Ist Google Analytics in Europa illegal?

Image of Iron Brands

Veröffentlicht am 14. Okt. 2022 und bearbeitet am 19. Dez. 2023 von Iron Brands

Google Analytics war in letzter Zeit in den Schlagzeilen der Datenschutznachrichten zu finden. Österreich, Frankreich, Italien, Dänemark und Finnland haben sich gegen Google Analytics ausgesprochen, und auch die norwegische Datenschutzbehörde hat in einem noch nicht abgeschlossenen Verfahren vorläufig gegen Google Analytics entschieden. Die Urteile sind Teil einer koordinierten Anstrengung auf europäischer Ebene und werden schon seit langem vorbereitet.

GA ist das Standard-Analysetool und wird von 55 % aller Websites im Internet verwendet. GA ist seit langem ein Monopolist auf dem Webanalysemarkt, und seine rechtlichen Probleme schlagen Wellen in der europäischen Marketinglandschaft. In diesem Klima der allgemeinen Panik kann es schwierig sein zu verstehen, was die europäischen Behörden genau entscheiden. Ist Google Analytics in Europa wirklich illegal?

  1. Der Hintergrund zu Google Analytics und GDPR
  2. Was haben die Behörden eigentlich gesagt?
  3. Wo ist Google Analytics illegal?
  4. Wo wird Google Analytics noch illegal sein?
  5. Was ist mit dem neuen Rahmen für die Datenübermittlung?
  6. Aktualisierungen
  7. Abschließende Überlegungen
Logo of the Government of the United KingdomThe UK Government chose Simple AnalyticsJoin them

Tauchen wir ein!

Der Hintergrund zu Google Analytics und GDPR

Google Analytics ist in die Kritik geraten, weil es die Übermittlung personenbezogener Daten zur Verarbeitung in die USA erfordert. Datenübertragungen in die USA sind derzeit ein rechtliches Rätsel. Das ist eine lange Geschichte, und Sie können alles darüber hier lesen. Kurz und bündig:

  • Nach dem Schrems-II-Urteil des Europäischen Gerichtshofs müssen Unternehmen bei der Übermittlung von Daten in die USA angemessene Sicherheitsvorkehrungen (gemeinhin als ergänzende Maßnahmen bezeichnet) treffen, um Daten vor staatlicher Überwachung zu schützen.
  • Die Nichtregierungsorganisation noyb hat 101 Beschwerden gegen Google Analytics und Facebook Connect eingereicht, um die europäischen Behörden zu einer strengeren Durchsetzung des Schrems-II-Urteils zu bewegen.
  • Der Rat der Europäischen Aufsichtsbehörden (EDPB) koordinierte die Reaktion auf die Beschwerden auf europäischer Ebene.
  • Mehrere europäische Datenschutzbehörden (DPAs) haben GA aus den jeweiligen Ländern "verbannt"1.

Was haben die Behörden eigentlich gesagt?

Die Beschwerden und Entscheidungen zu Google Analytics sind sehr ähnlich. Sie haben sich bisher folgendermaßen abgespielt:

  • Eine von noyb vertretene betroffene Person machte geltend, dass eine Website, die GA verwendet, ihre personenbezogenen Daten ohne wirksame Garantien in die USA übermittelt hat.
  • Der Inhaber der Website wandte ein, dass die in den GA-Nutzungsbedingungen vorgesehenen Garantien ausreichend seien.
  • Die Datenschutzbehörde untersuchte die Sicherheitsvorkehrungen und kam zu dem Schluss, dass sie gegen staatliche Überwachung unwirksam waren.
  • Die Datenschutzbehörde wies die Website an, die Nutzung von GA einzustellen (oder stärkere Sicherheitsvorkehrungen zu treffen, was jedoch unmöglich ist).

Nach der Rechtssache Schrems II müssen zusätzliche Maßnahmen für Datenübermittlungen von Fall zu Fall bewertet werden. Eine Datenschutzbehörde kann Google Analytics also nicht per se für rechtswidrig erklären, weil theoretisch eine andere Website stärkere Sicherheitsvorkehrungen treffen und GA rechtmäßig verwenden könnte.

Theorie" ist hier das Schlüsselwort. In der Praxis werden die zusätzlichen Maßnahmen von Google ausgewählt und von jedem Unternehmen akzeptiert, das den Standard-Geschäftsbedingungen von GA zustimmt. Da jedes Unternehmen den exakt gleichen Nutzungsbedingungen zustimmt, sind auch die zusätzlichen Maßnahmen immer gleich. Wenn eine Datenschutzbehörde die Maßnahmen in einem bestimmten Fall für unzureichend hält, wird sie dies auch in künftigen Fällen tun, da alle Fälle Kopien voneinander sind.

Aber kann eine Website nicht zusätzlich zu den Maßnahmen von Google auch eigene Maßnahmen ergreifen? Leider kann sie das nicht. Es gibt nur sehr wenige wirksame Schutzmaßnahmen gegen staatliche Überwachung, und keine davon kann für Google Analytics verwendet werden (wir haben in unserem Blog über Datenübertragungen mehr darüber geschrieben). Ein Proxy-Server könnte eine wirksame Lösung sein, aber er schränkt die Analysefähigkeiten von GA stark ein und ist aufwändig zu implementieren.

Fazit: Die Entscheidungen beziehen sich auf bestimmte Websites, aber da alle Websites die gleichen Sicherheitsvorkehrungen verwenden, schafft jede Entscheidung einen allgemeinen Präzedenzfall, der praktisch einem landesweiten Verbot gleichkommt.

Is google analytics illegal in Europe

Wo ist Google Analytics illegal?

Bislang haben drei Datenschutzbehörden gegen GA entschieden: die österreichische DSB, die französische CNIL und die italienische GPDP. Dies bedeutet, dass Google Analytics in Österreich, Frankreich und Italien praktisch verboten ist. Es ist anzumerken, dass die CNIL und die GPDP auf europäischer Ebene recht einflussreich sind: Wenn sie den von der EDPB-Taskforce koordinierten Ansatz übernehmen, werden andere Datenschutzbehörden wahrscheinlich ihrem Beispiel folgen.

Die italienische Situation ist eigenartig. In einer Pressemitteilung nach ihrer ersten Entscheidung gegen GA warnte die italienische Datenschutzbehörde, dass sie die Verwendung von Analysetools (insbesondere GA) für italienische für die Datenverarbeitung Verantwortliche, einschließlich öffentlicher Verwaltungen, weiter untersuchen werde. Darüber hinaus hat die Hacktivistengruppe MonitoraPA (übersetzt: Überwachung der öffentlichen Verwaltung) Tausende von öffentlichen und privaten Unternehmen per E-Mail angeschrieben und sie aufgefordert, die Verwendung von Google Analytics und Google Fonts einzustellen und drohte mit einer Klage bei der Datenschutzbehörde. Die Initiative von MonitoraPA ist etwas umstritten und wird in der italienischen Datenschutzgemeinde und unter Marketingfachleuten breit diskutiert.

In der Praxis ist GA auch in Dänemark verboten. Die dänische Datenschutzbehörde war nicht in die 101 Beschwerden involviert und hat keinen Fall im Zusammenhang mit GA beigelegt. Stattdessen untersuchte sie GA auf eigene Faust, nachdem andere Datenschutzbehörden GA abgelehnt hatten, und erklärte in einer kürzlich veröffentlichten Pressemitteilung, dass GA nicht rechtmäßig verwendet werden kann, wenn keine wirksamen zusätzlichen Maßnahmen ergriffen werden. Das einzige Beispiel, das sie anführten, war ein Verweis auf den Vorschlag der CNIL und des EDPB, einen Proxy-Server einzurichten, um alle personenbezogenen Daten zu anonymisieren. Dies ist sehr komplex und für die meisten Unternehmen unerschwinglich.

Es gibt eine Debatte darüber, ob die Aussagen für jede Version von Google Analytics gelten oder nur für die aktuelle Version (Universal Analytics). Die kurze Antwort lautet, dass sie für jede Google Analytics-Einrichtung oder -Version gelten. Wir haben in diesem Blog ausführlicher darüber geschrieben.

Wo wird Google Analytics noch illegal sein?

Die Beschwerden von Noyb wurden bei allen europäischen Datenschutzbehörden eingereicht. Derzeit sind keine Einzelheiten zu den Beschwerden bekannt, aber wie wir bereits erklärt haben, werden einige Datenschutzbehörden wahrscheinlich dem Beispiel von Österreich, Frankreich und Italien folgen.

In einer Pressemitteilung vom Januar kündigte die niederländische Datenschutzbehörde an, dass sie gegen zwei für die Verarbeitung Verantwortliche wegen der Verwendung von GA ermittelt und möglicherweise im Jahr 2023 gegen GA entscheiden wird. Weitere Einzelheiten zu diesen Fällen sind derzeit nicht bekannt.

Es ist erwähnenswert, dass die irische Datenschutzbehörde einen Beschluss entworfen hat, um die Datenübermittlung von Meta Platform Ireland an Meta in den USA zu unterbinden. Der Entwurf wurde nun dem Europäischen Datenschutzbeauftragten vorgelegt, so dass der Ausgang des Falles noch ungewiss ist. Der Fall betrifft zwar nicht Google, aber die grundlegenden Probleme bei den Datenübermittlungen von Meta entsprechen denen, die von den Datenschutzbehörden in den Beschwerden von noyb analysiert wurden, so dass der Fall einen wichtigen Präzedenzfall für andere Unternehmen, einschließlich Google, darstellen könnte. Ein irischer Präzedenzfall wäre von großer Bedeutung, da viele multinationale US-Tech-Unternehmen europäische Niederlassungen in Irland haben.

Was ist mit dem neuen Rahmen für die Datenübermittlung?

Vor kurzem hat US-Präsident Joe Biden eine Durchführungsverordnung zu den US-Überwachungsprogrammen veröffentlicht . Ziel ist es, die Überwachungspraktiken der USA einzuschränken und einen neuen Rahmen für die Übermittlung von Daten zu schaffen.

Dies ist nicht der erste Rahmen für die Datenübermittlung zwischen den USA und der EU. Es gab bereits zwei ältere Rahmenwerke (Safety Harbor und Privacy Shield), die beide vom EuGH in den Urteilen Schrems I und II wegen Überwachungsbedenken für ungültig erklärt wurden. Der neue Rahmen wird sicherlich vor Gericht angefochten werden, wahrscheinlich von Schrems selbst und noyb. Aus diesem Grund befasst sich die neue Durchführungsverordnung mit den Überwachungspraktiken: Der Präsident versucht, die in der Schrems-II-Entscheidung aufgezeigten Probleme zu beheben, damit der neue Rahmen Schrems III überstehen kann.

Die für die Datenverarbeitung Verantwortlichen werden sich nicht auf den neuen Rahmen für die Datenübermittlung berufen können, solange die Europäische Kommission keinen Angemessenheitsbeschluss erlässt. Dies wird mit ziemlicher Sicherheit geschehen, aber es ist nicht klar, wann - es wird wahrscheinlich mehrere Monate dauern. Entscheidend ist, dass der Angemessenheitsbeschluss eine spätere Schrems-III-Entscheidung überstehen muss, was wir bezweifeln.

Aktualisierungen

Der neue Rahmen für die Datenübermittlung ist auf dem Weg. Im Dezember 2022 veröffentlichte die Europäische Kommission einen Entwurf für einen Angemessenheitsbeschluss. Der Entwurf muss noch von den Mitgliedstaaten angenommen werden. Sobald er angenommen ist, erhalten die USA grünes Licht" als sicheres Ziel für Datenübermittlungen. Trotz der ablehnenden Stellungnahme des EU-Parlaments ist die Annahme des Entwurfs sehr wahrscheinlich - aber auch eine Anfechtung vor dem Europäischen Gerichtshof, wie wir bereits sagten.

Im Juli hat die politische Arbeit rund um den bevorstehenden Rahmen für die Datenübermittlung zwischen der EU und den USA den Trend zu einer strengen Durchsetzung der Datenübermittlungsvorschriften durch die europäischen Behörden nicht gestoppt. Die finnischen und norwegischen Datenschutzbehörden haben ebenfalls gegen Google Analytics entschieden (obwohl die norwegische Entscheidung nur vorläufig ist).

Darüber hinaus verhängte die irische Datenschutzbehörde gegen Meta eine Rekordstrafe in Höhe von 1,2 Milliarden Euro wegen illegaler Datenübermittlungen in die USA und wies das Unternehmen an, die Datenübermittlung für Facebook einzustellen (was die sehr reale Möglichkeit eines Facebook-Blackouts für Europa in den nächsten Monaten mit sich bringt). Die direkte Beteiligung der Europäischen Datenschutzbehörde am Fall von Meta zeigt, dass die Datenschutzbehörden heute mehr denn je eine klare und gemeinsame Position zu Datenübertragungen haben - eine schlechte Nachricht für Google Analytics.

Weitere Informationen über den Fall Meta finden Sie hier.

Abschließende Überlegungen

Zum jetzigen Zeitpunkt ist es schwer zu sagen, wie sich Schrems III entwickeln wird. Die neue Durchführungsverordnung und der mögliche Ausgang von Schrems III werden in den kommenden Monaten ein heißes Thema in der Datenschutzgemeinschaft sein.

Unabhängig davon, ob die Angemessenheitsentscheidung Schrems III überleben wird oder nicht, ist Google Analytics ein in die Privatsphäre eingreifendes Tool. Aus ethischer Sicht sind wir der Meinung, dass Google nicht dazu beiträgt, ein unabhängiges, besucherfreundliches Web zu schaffen. Und warum sollten sie auch? Sie verdienen Milliarden mit Google Analytics.

Das ist der Grund, warum wir Simple Analytics entwickelt haben. Ein Web-Analyse-Tool, das Ihnen die benötigten Einblicke liefert, ohne dass Sie persönliche Daten verfolgen oder sammeln müssen.

Probieren Sie uns aus, wenn Sie ein unabhängiges Unternehmen unterstützen wollen, das versucht, ein besucherfreundliches Web zu schaffen.

#1 Der gpdrhub hat Zusammenfassungen für die österreichischen, französischen und italienischen Entscheidungen.

GA4 ist komplex. Versuchen Sie Simple Analytics

GA4 ist wie im Cockpit eines Flugzeugs zu sitzen, ohne einen Pilotenschein zu haben

14-Tage-Testversion starten