Update 14.03.2022: Da uns mehrere Fragen zu dem Thema erreicht haben, haben wir uns kurzfristig entschlossen, zu diesem wichtigen Thema ein Spezial-Webinar anzubieten.

 

Wieso soll Google Analytics überhaupt illegal sein?

Kurz gefasst: Wenn Sie Google Analytics auf Ihrer Website einsetzen, werden damit personenbezogene Daten der User (die IP-Adresse zählt beispielsweise zu solchen personenbezogenen Daten) an Google übertragen.

Damit werden diese Daten an ein amerikanisches Unternehmen übertragen – in den allermeisten Fällen ohne dass die Betroffenen über die Risiken dieses Datentransfers informiert wurden und dem zugestimmt haben. Spätestens seit dem EuGH-Urteil über das Ende des Privacy Shield ist das jedoch nicht zulässig.

So hat die österreichische und nun auch die französische Datenschutzbehörde in konkreten Fällen die Verwendung von Google Analytics für unzulässig erklärt.

 

Ist die Nutzung von Google Analytics in jedem Fall illegal?

Nein. Allerdings müssen Sie eine ganze Reihe von Vorkehrungen treffen, um Ihre Rechtssicherheit zu erhöhen:

Erstens muss eine professionelle Cookie Consent Software eingesetzt werden, die sicherstellt, dass erst nach einer Information der Betroffenen und deren Zustimmung Cookies gesetzt bzw. personenbezogene Daten erfasst werden.

Zweitens müssen Sie in diesem Hinweis klar und unmissverständlich auf die Risiken eines Datentransfers in das nicht-sichere Drittland (die USA) hinweisen und erklären, dass dort kein mit der EU vergleichbares Datenschutz-Niveau existiert.

Der große Nachteil: Wenn Sie das ordnungsgemäß erfüllen, willigt erfahrungsgemäß nur ein (kleiner?) Teil der User darin ein – damit gehen diese Daten für die Analyse jedoch verloren und die Statistiken verlieren an Aussagekraft.

Drittens müssen Sie sicherstellen, dass die Funktion für die IP-Anonymisierung von Google korrekt implementiert wurde.

Viertens müssen Sie noch die aktuellste Version der Google Analytics Datenverarbeitungsbedingungen (Data Processing Terms) akzeptieren.

Und fünftens müssen Sie in Ihrer Datenschutzerklärung umfassend über die Risiken und Nebenwirkungen der regelmäßigen Datenübertragung in das nicht-sichere Drittland (USA, China, Russland …) informieren.

 

Aber es gibt doch den Artikel 49 DSGVO?

Häufig wird der Artikel 49 der DSGVO – der Ausnahmen vom Verbot des Datentransfers regelt – in Stellungnahmen (meistens von Dienstleistern) ins Spiel gebracht. Damit sei die Verwendung von Google Analytics zu rechtfertigen, so wird häufig behauptet.

Doch dieser Artikel 49 findet hier keine Anwendung, da er sich explizit auf Einzelfälle bezieht, etwa die Buchung eines Hotelzimmers, sicherlich nicht aber für eine konstante Verhaltens-Analyse.

 

Wenn ich das alles tue: Bleibt ein Restrisiko?

Ja. Aus aktueller Sicht mehr als das. Denn sobald Sie zum Beispiel Google Ads oder allgemein ein Produkt der Google Marketing Plattform (GMP) verwenden, kann Google die Daten zusammenführen.

Auch wenn ein User mit einem Android-Smartphone Ihre Website besucht oder bei dem Besuch eingeloggt ist (z.B. hat er in einem anderen Browsertab Gmail geöffnet), kann Google ebenfalls die Daten zusammenführen. Damit bekommt Google jedoch personenbezogene Informationen über den Besuch Ihrer Website.

 

Wie kann ich Google Analytics legal einsetzen?

Eine (aus derzeitiger Sicht) legale Lösung wäre es, sog. Server Side Scripts für die Website zu implementieren. Dabei werden die Userdaten zuerst ausschließlich auf dem eigenen Server verarbeitet, bereinigt und die bereinigten Daten dann an Google Analytics geschickt. Wenn das korrekt implementiert wurde, werden also mit Sicherheit keine personenbezogenen Daten mehr an Google geschickt.

Der Haken: Die Implementierung von Server Side Scripts ist aufwändig und komplex. Dafür werden die meisten Unternehmen einen Spezialisten brauchen.

 

Ein Fazit und: Gibt es Alternativen?

Aus aktueller Sicht ist die Verwendung von Google Analytics für die meisten Unternehmen nicht legal möglich bzw. wäre der Aufwand erheblich. Das konkrete Risiko einer Strafe ist angesichts der großen Verbreitung von Google Analytics wohl überschaubar – aber Datenschutz sollte für ein Unternehmen ja nicht nur eine rein finanzielle, sondern auch eine ethische Frage sein.

Natürlich gibt es eine Reihe von Alternativen. Eine der bekanntesten ist Matomo (das frühere Piwik), das auf dem eigenen Server installiert werden kann und daher keinerlei Daten an Dritte übertragen werden. Außerdem ist es open-source und kostenlos.

Darüber hinaus gibt es eine ganze Reihe von Anbietern in Europa, die datenschutzrechtlich bedenkenlos eingesetzt werden können (solange sie z.B. keine amerikanischen Subdienstleister wie AWS einsetzen). Es gibt also durchaus Alternativen.

Die DSGVO & E-Mail Marketing in 60 Minuten

Über den Autor

Michael Kornfeld ist mit einer über 25-jährigen Laufbahn ein leidenschaftlicher Verfechter von E-Mail-Marketing. Er hält zahlreiche Seminare und Fachvorträge und zählt zu den renommiertesten Experten Österreichs auf diesem Gebiet.

Michael Kornfeld kontaktieren