Nicht Google, sondern die Webmaster sind für die korrekte Verwendung von Google Analytics verantwortlich – das sorgt für Unmut.

Foto: AP Photo/Ng Han Guan

Anfang 2022 hat die österreichische Datenschutzbehörde geurteilt, dass in einem bestimmten Fall die Einbindung von Google Analytics in eine Website der EU-Datenschutzgrundverordnung (DSGVO) widersprach. Dem Urteil vorangegangen war eine Musterbeschwerde der Datenschutzbehörde Noyb. Bedeutet dies, dass niemand – von der Bloggerin über die Buchhändlerin bis zum Großunternehmen – mehr Google Analytics verwenden darf? Zu dieser Frage hat der STANDARD Expertinnen und Experten angesichts des Europäischen Datenschutztags befragt.

Google Analytics: Verantwortung der Website-Betreiber

Festzuhalten ist, dass das besagte Urteil nicht rechtskräftig ist und sich auf die individuelle Art der Einbindung von Google Analytics zu einem konkreten Zeitpunkt auf der Website des betroffenen Unternehmens bezieht. "Eine Pauschalableitung, dass Google Analytics per se nicht datenschutzkonform ist, lässt sich damit nicht darstellen", sagt Alexandra Vetrovsky-Brychta, Präsidentin des Dialog-Marketing-Verbands Österreich (DMVÖ), des laut Eigenangabe größten Kommunikationsverbands Österreichs.

Userinnen und User werden feststellen, dass die Einverständniserklärung mittels der "Cookie-Banner" beim Aufruf der Websites noch größer und umfangreicher wird, prophezeit DMVÖ-Präsidentin Alexandra Vetrovsky-Brychta.
Foto: Niklas Schnaubelt

Allerdings hat die kostenlose Version von Google Analytics der Expertin zufolge einen Marktanteil von 86 Prozent – wenn das Urteil also rechtskräftig wird und auf die breite Masse angewendet werden muss, sind entsprechend viele Websites jeder Größe betroffen. Laut Marco Blocher, Jurist bei Noyb, besteht theoretisch die Möglichkeit, dass der Bescheid der österreichischen Datenschutzbehörde vom Bundesverwaltungsgericht aufgehoben wird. "Im Lichte der seit Sommer 2020 vom EuGH im Schrems-II-Urteil geklärten Rechtslage scheint dies aber sehr unwahrscheinlich", sagt er.

Google selbst hat zu dem Thema selbst in einem Blogbeitrag Stellung bezogen. Zusammengefasst steht dort auch das, was ein Sprecher bereits anlässlich des Urteils der Datenschutzbehörde gegenüber dem STANDARD geäußert hat: Der Konzern stellt den Websitebetreibern etliche Möglichkeiten zur Verfügung, um Google Analytics datenschutzkonform zu nutzen – dass dies auch geschehe, liege in der Verantwortung der jeweiligen Websitebetreiber.

Wie man Google Analytics datenschutzkonform betreibt

Der Einsatz von Google Analytics unter Berücksichtigung des Datenschutzes beruht auf vier unterschiedlichen Aspekten, wie Siegfried Stepke, Geschäftsführer der Wiener Digitalagentur E-Dialog, in einer Aussendung erläutert. Dabei geht es um die Erfüllung der rechtlichen Rahmenbedingungen, die rechtskonforme Einholung der Einwilligung, Privacy-Settings im Setup von Google Analytics und Tracking auf dem eigenen Server.

Vier Maßnahmen sollen helfen, Google Analytics an den Datenschutz anzupassen.
Foto: E-Dialog

Der erste Schritt zur Erfüllung der rechtlichen Rahmenbedingungen ist das Akzeptieren der "Data Processing Terms for all Google Products" (DPAs) in den Settings von Google Analytics und der entsprechende Hinweis in den Datenschutzbestimmungen der Website auf eine mögliche Datenübermittlung in Drittstaaten.

Größere Cookie-Banner auf Websites

Der nächste Schritt ist die rechtskonforme Einholung der Einwilligung von Websitebesucherinnen und -besuchern. Diese muss erfolgen, noch bevor Google Analytics mit dem Tracken beginnt.

Hier werden sich auch für die Userinnen und User Änderungen bemerkbar machen, wie Vetrovsky-Brychta ausführt: Sie werden feststellen, dass die Einverständniserklärung mittels der berühmt-berüchtigten "Cookie-Banner" beim Aufruf der Websites noch größer und umfangreicher wird. "Denn eine Möglichkeit, die Datenübermittlung in die USA auf eine Rechtsgrundlage zu stellen, ist die Einwilligung. Diese muss aber sehr umfangreich sein, da beispielsweise klar über Risiken aufgeklärt werden muss", sagt Vetrovsky-Brychta.

Kann Google Analytics die IP-Adresse anonymisieren?

Mit den Privacy-Settings im Setup von Google Analytics sollte man laut E-Dialog zudem sicherstellen, dass keine personenbezogenen Daten (PIIs) einfließen. Die Agentur empfiehlt die Nutzung von Features wie der IP-Anonymization.

Kritische Worte bezüglich der IP-Anonymisierung kommen allerdings von Blocher. "Die von Google angebotene IP-Anonymisierung schafft das Problem nicht aus der Welt", sagt der Datenschützer. "Erstens betrifft sie nur die IP-Adresse, nicht aber die UUIDs (ein Universally Unique Identifier ist eine 128-Bit-Zahl, die zur Identifikation von Informationen in Computersystemen verwendet wird, Anm.). Zweitens passiert die Anonymisierung erst auf den Servern von Google, also nachdem die Daten übermittelt wurden, und drittens bezieht sich die Anonymisierung nur auf den Inhalt eines Datenpakets, nicht aber auf dessen 'Envelop'. Ohne Sender-IP-Adresse am Envelop ist eine Datenübertragung via TCP/IP aber nicht möglich. "

Tracken auf dem eigenen Server

E-Dialog rät schließlich noch zu serverseitigem Tracking. Darunter versteht man, dass die Tracking-Informationen direkt auf den eigenen Server der Website der App geschrieben werden.

Dies kann laut der Digitalagentur dazu dienen, die Lebensdauer von First-Party-Cookies zu erhöhen und eventuell Tracking-Blocker zu umgehen – vor allem könne dadurch aber kontrolliert werden, welche Daten in welcher Form an Google Analytics übertragen werden.

Alternativen zu Google Analytics

In Summe ist Blocher trotz dieser Maßnahmen skeptisch. Denn Google Analytics könne weiterhin verwendet werden, wenn der österreichische Websiteprovider tatsächlich sicherstellt, dass die übertragenen personenbezogenen Daten in den USA vor Datenabgriffen durch Geheimdienste sicher sind – de facto sei dies aber gegenwärtig nicht möglich. Hier müsse eher Google selbst tätig werden, indem man garantiert, dass die Daten den Europäischen Wirtschaftsraum nicht verlassen und kein Zugriff durch Geheimdienste besteht.

Blochers Handlungsempfehlung lautet daher: Google Analytics abdrehen – und wenn auf derartige Analysetools nicht verzichtet werden kann, sollte man auf Alternativen umsteigen. "Das klingt hart, aber sofern Google GA nicht umfassend umgestaltet, ist der Weiterbetrieb riskant", sagt der Datenschützer. "Kein Websitebetreiber kann behaupten, er hätte nicht gewusst, dass Google Analytics ein Problem sein könnte."

Der kanadische Anbieter Fathom betreibt Server in der EU.
Foto: Fathom

Möglich wäre auch, dass die aktuelle Situation anderen Anbietern den Rücken stärkt und diese somit die Stärke des Marktführers ein wenig brechen können. Denn an Alternativen mangelt es eigentlich nicht – etwa dem in der EU erschaffenen und hostenden Anbieter Plausible, der laut Eigenangabe auf Cookies verzichtet und unter anderem DSGVO-konform arbeitet. Der kanadische Anbieter Fathom wiederum brüstet sich ebenfalls mit DSGVO-Kompatibilität und der Tatsache, dass die Daten auf EU-Servern verarbeitet werden.

Andere Lösungen wiederum sind Open Source und laufen direkt auf dem Server der eigenen Website – darunter die Dienste Matomo und Offen. Matomo nennt unter anderem Red Bull und die Europäische Kommission als Referenzen, man bezeichnet sich selbst als DSGVO-konform. Offen brüstet sich damit, gar noch mehr Fokus auf Ethik und Datenschutz zu legen als Matomo. Unter anderem wird hier nur analysiert, nachdem Userinnen und User ihr Opt-in gegeben haben.

Wie es nun weitergehen könnte

Zu betonen ist, dass es sich hier um die europaweit erste Entscheidung zu insgesamt 101 von Noyb eingebrachten Beschwerden handelt. "Es werden naturgemäß die weiteren recht bald folgen, und ich rechne mit ähnlichen Entscheidungen", sagt Vetrovsky-Brychta – und zwar nicht nur zu Google Analytics, sondern auch zu diversen anderen in der EU tätigen US-Unternehmen. Kritisch sieht auch sie, dass in dem Rechtsspruch klar der Websitebetreiber verantwortlich gemacht wird und nicht der US-Konzern Google: "Was einmal mehr zeigt, dass wir hier nicht von fairen Bedingungen zwischen Digital Giants und heimischen Digitalunternehmen sprechen."

Grundsätzlich gelte es, die bestehenden Gesetze einzuhalten – diese seien aus einer wirtschaftlichen Perspektive aber nicht nur hinderlich, sondern bevorzugen der Unternehmerin zufolge die Digital Giants. Denn wenn eine Händlerin auf ihrem eigenen Webshop die Daten der Kundschaft nicht mehr selbst erheben kann, dann muss sie an anderer Stelle Geld für Werbung ausgeben. Oder sie verlagert ihr Geschäft zu einem digitalen Marktplatz wie jenem von Amazon, wo die Kundinnen und Kunden ohnehin schon die Einwilligung zur Verarbeitung ihrer Daten gegeben haben. Der Datenfluss zu den Digital Giants wird laut Vetrovsky-Brychta somit potenziell noch verstärkt.

Google selbst verweist in einem anderen Blogbeitrag übrigens darauf, dass der Konzern zwar seit mehr als 15 Jahren Analyse-Dienste für globale Unternehmen anbiete, in dieser Zeit aber kein einziges Mal eine Anfrage von nationalen Sicherheitsbehörden der USA zur Herausgabe etwaiger Daten erhalten. Dementsprechend fordert man seitens Google, neue Rahmenbedingungen für den Datenaustausch zwischen der EU und den USA zu schaffen. (Stefan Mey, 28.1.2022)