechtslage und Rechtsprechung tatsächlich weiterentwickelt. Bereits in den vergangenen Jahren haben sich schrittweise restriktivere Ansichten durchgesetzt. So waren beispielsweise Opt-Out-Lösungen (statt einem expliziten Cookie Consent) mindestens bis 2020 noch weit verbreitet; heute sind sie hingegen rechtlich nicht mehr haltbar.
Die Ausnahmebestimmung nach DSGVO §49.1.a wird in der weiteren Diskussion eine zentrale Rolle spielen. Eine häufige Kritik ist, dass diese Ausnahmebestimmung nur in tatsächlichen Ausnahmefällen anwendbar sein sollte - d.h. nicht auf Basis eines Cookie Consent Dialogs, der pauschal allen Website-Besuchern angezeigt wird. Die Richtlinien des European Data Protection Board zur Auslegung des DSGVO §49 sprechen eher gegen eine Anwendbarkeit in diesem Kontext. Zugleich gibt es keine (uns bekannte) abschließende Rechtsentscheidung zur Interpretation der DSGVO §49 im Zusammenhang mit Webanalyse-Systemen und Cookie-Bannern.
Als vorausschauende Maßnahme bzw. um die verbleibende Rechtsunsicherheit zu beseitigen empfehlen wir daher den Einsatz von Serverside Tag Management Systemen. Zumindest sollte ein rasch umsetzbares Konzept bereitliegen, falls es Handlungsbedarf aufgrund von neuen Rechtsentscheidungen gibt. Denn die Umstellung auf Serverside Tagging kann sehr aufwändig sein und bei einer Website mit umfangreichem Tracking durchaus auch mehrere Monate in Anspruch nehmen (Anbieterauswahl, Trackingcode-Anpassungen, Setup im Tool, Testing und Datenevaluierung, etc.).
Beim "klassischen" Google Analytics Tracking findet eine direkte Verbindung zwischen Nutzer·innen und Google statt. Google erhält daher unvermeidbar bestimmte Verbindungsdaten (was ausnahmslos für jede Website und jedes darin integrierte externe Tool gilt). Zu den Verbindungsdaten gehört auch die IP-Adresse.
Die bereits erwähnte Option zur IP-Anonymisierung verhindert nicht die Übertragung der IP-Adresse an sich – sondern Google garantiert lediglich, dass keine Weiterverarbeitung und Speicherung erfolgt. Die Einhaltung dieses Versprechens ist aber nicht mit absoluter Sicherheit nachprüfbar, weshalb ohne weitere Maßnahmen ein möglicher Kritikpunkt aus Datenschutzsicht bleibt – insbesondere weil in den USA nicht das gleiche datenschutzrechtliche Schutzniveau wie in der EU garantiert werden kann.
Zudem ist anzumerken, dass Google Analytics zur Wiedererkennung von Nutzer·innen auf zufallsgenerierte Cookie-IDs setzt. Die erwähnten Verbindungsdaten werden hingegen nicht zur Profilbildung genutzt und sind für die Funktionstüchtigkeit von Google Analytics nicht notwendig. Im Sinne der Datensparsamkeit wäre es daher sinnvoll, auch die Übertragung dieser Verbindungsdaten zu unterbinden und damit verbleibende Rechtsunsicherheiten zu beseitigen.
Die Übertragung der Verbindungsdaten kann unterbunden werden, indem vom "klassischen" Tracking auf serverseitiges Tracking umgestellt wird.
Hier fungiert ein Serverside Tag Manager als "Schnittstelle" zwischen den Nutzer·innen und Google. Nur der Serverside Tag Manager (der in einem Rechenzentrum in der EU laufen muss, um eine Verbesserung hinsichtlich Datenschutz darzustellen) kennt die Verbindungsdaten. Sämtliche Daten können vom Serverside Tag Manager gefiltert und selektiv an Google Analytics weitergeleitet werden. Ein Zugriff auf die Verbindungsdaten ist nun für Google Analytics mit absoluter Sicherheit ausschließbar.
Hierfür gibt es mehrere Anbieter mit fertigen Lösungen. Eine bekannte und relativ kostengünstige (aber nicht kostenlose!) Lösung kommt dabei von Google selbst mit dem "Server-side Google Tag Manager". Zwar kann dabei ein Server-Standort innerhalb der EU gewählt werden, allerdings handelt es sich hierbei um die Lösung eines US-Unternehmens, was wieder ein wesentlicher Unsicherheitsfaktor ist. Als Alternative gibt es u.a. von JENTIS eine Premium-Lösung von einem österreichischen Unternehmen mit klarem Fokus auf maximalen Datenschutz und Tool-Neutralität. Je nach Anforderung und Budget kommen in manchen Fällen auch noch weitere Anbieter in Betracht. Gerne beraten wir Sie bei Auswahl und Implementierung der richtigen Serverside-Tagging-Plattform.
Auch der Umstieg auf ein datenschutzfreundliches Webanalyse-System wie Matomo/Piwik kann eine sinnvolle Option sein, bei der wir Sie unterstützen können. Dabei ist jedoch zweierlei zu beachten:
Erstens ist Matomo/Piwik eine solide Alternative zu Google Analytics, bei hohen Ansprüchen vielleicht jedoch nicht ausreichend. Google Analytics ist insgesamt ein besseres System; insbesondere die Verknüpfungen mit anderen Google-Tools wie Google Ads, DV360 und Google Optimize kann Matomo/Piwik nicht bieten.
Zweitens löst Matomo/Piwik nur das Datenschutzproblem mit Google Analytics. Das selbe Problem gibt es jedoch in Zusammenhang mit dem Facebook Pixel, dem Google Ads Conversion Tracking, dem Bing UET Tag, Floodlight Tags und vielen weiteren Anbietern. Hier kann nur ein Serverside Tag Management System eine Lösung sein.