Der Einsatz von Google Analytics in der EU könnte endgültig gegen die Datenschutzgrundverordnung (DSGVO) verstossen. Der Verein Noyb rund um Max Schrems hatte eine Musterbeschwerde bei der österreichischen Datenschutzbehörde (DSB) eingebracht.
Nach diesem wegweisenden, aber zum jetzigen Zeitpunkt noch nicht rechtskräftigen Urteil würde der Einsatz von GoogleAnalytics in europäischen Websites eine Verletzung der allgemeinen Grundsätze der Datenübermittlung gemäß Art. 44 DSGVO darstellen, da zumindest "eine einzigartige Nutzer-ID-Nummer, IP-Adresse und Browserparameter" an Google übermittelt werden, womit sich ein eindeutiges User-Profil samt verwendeter Geräte- bzw. Router-Adresse (IP) und Browser erstellen lässt. Da der Großteil aller Webseiten innerhalb der EU auf Google Analytics als Statistikprogramm setzt, hat das Urteil weitreichende Folgen.
Die Behörde argumentiert: mit Google abgeschlossene "Standardschutzklauseln" und andere bisher gesetzte Maßnahmen würden kein "angemessenes Schutzniveau" bieten, um die "Überwachungs- und Zugriffsmöglichkeiten durch US-Nachrichtendienste" zu verhindern. Diese Argumentation hat damit jedoch nicht nur Folgen für GoogleAnalytics, sondern jedwede Dienste, bei denen aufgrund ihrer technischen Ausgestaltung ein Zugriff von US-Behörden nicht ausgeschlossen werden kann. Dies betrifft zB. auch
- über GoogleMaps eingebunden Standortkarten,
- Google-Fonts (so sie nicht "lokal" genutzt werden),
- Google's ReCaptcha-Service,
- Cloud-Dienste wie Microsoft's OneDrive oder Dropbox,
- die Google Cloud Platform oder Amazon Web Services oder
- Microsoft Office 365 usw. usf.
und zwar ganz unabhängig davon, ob die für EU-Kunden genutzten Server (angeblich) in der EU stehen. Es zählt alleine die gesetzlich Pflicht für US-Unternehmen, US-Behörden jederzeit Zugriff zu den verarbeiteten Daten zu gewähren (CloudAct), auchg wenn diese auf Servern in anderen Ländern liegen (Foreign Intelligence Surveillance Act - FISA). Dies bestätigt erneut ein Gutachten für die deutsche Datenschutzkonferenz, das der US-amerikanische Jurist Stephen Vladeck, der im Prozess rund um den Privacy Shield Sachverständiger für Facebook war.
Der österreichische Datenschutzaktivist Max Schrems sieht nun v.a. die Technologie-Anbieter wie Google, Microsoft und Co. in der Pflicht, ihre Services endlich so zu gestalten, dass europäische Datenschutzregeln eingehalten werden. Denn immerhin behaupten sie ja, ihre Services seien DSGVO-konform - und als Nutzer muss man dem wohl Vertrauen schenken bzw. hat man kaum eine Möglichkeit, das wirklich eingehend zu prüfen. Google schiebt jedoch erneut die Verantwortung auf die Unternehmen ab, die die Services einsetzen, indem man behauptet , dass die Firmen, welche die Tools einsetzen und nicht Google, kontrollieren, welche Daten gesammelt und wie diese ausgewertet werden - was die Realität geradezu auf den Kopf stellt.
Die Gefahr, dass nun sofort alle Unternehmen in Österreich bestraft werden, die zB. Google Analytics nutzen, sieht Schrems derzeit zwar nicht - u.a. auch wegen der geringen personellen Ressourcen der Behörde. Wahrscheinlicher ist, dass auf europäischer Ebene in absehbarer Zukunft neue Verordnungen und Maßnahmen beschlossen werden. Und auch Google selbst müsste ein Interesse an einer Lösung haben, denn immerhin würde man sonst den unerschöpflichen Datenstrom zur Analyse des weltweiten Internet-Verhaltens verlieren - und damit die Basis der Werbeeinkünfte. Trotzdem wird bis dahin Zeit vergehen und ob es letztlich ein neues Abkommen gibt, ist noch unsicher - man tut als europäischer Website-Betreiber also gut daran, sich an der aktuellen Lage zu orientieren und Alternativen zu suchen.
interact!multimedia bietet den Kunden eine DSGVO-konforme WebAnalytics-Alternative! Basis ist die Open-Source-Webanalytik-Plattform "Matomo" (ehemals "Piwik"). Damit ein Maximum an Datenschutz gewährleistet werden kann, betreiben wir diesen Service für alle unsere Kunden auf einem eigenen Server bei unserem Partner-Hoster in Wien und nicht auf einem Cloud-Server. So gehören diese Daten nur unseren Kunden selbst, sie werden an niemanden weitergegeben und sie verlassen niemals Österreich bzw. die EU. Wir können diesen Service so auch deutlich günstiger realisieren.
Wenn auch Sie an unserer datschutzfreundlichen Webtracking-Lösung interessiert sind: