Für & Wider: Ist Google Analytics jetzt illegal?

Im Gastkommentar rät Marco Blocher von der Datenschützer-NGO Noyb zum Verzicht. Siegfried Stepke, der Geschäftsführer der Digitalagentur e-dialog, fürchtet hingegen Wettbewerbsnachteile. Zwei Positionen zum Google-Analytics-Urteil.

Bild nicht mehr verfügbar.

"Je mehr unsere Gesellschaft digitalisiert wird, desto mehr müssen wir für unsere Online-Rechte sensibilisieren und deren Durchsetzung verbessern", sagt EU-Wettbewerbskommissarin Margrethe Vestager.

Nicht bloß kosmetische Anpassungen

Marco Blocher

Im Jänner erließ die Datenschutzbehörde (DSB) einen Bescheid, wonach ein Websitebetreiber durch die Verwendung von Google Analytics gegen die Datenschutzgrundverordnung (DSGVO) verstoßen hat. Die große Frage lautet nun: Ist Google Analytics jetzt illegal? Für die Europäische Union ist diese Frage klar zu bejahen. Warum?

Rufen wir uns kurz den Hintergrund der Entscheidung in Erinnerung: Im Sommer 2020 hat der Europäische Gerichtshof (EuGH) das "Privacy Shield"-Abkommen, das den Transfer personenbezogener Daten in die USA regelte, für mit der EU-Grundrechtecharta unvereinbar und daher für nichtig erklärt. Grund ist, dass IT-Unternehmen wie Facebook oder Google in den USA von US-Geheimdiensten verpflichtet werden können, verarbeitete Daten herauszugeben. Ein Rechtsschutz dagegen besteht für EU-Bürgerinnen und EU-Bürger nicht, sie erfahren auch niemals, ob oder warum ihre in die USA übermittelten Daten abgegriffen wurden.

Kleingeredetes Dilemma

Daraufhin versuchten Unternehmen die Datentransfers über sogenannte Standarddatenschutzklauseln zu regeln. Das sind Musterverträge, in denen sich der US-Datenimporteur verpflichtet, die Daten dem EU-Niveau gleichwertig zu schützen. Dieser Schutz ist aber nicht schon durch den Abschluss der Klauseln gegeben – der EuGH hielt fest, dass zusätzliche Maßnahmen nötig sind, um den Datenabgriff durch US-Geheimdienste zu verhindern.

Das können die Serviceanbieter aber nicht – sie müssen nach US-Recht den geheimdienstlichen Zugriff ermöglichen. Ein Dilemma, das in der Folge kleingeredet wurde. Oft wurde plump behauptet, dass ein Datentransfer nur bei hohem Risiko eines Abgriffs unzulässig sei – obwohl der EuGH keine solche Bedingung ansprach. Die NGO Noyb brachte daher insgesamt 101 Beschwerden gegen EU-Websitebetreiber und gegen Google und Facebook ein.

Die Datenschutzbehörde hielt daraufhin fest, dass es bei der Verwendung von Google Analytics zur Übermittlung eindeutiger Identifikatoren, sogenannter UUIDs, und der IP-Adresse kommt – und dass keine wirksamen Maßnahmen ergriffen wurden, um die Daten vor den Geheimdiensten zu schützen. Der Bescheid bezieht sich zwar nur auf den konkreten Fall, die übrigen Beschwerden dürften aber ähnlich entschieden werden. Denn die Behörden haben sich EU-weit abgestimmt, die Datenschutzbehörde ist keinen Einzelweg gegangen.

Google muss das Problem lösen

Was heißt das nun in der Praxis? Die von Google als Lösung gepriesene IP-Anonymisierung kann das Problem nicht beseitigen, allein schon weil sie die UUIDs nicht mitumfasst. Dennoch kann eine Lösung für das Problem letztlich nur von Google kommen. Das Tech-Unternehmen muss sicherstellen, dass die Daten die EU nicht verlassen und vor dem Zugriff durch US-Geheimdienste geschützt sind.

Hier muss nun darauf geachtet werden, dass Google die Situation nicht verwässert, indem es bloß ein paar kosmetische Anpassungen an seinen Produkten vornimmt und seinen europäischen Kundinnen und Kunden erzählt, alles sei jetzt DSGVO-konform. Das Problem ist erst gelöst, wenn US-Unternehmen wie Google einen Datenschutz sicherstellen, der – wie vom EuGH gefordert – dem "in der Union gewährleisteten Schutzniveau der Sache nach gleichwertig ist". Bis dahin ist es EU-Websitebetreibern anzuraten, auf Tools wie Google Analytics zu verzichten, wenn sie keine Strafe riskieren wollen. Der Datenschutz sollte uns das wert sein. (Marco Blocher, 22.2.2022)

Das Urteil schadet Europa

Siegfried Stepke

Max Schrems’ Verein Noyb hat gegen 101 Websites in ganz Europa wegen der Verwendung von Diensten wie Google Analytics, die Daten in die USA übertragen (könnten), Anzeige erstattet. Die österreichische Datenschutzbehörde (DSB) hat als erste in einem aufsehenerregenden Teilbescheid richtungsweisende Erkenntnisse getroffen: 1.) der Websitebetreiber – und nicht Google – ist verantwortlich; 2.) die mangelhafte Implementierung im konkreten Einzelfall (!) verletzt Datenschutzbestimmungen; 3.) und am brisantesten: Die aktuellen Rahmenverträge zwischen US-amerikanischen und europäischen Unternehmen seien grundsätzlich mangelhaft und gewähren keinen ausreichenden Schutz.

Alles löschen?

Wer nun gegen Google Analytics wettert und dessen sofortige Deaktivierung verlangt, übersieht dabei aber, wie auch Schrems klarstellt, dass diese Erkenntnis konsequenterweise alle Cloud-Dienste betrifft, deren Muttergesellschaft US-amerikanisch ist. Als Privatperson sollten Sie also sofort Linkedin, Facebook, Twitter und Zoom löschen. Ich hoffe, Sie verwenden auch kein auf iOS oder Android basierendes Smartphone! Als Unternehmen verzichten Sie sofort auf Office 365, Salesforce, die Amazon-Cloud-Dienste, Werbung via Google, Facebook & Co – und verlieren damit unmittelbar an Wettbewerbsfähigkeit. Und als Eltern, Lehrende, Schüler oder Schülerin, Studierende fragen Sie sich vielleicht, ob Homeschooling dann überhaupt noch klappen kann. Jetzt merken Sie, wie groß das Problem ist.

Aber Alarmismus hilft nicht. Unternehmen können sich in allen angesprochenen Punkten mit Strategie, Expertise und entsprechenden Maßnahmen schützen: Analytics kann und muss auch konform eingebaut werden; Cloud-Dienste, deren Verschlüsselung sie selbst unter Kontrolle haben, können als ausreichend geschützt eingestuft werden. Dass dies alles viel Know-how und auch Ressourcen fordert, kritisiere ich nicht.

Wohl aber, dass auf den Schultern unserer Wirtschaft ein Konflikt ausgetragen wird, den unsere Politik endlich selbstbewusst und nachhaltig mit den USA zu klären hat.

Nur zahnlose Rahmen

Ja, die USA bieten kein annähernd so gutes Datenschutzniveau wie Europa. Nein, das liegt nicht an ihren Unternehmen, sondern an dem Durchgriffsrecht der Geheimdienste aus dem Patriot Act und ähnlichen Gesetzen. Das können weder Google und Konsorten noch wir als europäische Betroffene lösen. Nach der mutigen, richtungsweisenden Einführung der Datenschutzgrundverordnung darf uns die Kommission nicht allein lassen und nur zahnlose Rahmen schaffen – die eben nun im Urteil als unzureichend eingestuft wurden.

Verunsichert von zuerst durchwegs undifferenzierter Berichterstattung und den lauten Stimmen von zahlreichen "sicheren europäischen Alternativen", die hier ihre kommerzielle Chance wittern und Öl ins Feuer gießen, ist die Angst groß. Uninformierte Unternehmen denken über einen Rückbau nach. Nicht beachtet wird dabei, dass dies immer Einbußen in Funktionalität, Reichweite, Effizienz und damit Wettbewerbsfähigkeit mit sich bringt.

Tun wir alles, damit die Daten unserer Kunden bestmöglich geschützt werden. Und lassen Sie uns damit verantwortungsbewusst, innovativ und kompetitiv wirtschaften. (Siegfried Stepke, 22.2.2022)

Marco Blocher ist Jurist bei Noyb, jener NGO, die der Datenschutzaktivist Max Schrems gegründet hat, um unter anderem Datenschutzgesetze in Europa durchzusetzen.

Siegfried Stepke ist Wirtschaftsinformatiker sowie Gründer und Geschäftsführer der Wiener Digitalagentur e-dialog, die unter anderem im Bereich Digital Analytics und Programmatic Marketing tätig ist. Die Agentur setzt bei Kampagnen für ihre Kundinnen und Kunden auch auf Produkte von Google.

Zum Thema:

M. Blocher, S. Stepke