Google Analytics – Entscheidung der Österreichischen Datenschutzbehörde (Ö-DSB)
- von Robert Reitmann
Was bedeutet die Entscheidung für den Einsatz von Google Analytics in Europa & welche Alternativen gibt es?
Impulse von Mag. jur. Robert Reitmann
CEO & Chief Legal Officer, DataReporter GmbH
Letzte Woche wurde eine Entscheidung der Österreichischen Datenschutzbehörde bekannt, in der diese den Einsatz von Google Analytics als nicht rechtskonform eingestuft hat. Initiator dieser Entscheidung war der Verein NOYB rund um den Datenschutzaktivisten Max Schrems. Anlassfall für diese Entscheidung war die Beschwerde vom 18. August 2020 über ein Informationsportal zum Thema Gesundheit, welches den Dienst Google Analytics zum Tracking von Nutzern einsetzte. (Quelle: Bescheid D155.027 GA)
Keine Einholung einer Einwilligung
Die Einbindung des Trackingtools Google Analytics erfolgte dabei ohne Einholung einer Einwilligung der Nutzer. Der Tracking Code wurde also bereits mit Aufruf der Website ausgeführt! Gegenstand der Entscheidung war daher der Einsatz von Google Analytics und die Frage nach einer möglichen rechtswidrigen Datenübermittlung in die USA. Nicht Inhalt des Verfahrens und damit der Entscheidung war, ob z.B. der Einsatz von Google Analytics mittels Einwilligung des Nutzers zulässig wäre.
Übermittlung personenbezogener Daten in die USA
Die Behörde hat in einem Teilbescheid nunmehr entschieden, dass durch das Ausführen von Google Analytics eine Übermittlung von personenbezogenen Daten an Google und damit in die USA stattgefunden hat. Jedem Einwand, dass es sich lediglich um anonyme Daten handeln würde, wurde damit eine Absage erteilt. Weiters stellte die Behörde fest, dass die Standarddatenschutz- bzw. Standardvertragsklauseln (Stand August 2020) kein angemessenes Schutzniveau gemäß Art 44 DSGVO bieten. Dies wurde damit begründet, dass Google im Sinne der amerikanischen Gesetze einer Überwachung durch US-Geheimdienste unterliegt und der Abschluss von Standarddatenschutzklauseln keine effektive Unterbindung der Überwachungs- und Zugriffsmöglichkeiten durch US-Nachrichtendienste bietet. Im vorliegenden Fall wurde auch keine andere Garantie oder ein anderes Instrument für ein angemessenes Schutzniveau vorgebracht. Nach dem Urteil des EuGHs vom 16. Juli 2020 konnte man sich für die Datenübermittlung in die USA auch nicht mehr auf eine Angemessenheitsentscheidung („Privacy Shield“) nach Art 45 stützen.
ANMERKUNG:
Eine Zustimmung des Nutzers wurde – wie weiter oben berichtet – nicht eingeholt und konnte daher auch im Verfahren nicht vorgebracht werden!
Was bedeutet das nunmehr für den Einsatz von Google Analytics in Europa?
Aus unserer Sicht sind jene Stimmen, die den Einsatz von Google Analytics auf berechtigtes Interesse des Websitebetreibers stützen und das Trackingtool ohne eine informierte Zustimmung in eine Website einbinden, nunmehr endgültig zum Verstummen angehalten.
Der Einsatz von Google Analytics (wie aus unserer Sicht auch alle anderen Arten des Benutzertrackings, unabhängig welche Technologie zum Einsatz kommt) kann ohne Einwilligung des Nutzers und ohne ein dafür notwendiges Consent Management nicht rechtskonform umgesetzt werden. Ob die Einwilligung ein Mittel ist, welches letztendlich den Zweck des Trackings inklusive der Datenübermittlung in die USA heiligt, bleibt aber weiter ungeklärt.
Verzicht auf Datenschutz per Einwilligung
Wie bereits mehrfach berichtet, gibt es durchaus auch bekannte Stimmen, die den Verzicht auf Datenschutz per Einwilligung ebenfalls als rechtlich unzulässig einstufen. Die Argumente dafür sind juristisch nicht einfach vom Tisch zu wischen, da auch eine Verletzung der körperlichen Integrität (ebenso wie das Recht auf Datenschutz im Verfassungsrang), die auf eine Zustimmung des Betroffenen beruht, nicht straflos erfolgen könne. Weiters ist auch der hohe Maßstab für eine transparente Information an den jeweiligen Nutzer vor Zustimmung eine Hürde, die in der Praxis nur sehr schwer zu nehmen sein wird. Es bleibt daher abzuwarten, wie sich die Meinung zu einer Zustimmungsvariante manifestieren wird.
Die Ist-Situation für Websitebetreiber
Festzuhalten ist jedoch, dass über das Thema der Einwilligung – mangels Gegenstand im Verfahren – die Datenschutzbehörde im nunmehrigen Verfahren nicht abgesprochen hat. Die Situation für Websitebetreiber, die Google Analytics per Zustimmung einsetzen, ist daher weiter unverändert.
Folgende Entscheidungsalternativen stellen sich daher:
Google Analytics mittels Zustimmungslösung
Es ist sicher zu stellen, dass der Google Analytics Code erst nach Zustimmung des jeweiligen Besuchers gestartet wird. Dafür ist der statische Google Analytics Code aus der Webseite zu entfernen und erst abhängig von einer Entscheidung des Users auszuführen oder eben nicht. Wichtig ist dabei, dass um den Aufruf des Scripts geht (denn dabei wird die IP Adresse eines Nutzers übermittelt) und nicht nur um das aktive Setzen von Cookies durch Google Analytics. WebCare bietet abhängig von der Entscheidung des Nutzers die Möglichkeit an, über den hauseigenen onboard Tagmanager Google Analytics auszuführen oder eben nicht.
Weiters raten wir dazu, innerhalb von Google Analytics die Möglichkeit zu nutzen, dass die Daten der Nutzer soweit wie möglich anonymisiert werden bzw. eine Analyse nur serverseitig funktioniert. Wir als DataReporter können nicht bei der Verwendung von Google Analytics beraten, aber wir können gerne den Kontakt zu derartigen Experten herstellen (Kontakt).
Es ist weiters sicherzustellen, dass auch die neuesten Regeln von Google zur Datenübermittlung Inhalt des Vertrages mit Google sind.
Hintergrund:
Google hat seine eigenen Verträge vor nicht langer Zeit überarbeitet und diese neuen Standards sind nicht Gegenstand der Entscheidung der Datenschutzbehörde.
Anmerkung:
Es ist jedoch anzunehmen, dass die Behörde auch mit den neuen Bedingungen und den neuen Standarddatenschutzklauseln gegenüber Google ähnliche Bedenken äußern wird.
Bessere Transparenz
Weiters ist im Sinne der noch besseren Transparenz und einer verbesserten Zustimmungsvariante anzuraten, im Cookie Banner selbst bereits textlich auf den Einsatz von USA Tools, insbesondere Google Analytics, hinzuweisen. Dies könnte verhindern, dass man die Angaben in der Datenschutzerklärung oder in der Cookie Tabelle als versteckt, zu unverständlich oder zu weit entfernt (two-click) für den Nutzer einstuft.
Wir als DataReporter haben bereits in unserem Artikel “Europäische Unternehmen kehren US Softwareherstellern den Rücken zu” vom 19. Oktober 2020 auf diese sinnvolle Ergänzung hingewiesen und einen Standardtext dafür vorgeschlagen (jetzt kostenlos anfordern we.love@datareporter.eu).
Risiko bei dieser Vorgehensweise
Die Behörde entscheidet in einem weiteren Beschwerdeverfahren, dass auch die Zustimmungslösung keine datenschutzkonforme Vorgehensweise ist. Da seitens NOYB insgesamt 101 Beschwerden national und international eingebracht wurden, kann es durchaus sein, dass genau über diese Frage relativ rasch eine Behörde entscheiden könnte.
Gibt es europäische Alternativen?
Die rechtlich sicherste Variante ist die Implementation einer EU-Alternative zum Tracking. Da es jedoch um den Zweck des Trackings geht, ist auch hier nicht zu vergessen, dass die Zustimmung des jeweiligen Nutzers abgefragt wird. Hinsichtlich Transparenz und rechtlicher Sicherheit ist dieser Variante gegenüber der GA Zustimmungsvariante jedenfalls der Vorzug zu geben.
Als EU-Alternative können wir die Evaluierung von Tools wie dem etracker oder Piwik PRO empfehlen.
“etracker Analytics ist eine professionelle Alternative, wenn die Verwendung von Google Analytics, trotz angepasster Einstellungen immer noch zu unsicher scheint. etracker Analytics ist eine professionelle und rechtskonforme Alternative.” (Armin Larndorfer, Spezialist für Web Analyse & Tracking, KlickImpuls GmbH)
“Am Beispiel von Piwik PRO, dem europäischen Privacy Marktführer, den wir bei 506 bei allen wichtigen Marketing Daten Projekten einsetzen, ist dieses Problem erst gar nicht existent. Es muss auch bei dieser eigenen Lösung die Zustimmung des Website-Besuchers eingeholt werden. Softwarelösungen wie die Consent Management Platform – WebCare von DataReporter, erreichen bei einer DSGVO-konformen Implementierung, eine Zustimmungsrate von bis zu 70 %. Somit ist das Thema erledigt. Die Daten, welche mit Piwik PRO getrackt werden, liegen in Europa und werden mit niemanden geteilt. Dadurch können, auf Basis der oben genannten Zustimmung, auch personenbezogene Daten erhoben und analysiert werden.” (Gerhard Kürner, CEO, 506 Performance & Data Management GmbH)