Datenschutz-Albtraum: Die dunkle Seite von Google Analytics

In einer zunehmend digitalisierten Welt gewinnt der Schutz personenbezogener Daten immer mehr an Bedeutung. Datenschutzverletzungen und der Missbrauch sensibler Informationen haben das Vertrauen in Online-Dienste erschüttert.

Die EU-Datenschutz-Grundverordnung (DSGVO) hat strenge Regeln für die Verarbeitung personenbezogener Daten eingeführt und verlangt von Unternehmen und Website-Betreibern, den Datenschutz ihrer Nutzer zu gewährleisten.

In diesem Zusammenhang werfen wir einen genaueren Blick auf eine der am weitesten verbreiteten Tracking-Plattformen: Google Analytics, und hinterfragen, ob sie den geltenden Anforderungen an Datenschutz und Datensicherheit gerecht wird.

Google Analytics ist zweifellos eines der beliebtesten Analysetools, das von Millionen von Website-Betreibern auf der ganzen Welt genutzt wird. Die von Google bereitgestellte Plattform verspricht umfassende Einblicke in das Besucherverhalten, die Nutzungsdaten und die Leistung einer Website. Es bietet scheinbar unerschöpfliche Möglichkeiten, das Online-Verhalten der Zielgruppe zu verstehen und die Website zu optimieren.

Doch während sich viele auf die wertvollen Daten verlassen, die Google Analytics liefert, gibt es eine finstere Seite, die mit ernsthaften Datenschutzbedenken einhergeht.

Angesichts der wachsenden Sensibilität für Datenschutz in der digitalen Ära stellt sich die zentrale Frage, ob Google Analytics tatsächlich den datenschutzrechtlichen Bestimmungen entspricht.

Die Analyseplattform erfasst eine breite Palette von Nutzerdaten, darunter IP-Adressen, Standortdaten, Geräteinformationen und sogar Verhaltensmuster der Website-Besucher. Einige dieser Informationen können als personenbezogen eingestuft werden und unterliegen daher den strengen Schutzvorschriften der DSGVO.

Wir tauchen tief in die Funktionsweise von Google Analytics ein, um zu untersuchen, ob die Plattform den rechtlichen Anforderungen gerecht wird oder ob sie in die gefürchtete Grauzone des Datenschutzrechts fällt.

Eine der zentralen Datenschutzproblematiken von Google Analytics liegt in der Datenverarbeitung in unsicheren Drittstaaten, insbesondere in den USA.

Hier herrscht ein geringeres Schutzniveau für personenbezogene Daten im Vergleich zur EU. Die europäische Datenschutz-Grundverordnung (DSGVO) legt jedoch fest, dass personenbezogene Daten nur in Ländern verarbeitet werden dürfen, die ein angemessenes Datenschutzniveau gewährleisten.

Das Privacy Shield-Abkommen zwischen der EU und den USA, das als Mechanismus zur Legalisierung der Datenübertragung diente, wurde jedoch für ungültig erklärt. Das wirft die Frage auf, ob die Datenübertragung nach den EU-Standardvertragsklauseln noch datenschutzkonform ist oder nicht.

Der Cloud Act sowie weitere amerikanische Gesetze (etwa EO12333, FISA 702) geben amerikanischen Behörden weit reichende Befugnisse, die nicht mit der DSGVO in Einklang zu bringen sind.

Die kurze Antwort lautet: Nein. Die EU-Standardvertragsklauseln beseitigen nicht alle Datenschutzbedenken von Google Analytics. Sie stellen lediglich einen rechtlichen Rahmen dar, der es ermöglichen könnte, personenbezogene Daten zu übertragen. Sie dienen als Standardverträge, die zwischen dem Datenexporteur (z. B. Website-Betreiber in der EU) und dem Datenimporteur (z. B. Google Analytics in den USA) abgeschlossen werden, um die rechtlichen Anforderungen der DSGVO für die Datenübertragung zu erfüllen.

Bei Google Analytics ist es wichtig zu verstehen, dass der Website-Betreiber nicht direkt für die Dienstleistung bezahlt (Google Analytics kostenlos).

Was häufig übersehen wird, ist der Deal, der hinter diesem kostenlosen Dienst steht: Die Nutzerdaten werden zu einem zentralen Bestandteil des Geschäftsmodells von Google Analytics. Die Daten, die durch das Tracking der Website-Besucher erfasst werden, ermöglichen es Google, wertvolle Informationen über das Nutzerverhalten, die Interessen und die Vorlieben zu sammeln.

Diese aggregierten Nutzerdaten werden anschließend für verschiedene Zwecke genutzt, darunter personalisierte Werbung, Verbesserung der eigenen Produkte und Dienstleistungen, Marktanalysen und mehr. Die Daten werden auch dazu verwendet, um Anzeigenkunden zielgerichtete Werbung zu bieten, die auf den Interessen und dem Verhalten der Nutzer basiert.

Der Website-Betreiber gibt also die personenbezogenen Daten seiner Kunden preis, oftmals sogar ohne deren Zustimmung, im Tausch gegen eine kostenlose Webanalyse. Die moralische Beurteilung dessen überlassen wir an dieser Stelle dem Leser.

Das Anzeigen eines Cookie-Banners allein kann die Verarbeitung personenbezogener Daten in unsicheren Drittländern wie den USA nicht automatisch legitimieren.

Selbst mit Zustimmung des Benutzers durch Klick auf den Akzeptieren-Link in einem Cookie-Consent-Banner, bleibt die Verarbeitung der Daten in einem unsicheren Drittland illegal im Sinne der DSGVO. Insofern hat die Verwendung eines Cookie-Banners hier für den Website-Betreiber keinerlei Wirkung.

Manche Anbieter oder Agenturen befürworten bzw. bewerben eine legale Verwendung von Google Analytics, in dem Cookies deaktiviert werden. Das ist irreführend, denn das Problem wird damit gar nicht behoben. Das Deaktivieren von Cookies löst allenfalls ein anderes Problem, aber nicht die Verarbeitung der Daten in einem unsicheren Drittland. Durch die Deaktivierung der Cookies ändert sich nicht der Standort des Rechenzentrums und auch nicht der Standort des Firmensitzes von Google in den USA, wobei genau das der ausschlaggebende Faktor ist.

Ohne den Einsatz von Cookies besteht zwar die Möglichkeit, dass eine ausdrückliche Einwilligung der Nutzer für die Datenverarbeitung über ein Cookie-Consent-Banner nicht erforderlich ist. Allerdings ist bei Google-Produkten im Allgemeinen die Gefahr der Intransparenz gegeben. Dadurch läge ein Verstoß gegen Artikel 12 der Datenschutz-Grundverordnung (DSGVO) vor, der die Informationspflichten der verantwortlichen Stelle regelt.

Abschließend kann festgehalten werden, dass das Ausschalten von Cookies oder auch die Einholung einer Zustimmung zur Cookie-Verarbeitzng durch Anzeige ein Cookie-Banners keinerlei Wirkung hat und nichts zur Lösung des Problems beiträgt. Dies ist in eindeutigen Urteilen bestätigt worden. Die französische Datenschutzbehörde hat Google Analytics für generell rechtswidrig erklärt. Auch die Datenschutzbehörde aus Österreich hält fest, dass der Einsatz des Tools alleine wegen des Datentransfers in die USA nicht erlaubt ist. Dem schließen sich weitere Datenschutzbehörden an, zum Beispiel aus den skandinavischen Ländern, die kürzlich das deutsche Unternehmen Tele2 zu einer empfindlichen Geldstrafe in Höhe von 1 Mio. Euro verurteilt haben. Auch die Niederlande haben angekündigt, einen Beschluss wegen Google Analytics zu erlassen.

Links:

Art. 12 DSGVO
https://dsgvo-gesetz.de/art-12-dsgvo/

Tele2 muss eine Million Euro zahlen wegen Google Analytics
https://www.heise.de/news/DSGVO-Strafe-Tele2-muss-eine-Million-Euro-zahlen-wegen-Google-Analytics-9207153.html

Trotz der klaren datenschutzrechtlichen Anforderungen und Bedenken gibt es zahlreiche Website-Betreiber und Unternehmen, die Google Analytics weiterhin ohne eine explizite Einwilligung ihrer Nutzer einsetzen. Dies führt zu einer problematischen Grauzone, da die Datenverarbeitung in solchen Fällen eigentlich untersagt ist. Die DSGVO verlangt eine rechtskonforme und transparente Verarbeitung personenbezogener Daten, insbesondere wenn es um die Nutzung von Analysetools geht, die tiefe Einblicke in das Verhalten der Nutzer ermöglichen.

Ein Schlüsselfaktor dieser Grauzone liegt oft in der Annahme, dass die Datenverarbeitung durch Google Analytics auf "berechtigten Interessen" basiert und somit eine Einwilligung nicht erforderlich ist. Doch die Auslegung dieses Begriffs ist komplex und umstritten. Die Datenschutzbehörden haben betont, dass die bloße Bequemlichkeit oder das Interesse an der Verbesserung der Website keine ausreichende Rechtfertigung für die umfassende Datenerfassung darstellt.

Tatsächlich sind bereits mehrere Fälle bekannt, in denen Datenschutzbehörden Geldstrafen gegen Unternehmen verhängt haben, die Google Analytics ohne eine korrekte Einwilligung ihrer Nutzer einsetzten. Die Bußgelder können erheblich sein und stellen eine ernsthafte Warnung für alle Website-Betreiber dar, die weiterhin in dieser Grauzone operieren.

Aus wettbewerbsrechtlicher Sicht kann eine solche Situation als problematisch angesehen werden. Wenn einige Unternehmen Google Analytics ohne eine explizite Einwilligung ihrer Nutzer verwenden und dadurch von umfangreichen Datenerfassungsmöglichkeiten profitieren, während andere Unternehmen aufgrund einer korrekten und aufwändigen Einwilligung ihrer Nutzer benachteiligt werden, kann dies zu Wettbewerbsverzerrungen führen.

Es besteht das Risiko einer Abmahnung, wenn Unternehmen Google Analytics oder ähnliche Analysetools ohne die erforderliche rechtskonforme Einwilligung ihrer Nutzer verwenden. Die Datenschutz-Grundverordnung (DSGVO) und nationale Datenschutzgesetze in vielen Ländern, einschließlich der EU-Mitgliedstaaten, setzen klare Anforderungen an den Schutz personenbezogener Daten und die Einholung einer informierten und expliziten Einwilligung für die Verarbeitung solcher Daten.

Wenn ein Unternehmen gegen diese datenschutzrechtlichen Bestimmungen verstößt, indem es Google Analytics ohne eine korrekte Einwilligung einsetzt, kann dies von Wettbewerbern, Verbraucherschutzorganisationen oder betroffenen Nutzern gemeldet werden. Datenschutzbehörden sind befugt, Verstöße gegen die DSGVO zu untersuchen und bei Feststellung eines Verstoßes empfindliche Geldstrafen zu verhängen.

Die Datenschutzbehörden nehmen Verstöße gegen die Datenschutzbestimmungen, insbesondere in Bezug auf die Nutzung von Google Analytics ohne angemessene Einwilligung, ernst. Dies zeigt sich in den teils sehr hohen Geldstrafen, die bereits gegen Unternehmen verhängt wurden, die gegen die datenschutzrechtlichen Vorschriften verstoßen haben.

Diese Geldstrafen dienen nicht nur als Abschreckung, sondern auch als klare Botschaft an Unternehmen und Website-Betreiber, die Privatsphäre ihrer Nutzer zu respektieren und die Datenschutzbestimmungen einzuhalten. Sie verdeutlichen, dass Verstöße gegen die DSGVO und andere Datenschutzgesetze nicht toleriert werden und dass die Datenschutzbehörden bereit sind, Maßnahmen zu ergreifen, um die Rechte der Verbraucher zu schützen.

Die Höhe der Geldstrafen kann erheblich sein und stellt für Unternehmen nicht nur finanziell, sondern auch reputativ eine erhebliche Belastung dar. Abgesehen von den finanziellen Konsequenzen können Geldstrafen auch zu einem Vertrauensverlust bei Kunden und Geschäftspartnern führen, was langfristige Auswirkungen auf das Unternehmen haben kann.

Deshalb empfehlen wir, dass Unternehmen die Bedeutung des Datenschutzes ernst nehmen und sicherstellen, dass die Datenschutzbestimmungen eingehalten werden. Das Risiko empfindlicher Geldstrafen sollte nicht unterschätzt werden. Wir empfehlen auch, sich regelmäßig über die aktuellen datenschutzrechtlichen Anforderungen zu informieren und gegebenenfalls professionelle Beratung einzuholen, um potenzielle rechtliche Probleme zu vermeiden.

Glücklicherweise gibt es mittlerweile verschiedene Analysetools auf dem Markt, die den Schutz der Privatsphäre der Nutzer besser berücksichtigen und dennoch wertvolle Einblicke in das Nutzerverhalten liefern können.

Fathom ist ein einfaches und transparentes Analysetool, das sich auf die wesentlichen Metriken konzentriert, ohne personenbezogene Daten zu speichern. Es verwendet keine Cookies und erfasst nur aggregierte Informationen, die die Privatsphäre der Nutzer respektieren. Fathom ist besonders für Unternehmen geeignet, die eine minimalistische Analyse ohne komplexe Datenerfassung wünschen.

Nachteilig ist, dass Fathom kein Open Source ist, sondern ein geschlossenes Produkt. Der Anbieter ist ein kanadisches Unternehmen. Erneut werden also Daten ins Ausland übertragen (mit Kanada aber immerhin ein sog. sicheres Drittland).

Plausible ist ein weiteres datenschutzorientiertes Analysetool, das keine personenbezogenen Daten sammelt oder Cookies verwendet. Es konzentriert sich auf die wichtigsten Kennzahlen und bietet dennoch nützliche Einblicke in das Besucherverhalten, um Unternehmen bei der Verbesserung ihrer Website-Performance zu unterstützen.

Der Sitz des Unternehmens ist in der europäischen Steuer-Oase Estland und unterliegt damit selbst den europäischen Datenschutzgesetzen.

Matomo ist eine beliebte Open-Source-Alternative zu Google Analytics, die es Unternehmen ermöglicht, die Analyse ihrer Website selbst zu hosten. Dadurch behalten sie die volle Kontrolle über die gesammelten Daten und können sicherstellen, dass alle Datenschutzvorschriften eingehalten werden.

Matomo bietet ähnliche Funktionen wie Google Analytics und ermöglicht die Erfassung von Besucherstatistiken, Konversionen und mehr, ohne personenbezogene Daten an Dritte weiterzugeben.

Es bietet darüber hinaus weitere Vorteile:

• Übernahme der Daten aus Google Analytics
• Tag Manager
• Zusammenarbeit mit Google Ads und anderen Werbediensten

Darüber hinaus können mit Matomo auch Events aus Anwendungen protokolliert werden, z.B. um die Nutzung von Kundenbereichen oder Mitarbeiterportalen zu analysieren. Dabei gehören die Daten stets dem Website-Betreiber selbst und werden niemals mit Dritten geteilt. Alle Aspekte des Datenschutzes können damit eingehalten werden.

Die Verwendung von Google Analytics ist DSGVO-konform nicht möglich.

Die Verwendung eines Cookie-Consent-Banners, um eine Zustimmung zur Datenverarbeitung beim Benutzer einzuholen, ändert an diesem Umstand nichts.

Viele Unternehmen verwenden noch Google Analytics und sind sich der weiteren Umstände nicht bewusst. Jedoch kann sich kein Unternehmen mehr darauf berufen, es nicht besser gewusst zu haben. Die Rechtssprechung ist seit einigen Jahren eindeutig.

Es exisitieren alternative Lösungen, die keine Nachteile mit sich bringen. Im Gegenteil, die Daten der eigenen Kunden oder Mitarbeiter nicht mit fremden Dritten zu teilen, die darauf ihr eigenes Geschäftsmodell fußen, erachten wir als einen riesengroßen Vorteil. Immer mehr Unternehmen setzen auf solche Lösungen im Hinblick auf einen respektvollen Umgang mit den Daten der eigenen Kunden.