Ist Google Analytics illegal?

Im Januar 2022 waren die Medien online wie offline voller alarmierender Schlagzeilen: „Wird Google Analytics in der EU verboten?“, „Ist Google Analytics legal“, „Google Analytics für illegal erklärt!“, „Google Analytics droht ein EU-weites Verbot“.

Was war da los?

Am 22. Dezember 2021 hat die österreichische Datenschutzbehörde entschieden:

„Nach Auffassung der Datenschutzbehörde kann das Tool Google Analytics (jedenfalls in der Version vom 14. August 2020) somit nicht in Einklang mit den Vorgaben von Kapitel V DSGVO genutzt werden.“

Die Entscheidung des österreichischen Datenschutzbeauftragten, der eine Beschwerde gegen eine Website im Zusammenhang mit der Verwendung von Google Analytics bestätigte, verheißt nichts Gutes für die Nutzung von Google Analytics, aber auch von anderen US-Cloud-Diensten in Europa.

Neben den Österreichern beschäftigt sich auch die niederländische Datenschutzbehörde derzeit mit zwei Beschwerden über die Verwendung von Google Analytics in den Niederlanden. Die Untersuchung dazu soll Anfang 2022 abgeschlossen werden, erklärte dazu die Behörde.

Die Entscheidung weckt neue Zweifel an der Verwendung von Tools, die die Übermittlung personenbezogener Daten von Europäern zur Verarbeitung in die USA erfordern. Der österreichische Datenschutzbeauftragte stellte fest, dass IP-Adressen und Kennungen in Cookie-Daten personenbezogene Daten von Website-Besuchern sind, was bedeutet, dass diese Übermittlungen unter das EU-Datenschutzrecht fallen.

In diesem speziellen Fall war eine Funktion zur Anonymisierung der IP-Adresse auf der Website nicht ordnungsgemäß implementiert worden. Unabhängig von diesem technischen Detail befand die Aufsichtsbehörde jedoch, dass es sich bei den IP-Adressen um personenbezogene Daten handelt, da sie mit anderen digitalen Daten kombiniert werden können, um einen Besucher zu identifizieren.

Folglich stellte die österreichische Datenschutzbehörde fest, dass die fragliche Website – es handelte sich dabei um netdoktor.at – gegen die Datenschutzverordnung der EU (GDPR) verstoßen hatte, da sie infolge der Implementierung von Google Analytics Besucherdaten in die USA exportiert hatte.

• Google könnte je nach Konfiguration von Google Analytics Zugriff auf personenbezogene Daten ohne Zustimmung der Nutzer haben
• Aufgrund der Überwachungsgesetze in den USA kann Google nicht hinreichend sicherstellen, dass die US-Regierung keinen Zugriff auf personenbezogene Daten erhält
• Es ist nicht relevant, dass Google möglicherweise zusätzliche Informationen benötigt, um eine Person vollständig zu identifizieren
• Google selbst kann eine Person identifizieren, da es den Nutzern erlaubt, personalisierte Werbung individuell abzulehnen

Im Sommer 2020 wurde das ständige Abkommen zwischen den USA und der EU (bekannt als Privacy Shield) gemäß den GDPR-Vorschriften für ungültig erklärt.

Dies betraf die Übermittlung von Daten aus der EU in die USA. Da das Urteil in Bezug auf die Vertragsklauseln nicht endgültig war, haben viele Unternehmen ihre Verträge nach dem Urteil geändert, um weitere Anfechtungen im Zusammenhang mit der Datenerhebung abzuwehren, indem sie Formulierungen zum Datenschutz einführten.

Im Anschluss an das Urteil haben die österreichischen Datenschutzaktivisten von Nyob mehr als 100 US/EU-Übermittlungsbeschwerden an verschiedene Datenschutzbehörden in Europa gerichtet. Die nun vorliegende Entscheidung der österreichischen Datenschutzbehörde ist das Ergebnis der Auswertung einiger dieser Beschwerden.

Google sieht die Dinge erwartungsgemäß anders: 

“Google Analytics ist ein Dienst, der von Unternehmen genutzt wird, um zu verstehen, wie ihre Websites und Anwendungen genutzt werden, so dass sie diese besser gestalten können. Es werden keine Personen verfolgt oder Profile von Personen im Internet erstellt.“

Das komplette Statement können Sie hier nachlesen

1. Obwohl es in diesem speziellen Fall um Google Analytics ging, ist es recht wahrscheinlich, dass auch andere in den USA ansässige Dienste und Plattformen von dieser Entscheidung betroffen sein könnten. Wir raten Unternehmen in der EU deshalb, die Entwicklungen und weiteren Entscheidungen in den kommenden Monaten genau zu beobachten.
2. Sie sollten die aktuelle Entscheidung aber zum Anlass nehmen, die Anonymisierung der IP-Adresse Ihrer Nutzer sowie die korrekte Implementierung des Consent Banners zu überprüfen.
3. Stellen Sie so schnell wie möglich auf Server Side Tagging (SST) um. Die Daten können dann in der EU verarbeitet werden, bevor sie in die USA und andere Drittländer gesendet werden. Mit SST haben Sie maximale Kontrolle über die Daten, die an Google Analytics und andere Tools gesendet werden. So können Sie beispielsweise die IP-Adresse innerhalb der EU unkenntlich machen.

Im März 2022 kündigte Google das Ende von Universal Analytics an und führt jetzt Google Analytics 4 ein.

Google sagt, Google Analytics 4 sei eine datenschutzfreundliche Alternative, die keine IP-Adressen sammelt.  Aber löst es wirklich die Probleme, auf die die Bescheide der Datenschutzbehörden in Europa hindeuten?

Eine der Korrekturen betrifft die Anonymisierung der IP-Adressen. In Google Analytics 4 anonymisiert Google die IP-Adressen der getrackten Website- und App-Nutzer schon als es die Nutzerdaten erfasst. Google Analytics 4 stellt seinen Nutzern keine Option bereit, um diese Funktion auszuschalten.

Auf dieser Basis behauptet Google, dass es keine persönlichen Daten sammelt. Im Teilbeschluss vom April 2022 bestätigte die österreichische DSB jedoch erneut, dass die IP-Anonymisierung von Google Analytics nicht ausreicht. Sie begründete es, wie folgt:

1. Die IP-Anonymisierung betrifft nur die IP-Adresse als solche. Daten wie Online-Identifikatoren, die über Cookies oder Gerätedaten gesetzt werden, überträgt Google im Klartext.
2. Die IP-Anonymisierung findet erst nach dem Transfer der Daten an Google statt.
3. Das bedeutet in der Konsequenz, dass Google nach wie vor personenbezogene Daten sammelt.

Die österreichische DSB betonte schon in ihrem ersten Teilbeschluss, dass „IP-Adresse (…) nur eines von vielen ‚Puzzleteilen‘ des digitalen Fußabdrucks (…) ist“. Die Anonymisierung von IP-Adressen bedeutet nicht zwangsläufig, dass die verarbeiteten Daten nicht personenbezogen sind. Cookie-Identifikationsnummern zum Beispiel sind personenbezogene Daten.

Die österreichische DSB bestätigte, dass die Verwendung dieser Kennnummern es Google Analytics ermöglicht „Website-Besucher zu unterscheiden und auch die Information zu erhalten, ob es sich um einen neuen oder um einen wiederkehrenden Website-Besucher (…) handelt.“

Google kann die Informationen, die Google Analytics 4 zu einem bestimmten Pseudonym sammelt, mit anderen Daten verknüpfen, die andere Nutzer dieser Plattform oder weiterer Google-Diensten übermitteln. Und es gibt Unmengen davon. So könnte Google die Identität der einzelnen Website-/App-Nutzer und deren Verhalten auf derselben Website oder App oder womöglich auch auf anderen Websites und in anderen Apps bestimmen.

Es ist eher unwahrscheinlich, dass Google so vorgeht, aber Websitebetreiber sollten sich der damit verbundenen Risiken bewusst sein.

Unabhängig davon bleibt das Hauptproblem bei Google Analytics 3 und 4 dasselbe: Datentransfers zwischen der EU und den USA.

Google kündigte allerdings an, dass Google Analytics 4 die Daten von EU-Nutzern über Domains und Server in der EU empfängt und verarbeitet. Solange die Speicherung noch auf US Servern stattfindet, bleibt eine rechtliches Restrisiko.