Warum Google Analytics bald verboten ist!?

Google Analytics ist das weltweit wohl am häufigsten eingesetzte Trackingtool für die Datenverkehrsanalyse von Webseiten. Auf Webseiten der europäischen Union könnte jedoch bald Schluss sein mit der Überwachung des Nutzerverhaltens. Der bekannte österreichische Datenschutzaktivist Max Schrems hat kürzlich mit einer Musterbeschwerde für eine Entscheidung der österreichischen Datenschutzbehörde gesorgt. Dass eine Webseite Google Analytics einsetzt, ist gemäß der Behörde nicht mit der EU-Datenschutzgrundverordnung vereinbar. Ist Google Analytics also bald in Europa verboten und wenn ja, welche Alternativen können Webseitenbetreiber noch bedenkenlos einsetzen? Wir haben uns den aufsehenerregenden Fall einmal genauer angesehen.

Der Datenschutzaktivist Max Schrems hatte im August 2020 die damals noch österreichische Webseite netdoktor.at aufgerufen. Diese Seite verwendete Google Analytics und leitete entsprechend persönliche Daten von Max Schrems an den US-Konzern weiter. Aus diesen Daten, so Schrems, könne Google Rückschlüsse auf seine Person ziehen. Dies ist jedoch nicht mit dem Artikel 44 der Datenschutzgrundverordnung vereinbar. Der Artikel 44 regelt die Bestimmungen rund um die Übermittlung von Daten an ein Drittland – in diesem Fall in die USA. Die Übermittlung der personenbezogenen Daten in die USA sei daher rechtswidrig gewesen. In einem Teilbescheid bekam Max Schrems Recht – allerdings ist das Verfahren längst noch nicht abgeschlossen. Denn bereits während des laufenden Verfahrens wurde die betreffende Webseite an einen deutschen Anbieter übertragen. Hier fühlen sich die österreichischen Behörden nicht mehr zuständig. Die Frage, ob die Webseite wegen der Verstöße gegen die Datenschutzgrundverordnung eingestellt werden muss, müssen nun deutsche Behörden klären.

Die Beschwerde von Max Schrems richtete sich nicht nur gegen netdoktor.at, sondern auch direkt gegen Google. Der Betreiber von Google Analytics, so Schrems, akzeptiere schließlich wissentlich Nutzerdaten, die unter Verletzung der DSGVO gewonnen wurden. Hier allerdings sah die österreichische Datenschutzbehörde keine Grundlage für eine Beschwerde. Die Vorschriften der DSGVO sind vom Datenexporteur – der europäischen Webseite - einzuhalten. Der Importeur der Datensätze, Google, legt selbst keine Daten offen. Entsprechend sieht die Behörde hier keinen konkreten Handlungsbedarf. Allerdings wird derzeit geprüft, ob Google mit dem Analytics-Tool gegen andere Bestimmungen der DSGVO verstößt.

Für die österreichische Datenschutzbehörde ist der Fall klar. Die Webseite hätte Google Analytics nicht einsetzen dürfen, da das Tool personenbezogene Daten erhebt und an Google weiterleitet. Genau hier fangen die Probleme an, denn Google unterliegt US-Recht – und somit der Überwachung durch US-amerikanische Geheimdienste. Da NSA und Co. in den Vereinigten Staaten dazu befugt sind, personenbezogene Daten abzurufen, kann Google kein ausreichendes Schutzniveau nach europäischem Datenrecht, genauer nach Artikel 44 DSGVO, bieten. Zwar setzte der Betreiber von netdoktor.at sogenannte „Standardvertragsklauseln“ auf seiner Webseite ein – diese allerdings reichen nicht aus. Dies hat bereits der Europäische Gerichtshof in einer Entscheidung zum sogenannten „Privacy Shield“ im Jahre 2020 erkannt. Die österreichischen Datenschützer machen eines klar: es ist unerheblich, ob ein US-Geheimdienst die Personendaten von Max Schrems tatsächlich abgerufen hat. Ebenso irrelevant ist es, ob Google die genaue Identität des Nutzers aus den gewonnenen Daten extrahiert hat. Es zählt allein, dass beides möglich wäre. Und noch einen weiteren Punkt führen die Datenschützer ins Feld. In den Konteneinstellungen der Google-Accounts können Nutzer explizit untersagen, dass Google ihre Daten von Webseiten Dritter detailliert auswertet. Für die Datenschützer ist dies der Beweis, dass Google zumindest in der Theorie in der Lage wäre, Nutzerdaten mit einer konkreten Person zusammenzuführen.

Google Analytics kommt je nach Statistik auf rund 50 % aller größeren und großen Webseiten weltweit zum Einsatz. Das Analysetool sammelt effizient Daten über die Besucher, die sodann anhand beliebig konfigurierbarer Parameter aufbereitet und ausgewertet werden können. Seitenbetreiber erhalten durch Google Analytics Einblicke in das Nutzerverhalten, die Verweildauer oder die Aufrufe einer Seite. Bei einer derartig umfassenden Analyse fallen massenhaft Daten an – und genau hier beginnen die Probleme mit dem Datenschutz. Denn Google Analytics leitet die gesammelten Daten inklusive der vollständigen IP-Adresse der Nutzer an Google in den USA weiter. In den USA wird der Datenschutz etwas lockerer gesehen als in Europa. So haben in den Staaten beispielsweise Nachrichtendienste oder Polizeibehörden das Recht, gespeicherte Daten abzurufen und für Ermittlungen zu verwenden. Als europäischer User werden deine persönlichen Daten durch die DSGVO geschützt. Werden die Daten allerdings in Drittländer weitergeleitet, entfällt dieser Schutz – und deine Daten können nach Belieben durchleuchtet und genutzt werden.

Webanalyse-Tools werden weltweit eingesetzt, um das Verhalten von Besuchern auf einer Webseite zu analysieren. Für die Webseitenbetreiber bieten die Tools die Möglichkeit, die Inhalte optimal an die Bedürfnisse der User anzupassen. Google Analytics ist dabei nicht das einzige, aber sicherlich verbreitetste Tool. Seit vielen Jahren wird bereits in juristischen Kreisen über die Rechtmäßigkeit des Einsatzes der Tracking-Tools diskutiert. Ein Ansatzpunkt, um Google Analytics konform zu den europäischen Datenschutzrichtlinien zu betreiben, ist die Anonymisierung der IP-Adressen der Webseiten-Besucher. Jeder Webseiten-Betreiber hat die Möglichkeit, die Anonymisierung der Daten einzustellen. Keine Übermittlung von personenbezogenen Daten bedeutet, dass die DSGVO nicht zur Anwendung kommt. Die von Max Schrems gemeldete Seite netdoktor.at hat diese vorhandene Funktion nicht genutzt. Und selbst wenn die Webseite die IP-Adressen anonymisiert hätte – die österreichischen Datenschützer sehen einfach viel zu viele Möglichkeiten, wie Google personenbezogene Daten verarbeiten kann. Das beginnt bei der Aufzeichnung von eingesetzten Betriebssystemen und dem verwendeten Browser, geht über einzigartige Online-Kennungen bis hin zu Datum und Uhrzeit des Webseitenbesuchs. Jeder Besucher ist somit über viele einzelne, kleine Puzzlestücke identifizierbar – auch mit anonymisierter IP-Adresse.

Die österreichischen Datenschützer sehen trotz der Bemühungen von Google für einen erhöhten Datenschutz kein angemessenes Schutzniveau für die Datensätze europäischer Bürger. Per US-Gesetz sind die dortigen Nachrichtendienste befugt, personenbezogene Daten abzurufen oder mit technischen Maßnahmen auf verschlüsselte Daten zuzugreifen. Beides ist nicht konform mit europäischen Datenschutzvorgaben. Sollte das Thema vor dem Europäischen Gerichtshof landen – und es ist nicht unwahrscheinlich, dass sich die höchsten europäischen Richter der Thematik annehmen – könnte dies gravierende Auswirkungen auf den gesamten transatlantischen Datenverkehr haben. Sollte es zu einem Gerichtsurteil kommen, dass Google Analytics nicht datenschutzkonform einsetzbar ist, wären die Folgen drastisch. Und zwar sowohl für europäische Webseitenbetreiber als auch US-Unternehmen, die mit Daten aus Europa arbeiten. Die EU-Betreiber müssten in diesem Fall auf Server in der EU umsatteln – die US-Unternehmen würden gleich einen ganzen Kontinent als ihren Absatzmarkt verlieren. Solange noch kein Urteil gesprochen ist, darf Google Analytics weiterhin auf europäischen Seiten eingesetzt werden – eine Beachtung der entsprechenden Standardklauseln natürlich immer vorausgesetzt.