Die Einbindung von Google Analytics auf Webseiten verstößt gegen die Datenschutzgrundverordnung (DSGVO). Zu diesem Schluss kommt die österreichische Datenschutzbehörde (DSB) aufgrund einer Musterbeschwerde, die vom Verein Noyb rund um Max Schrems eingebracht wurde. Dem Teilbescheid zufolge, der dem STANDARD vorliegt, ist zumindest ein österreichisches Unternehmen betroffen, das den Dienst implementiert hat. Eine ebenfalls eingebrachte Beschwerde gegen Google selbst wurde aber abgewiesen.

Schutzmaßnahmen "nicht angemessen"

Laut Bescheid wurde "einer Verletzung der allgemeinen Grundsätze der Datenübermittlung gemäß Art. 44 DSGVO" stattgegeben. Diese regelt die Weitergabe personenbezogener Daten an ein Drittland bzw. an eine internationale Organisation. Im konkreten Fall seien zumindest "eine einzigartige Nutzer-ID-Nummer, IP-Adresse und Browserparameter" an Google übermittelt worden. Übersetzt heißt das, dass ein eindeutiges User-Profil inklusive verwendeter Geräte- bzw. Router-Adresse (IP) und des genutzten Browsers erstellt werden kann.

Die mit Google abgeschlossenen "Standardschutzklauseln" würden kein "angemessenes Schutzniveau" bieten, etwa um die "Überwachungs- und Zugriffsmöglichkeiten durch US-Nachrichtendienste" zu beseitigen, schreibt die Behörde in ihrer Begründung. Google hatte zuvor argumentiert, diverse technische und organisatorische Maßnahmen umgesetzt zu haben, um Daten europäischer Bürger vor einem Zugriff durch US-Behörden zu schützen.

Was ist Google Analytics?

Google Analytics ist eines der am meisten verwendeten Werkzeuge, um das Nutzungsverhalten von Webseitenbesuchern zu analysieren und eigene Services auf diese maßzuschneidern. Schrems zufolge sind durch den Bescheid der Behörde alle Unternehmen in Österreich betroffen, die Google Analytics implementiert haben. Dazu müsste diese allerdings von sich aus aktiv werden und die betroffenen Firmen abstrafen.

Angesichts der überschaubaren Personaldecke der Behörde gilt dies jedoch als relativ unwahrscheinlich. Denkbar ist aber, dass der Druck nicht zuletzt durch die vielen angestrengten Musterbeschwerden auf europäischer Ebene steigt und in absehbarer Zukunft neue Verordnungen und Maßnahmen beschlossen werden.

Laut Schrems ist nach der Entscheidung des Europäischen Gerichtshofs (EuGH) vom Jahr 2020 nun einmal mehr klar, dass die Nutzung von US-Anbietern zur Verarbeitung persönlicher Kundendaten gegen die DSGVO verstoße. Da praktisch alle Webseiten innerhalb der EU auf Google Analytics als Statistikprogramm setzen, habe die Entscheidung der Datenschutzbehörde weitreichende Folgen, ist Schrems überzeugt.

101 Musterbeschwerden

Da der Verein Noyb 101 ähnliche Musterbeschwerden in praktisch allen EU-Staaten angestrengt hat, rechnet der Datenschützer mit vergleichbaren Bescheiden durch andere Behörden. Tatsächlich hat erst unlängst auch der Europäische Datenschutzbeauftragte einer Beschwerde von Noyb gegen das Europäische Parlament zugestimmt. Dabei ging es um eine Webseite zum Buchen von Covid-19-Tests, bei der ebenfalls Google Analytics und der Zahlungsdienstleister Stripe eingebunden waren.

Schrems sieht durch die stattgegebenen Beschwerden nicht nur die Unternehmen und Organisationen gefordert, sondern vor allem auch die US-Anbieter wie Google. "Natürlich kann man jetzt den Ball an die zehntausenden teilweise auch kleineren Unternehmen zurückspielen. Für uns ist es aber entscheidend, dass die US-Anbieter das Problem nicht einfach auf die EU-Unternehmen abwälzen können – noch dazu wenn sie behaupten, ihre Services seien DSGVO-konform", sagt Schrems zum STANDARD.

Deshalb habe man auch gegen das besagte US-Unternehmen eine Beschwerde eingereicht, was von der Datenschutzbehörde aber teilweise abgelehnt worden sei. "Wir werden prüfen, ob wir gegen diesen Teil der Entscheidung eine Beschwerde einlegen."

Update: Google weist Schuld von sich

Bei Google schiebt man die Verantwortung auf die Unternehmen ab, die Analytics einsetzen. Der Service helfe Unternehmen, Regierungen und Organisationen, besser zu verstehen, wie gut ihre Webseiten und Apps für Besucher funktionieren. Dabei gehe es nicht darum, einzelne Personen zu identifizieren und über das Internet hinweg zu verfolgen.

"Diese Organisationen, nicht Google, kontrollieren, welche Daten mit unseren Tools gesammelt und wie diese ausgewertet werden", teilte ein Google-Sprecher dem STANDARD mit. Google stelle eine Reihe von Sicherheitsmaßnahmen, Kontrollfunktionen und andere Mittel zur Verfügung, damit rechtliche Vorgaben erfüllt werden können. (Martin Stepanek, 13.1.2022)