Google Analytics verstößt in Österreich gegen die Datenschutzgrundverordnung
Nutzung von Google Analytics verstößt gegen die Datenschutzgrundverordnung (DSGVO)
Google Analytics ist eines der meistgenutzten Tools zur Analyse des Datenverkehrs von Webseiten. Es zählt zu den sogenannten Trackingtools, die auswerten, was genau Besucher auf einer Webseite machen. Die Verwendung gilt bei Datenschützern als höchst umstritten. Nach einer durch die private Datenschutzorganisation NOYB vorgebrachte Musterbeschwerde entschied die österreichische Datenschutzbehörde (DSB), dass die Nutzung des Tools gegen die Datenschutzgrundverordnung (DSGVO) verstößt.
Zum Hintergrund
Europäische Datenschutzaktivisten streiten seit vielen Jahren mit großen Online-Konzernen, vor allem Google, um den Umgang mit Nutzerdaten. Im Jahr 2020 hatte die Organisation NOYB rund um den Juristen und Datenschutzaktivisten Max Schrems eine Vielzahl an Beschwerden im gesamten europäischen Raum eingereicht. Anlass war seinerzeit ein Urteil des Europäischen Gerichtshofs (EuGH), dessen Richter das bisherige Datenschutzabkommen zwischen Europa und den USA (Privacy Shield) gekippt hatten. Demzufolge ist die Weitergabe von personenbezogenen Daten an Unternehmen in den USA nicht zulässig.
Im aktuellen Fall geht es um das Speichern von Userdaten durch das Tool Google Analytics auf Servern, die in den USA stehen. NYOB verweist mit seiner erneuten Beschwerde auf den wiederholten Verstoß gegen die Datenschutzgrundverordnung. Das unzulässige Speichern durch Google Analytics sei nicht zuletzt deshalb problematisch, weil beispielsweise auch die Geheimdienste in den USA Einblick in die Daten von Usern nehmen können.
Die Reaktion der Datenschutzbehörde
Laut STANDARD vom 13.01.2022 reagierte die DSB zunächst mit einem Teilbescheid, von dem ein österreichischer Verlag, der Google Analytics auf seiner Internetpräsenz verwendet, unmittelbar betroffen ist. Die Datenschutzbehörde sieht hier eine Verletzung der Datenschutzrichtlinien gegeben und benennt konkret mindestens ein eindeutiges Nutzer-Profil, dessen zugehörige ID an Google weitergeleitet wurde. Die ebenfalls mit der Musterbeschwerde verbundene weitreichendere Beschwerde an den Konzern Google selbst wurde hingegen von der österreichischen Datenschutzbehörde abgewiesen.
Der Datenschützer Schrems sieht das Ausmaß insgesamt deutlich umfassender als nur bezogen auf ein einzelnes österreichisches Unternehmen. Gegenwärtig existieren mehr als 100 weitere vergleichbare Musterbeschwerden, bei denen eine ähnliche Reaktion der Behörden zumindest zu erwarten ist. Es handelt sich bei allen Fällen um das Speichern und die damit verbundene Übermittlung von personenbezogenen Daten an Anbieter in den USA. Von einem Verstoß gegen die DSGVO ist entsprechend auch hier auszugehen.
Wegweisend im Umgang mit Google
Die Datenschutzaktivisten verstehen den Teilbescheid der DSB als klares Signal, das sich im Prinzip direkt an den Konzern Google richtet. Die Schutzmaßnahmen, die der Konzern verwendet, um die Möglichkeit des Zugriffs und der Überwachung durch die Nachrichtendienste der USA zu verhindern, reichen gegenwärtig nicht aus. Dies ist deutlich im Kontext des österreichischen Unternehmens zu erkennen, dessen Userprofile nicht geschützt, sondern durch Google Analytics an Server in den USA übermittelt wurden. Zu den weitergeleiteten Daten gehörten dabei die IP-Adresse der betroffenen Nutzer, die von ihnen verwendeten Browser beim Besuchen der Webseite und auch das konkrete Device, das beim Aufruf der Seite verwendet wurde.
Die Argumente von Google
Google selbst betrachtet seine Maßnahmen grundsätzlich als ausreichend im Kontext der Datenschutzgrundverordnung. Der Konzern gibt an, alle Vorkehrungen ergriffen zu haben, die vor dem Hintergrund der sogenannten Standardschutzklauseln erforderlich sind. Dazu zählen unter anderem Regelungen technischer und organisatorischer Art (TOMs) sowie konsequentes Überprüfen von Anfragen durch Behörden und die Anwendung von Techniken zur Verschlüsselung. Die DSB teilt in ihrer Bewertung mit, dass diese Maßnahmen im weitesten Sinn keinen Nutzen haben gegenüber den Anfragen von polizeilichen Behörden und den Geheimdiensten der USA.
maxonline Resümee
Ich persönlich sehe die Sachlage im Moment eher gelassen. Alle maxonline Kunden genießen den Schutz des DSGVO Cookie-Banner. Sofern Google Analytics überhaupt verwendet wird, wird auch der Website Besucher ausdrücklich darauf hingewiesen. Somit kann der Website Besucher dieses Cookie auch deaktivieren und Google Analytics unterbinden.
Ob sich Google nun selbst zu dem Thema weiter äußert und Änderungen der Datenschutzaktivisten umsetzt, bleibt im Moment abzuwarten. Ich werde das Thema weiter verfolgen, und Sie auf dem Laufenden halten.