Einsatz von Google Analytics - Rechtskonform oder Datenschutzverstoß?

10.10.2022 - Datenschutz, Medienrecht, IT-Recht

Als Betreiber einer Webseite sollten Sie möglichst genau darauf achten, datenschutzrechtliche Vorgaben einzuhalten, ansonsten drohen Ihnen nicht unerhebliche Bußgelder. Dabei müssen Sie neben einer DSGVO konformen Datenschutzerklärung viele weitere datenschutzrechtliche Vorgaben bei dem Betrieb Ihrer Website beachten.

 

Regelmäßig werden wir von Mandanten gefragt, ob und wie sie das Analyse-Tool "Google Analytics" auf ihrer Website einsetzen können. Spätestens seit Italien, Frankreich und Österreich den Einsatz von Google Analytics verboten haben, rückt diese Frage auch zunehmend hierzulande in den Fokus. Als erste nationale Aufsichtsbehörde erachtet die österreiche Datenschutzbehörde den Einsatz von Google Analytics auf Webseiten nicht mit den Bestimmungen der DSGVO zur Drittlandübermittlung nach Art. 44 DSGVO vereinbar. Grund dafür ist, dass das Analyseprogramm Google Analytics personenbezogene Daten an den Mutterkonzern Google LLC in die USA weitergibt. 

 

 

Was ist Google Analytics? 

Google Analytics ist ein von dem Unternehmen Google LLC entwickeltes Trackingtool zur Datenverkehrsanalyse von Webseiten. Das Analyse Tool betrachtet dabei insbesondere die Herkunft der Webseiten Besucher, Ihre Verweildauer auf der Webseite, sowie deren Nutzung von Suchmaschinen. Dabei zeichnet Google Analytics je nach Intensität und Ausprägung unterschiedliche Datenkategorien und -mengen ihrer Websitebesucher auf. 

 

 

Wieso ist Goolge Analytics aus datenschutzrechtlicher Sicht problematisch? 

 

Google Analytics setzt Cookies wie bspws: _ga (cid), welche Client IDs enthalten. Daneben setzt Google Analytics auch das Cookie _gid (User IDs) ein. Diese werden auf den Endgeräten oder dem Browser abgelegt. Bei den oben benannten Cookies handelt es sich um Online-Kennung, weshalb Webseiten Besucher konkret zugeordnet werden können und damit als natürliche Personen identifizierbar sind. Neben den von Google Analytics eingesetzten Cookies verarbeitet Google Analytics auch die IP-Adresse. Bei einer IP-Adresse handelt es sich um ein personenbezogenes Datum, insbesondere, wenn diese mit weiteren Elementen bspw. den Online-Kennungen (Google Analytics Kennummern) kombiniert werden können. 

 

 

Ist Google Analytics überhaupt datenschutzkonform einsetzbar? 

 

An dieser Stelle lässt sich die Frage pauschal nicht mit einem vorbehaltlosen ''JA'' beantworten, denn wie so oft - es kommt drauf an!

 

Berücksichtigt man die aktuelle Rechtsprechung des EuGH sind Google und der Google Analytics Anwender gemeinsam für die Datenverarbeitung verantwortlich, weshalb die Anforderungen des Art. 26 DSGVO zu beachten sind. Einen nach § 26 DSGVO erforderlichen Vertrag der gemeinsamen Verantwortlichkeit für die Verarbeitung personenbezogener Daten bietet Google jedoch nicht an. Vielmehr bietet Google lediglich einen Vertrag zur Auftragsverarbeitung, wobei Google in seinen Datenverarbeitungsbedingungen zwischen Verantwortlichen für Messdienste von Google klarstellt, dass für bestimmte Verarbeitungsprozesse Google und der Website-Betreiber nicht gemeinsam verantwortlich sind.  

 

Die österreichischen Bedenken - Google halte kein ausreichendes Schutzniveau gemäß Art. 44 DSGVO ein, können dergestalt Google so nicht mehr vorgehalten werden. Denn Google hat seine Verträge geändert. Bisher wurden die Daten von Webseiten Betreibern direkt zu Google Amerika übermittelt. Nunmehr werden die Daten von dem Webseite Betreiber zunächst nach Google Ireland Limited in Irland übertragen. Dies ist zunächst unproblematisch, weil sich Irland in der EU befindet, weshalb eine Datenübermittlung an ein Drittland nach Art. 44 DSGVO in diesem Moment nicht stattfindet. Die Google Ireland LLC übermittelt die Daten sodann an Google LLC in den USA. Bei dieser Übermittlung handelt es sich wiederum um einen Drittlandtransfer, welcher den Anforderungen nach Art. 45 DSGVO entsprechen muss. 

 

Derzeit ist der Einsatz von Google Analytics aus unserer Sicht problematisch. Möchten Sie trotzdem Google Analytics einsetzen, empfehlen wir Ihnen zumindest die Verarbeitung personenbezogener Daten so weit wie möglich zu beschränken. In diesem Zusammenhang ist die Funktion ,,Google-Produkte und -Dienste'' und die damit einhergehende Datenfreigabe zu beschränken. Daneben empfehlen wir Ihnen die Funktion Google Signale zu deaktivieren.

Google Analytics ermöglicht es zudem jeden Nutzer, die Funktion zur Anonymisierung von IP-Adressen zu aktivieren und daneben die Frist zur Datenaufbewahrung herabzusetzen. Diese Möglichkeiten sollten Sie unbedingt nutzen. 

 

 

Welche Alternativen bestehen zu Google Analytics?

 

Statt dem Einsatz von Google Analytics empfehlen wir Ihnen, sich mit den nachfolgenden Analytics Programmen zu beschäftigen und ggf. eines der nachstehenden Programme dem Einsatz von Google Analytics vorzuziehen: 

 

- Matamoto

- etracker

- Open Web Analytics

- Mixpanel

 

 

Haben Sie weitere Fragen, welche Vorgaben Sie als Betreiber:in einer Webseite einhalten müssen? Kontaktieren Sie uns unverbindlich und wir besprechen alle weiteren Schritte mit Ihnen. 

 

 

 

Rechtsanwältin Dagmara Döll, LL.M

Email: dagmara.doell@rechtsatelier-kanzlei.de

Telefon: +49 221 20194638