Kategorie Icon Netzwelt

Fragen von Website Betreiber:innen zu Google Analytics und DSGVO

Laut Bescheid der Datenschutzbehörde (DSB) ist die rechtskonforme Nutzung von Google Analytics nicht möglich.
Mehr erfahren

Laut Bescheid der Datenschutzbehörde (DSB) ist die rechtskonforme Nutzung von Google Analytics nicht möglich.
Autor
lowfidelity
Datum
03.Februar 2022

Spätestens seit der Standard in einem ausführlichen Artikel über die Unvereinbarkeit von Google Analytics und der europäischen Datenschutz-Grundverordnung (DSGVO) berichtet hat, landen gehäuft Anfragen von Website Betreiber:innen auf meinem Tisch, mit der Frage, wie das Tracking der Nutzer:innen in Zukunft rechtskonform durchgeführt werden kann.

 

Fragen von Website-Betreiber:innen zum Google Analytics Bescheid der DSB:

  • Worum geht es in diesem Urteil überhaupt?
  • Gilt der Bescheid bereits? Riskieren wir Strafen?
  • Betrifft es unsere Website auch?
  • Müssen wir etwas tun und wie lange haben wir dafür Zeit?
  • Kann Google Analytics weiterhin (rechtskonform) genutzt werden?
  • Welche Alternativen gibt es zu Google Analytics und wie viel kostet es uns?

 

Um diese Fragen von Website-Betreiber:innen zu klären, haben wir bei befreundeten Agenturen nachgefragt, wie ihre Kunden damit umgehen und eine Handlungsempfehlung der Wirtschaftskammer zum Thema eingeholt. Frau Mag. Illibauer von der Bundessparte Information und Consulting der WKO, war so freundlich, uns bei allen rechtlichen und technischen Fragen mit ihrer Expertise zur Seite zu stehen. Vielen Dank dafür!

Weiterführende Informationen und Details dazu finden Sie in unserem Beitrag Handlungsempfehlungen zur Nutzung von Google Analytics.

Fragen und Antworten zum Bescheid der Datenschutzbehörde

Worum geht es in diesem Urteil überhaupt?

Konkret geht es um einen Bescheid der österreichischen Datenschutzbehörde, den sie Anfang 2022 prominent auf ihrer Startseite veröffentlicht hat. Darin heißt es: „Die Datenschutzbehörde hat daher mit Bescheid festgestellt, dass Website-Betreiber das Tool Google Analytics [...] nicht in Einklang mit der DSGVO einsetzen können.“

Der Bescheid basiert auf einer Entscheidung des Europäischen Gerichtshofs (Schrems II) aus dem Jahr 2020. Die WKO informierte darüber in einer Aussendung: EuGH: EU-US-Privacy Shield ungültig.

Gilt der Bescheid bereits? Riskieren wir Strafen?

Laut Rechtsexpertin der WKO/UBIT, wurde der Bescheid beim Bundesverwaltungsgericht angefochten und ist daher noch nicht rechtskräftig. Die DSB muss jedoch nicht auf die Entscheidung der zweiten Instanz warten und könnte bereits jetzt Strafbescheide ausstellen.

Betrifft es unsere Website auch?

Wahrscheinlich ja. Jedenfalls dann, wenn Sie Google Analytics auf Ihrer Website im Einsatz haben. Aber auch dann, wenn Sie z. B. Kontaktformulare auf Ihrer Website mit sogenannten Captchas schützen, oder Tracking Pixel für Google, Facebook & Co. in Ihrem Internetauftritt nutzen (Retargeting). 

table 01

Müssen wir etwas tun und wie lange haben wir dafür Zeit?

Da der vorliegende Bescheid formal und inhaltlich sehr gut ausgestaltet ist, gehen Expertinnen und Experten nicht davon aus, dass in der nächsten Instanz eine andere Entscheidung getroffen wird.

Die Handlungsempfehlung der WKO lautet daher ganz konkret, nicht die Entscheidung des BVwG abzuwarten, sondern sofort alternative Lösungen zu suchen.

Mit der Entscheidung des europäischen Gerichtshofes von 2020 kann z. B. Google Analytics ohnehin nur noch in Ausnahmefällen eingesetzt werden. Das wurde bislang in vielen Fällen nicht wahrgenommen. Die Entscheidung der DSB sieht Mag. Illibauer nun als „formal erste österreichische Entscheidung“ und sie führt dazu weiter aus, „In anderen EU-Mitgliedstaaten, wie z. B. Deutschland, ist diese Vorgehensweise bereits Usus.“

table 02

Kann Google Analytics weiterhin (rechtskonform) genutzt werden?

Ja, aber ... 

Für Unternehmen, die stark von Werbung auf Google und in sozialen Netzwerken abhängig sind, gibt es Möglichkeiten, Google Analytics weiterhin zu nutzen. Damit sind jedoch ein gewisser technischer Aufwand und entsprechende Kosten verbunden. Es genügt nicht, lediglich im „Cookie Banner“ darauf hinzuweisen, sondern Website-Betreiber:innen müssen technische Vorkehrungen treffen, um zu verhindern, dass Daten ihrer Besucher:innen (und hier genügt bereits die IP-Adresse) außerhalb der EU verarbeitet werden. 

Siehe dazu „Handlungsempfehlungen der Wirtschaftskammer“.

table 03

Welche Alternativen gibt es zu Google Analytics und wie viel kosten diese?

Ja, es gibt Alternativen. Keine mir bekannte Variante ist jedoch eine Plugin-Lösung, die das, was bisher von Google Analytics geleistet wird, durch einen simplen Klick vollständig ersetzen kann.

Um die Preis-Frage beantworten zu können, müssen wir zunächst prüfen, welche Anforderungen die jeweilige Website an die Auswertung der Besucherströme hat. Die Möglichkeiten reichen vom Verzicht des Trackings, über das Tracken der Besucher am eigenen Server innerhalb der EU bis hin zu einem Umweg, der weiterhin Daten an Google Analytics schickt, diese jedoch anonymisiert, bevor die Daten bei Google einlangen.

Kontaktieren Sie uns, um gemeinsam mit uns eine individuelle Lösung für Ihre Online-Präsenz zu finden.

Die Datenschutzbehörde hat daher mit Bescheid festgestellt, dass Website-Betreiber das Tool Google Analytics [...] nicht in Einklang mit der DSGVO einsetzen können.dsb.gv.at

Wie gehen andere damit um?

Von einem kurzen Rundruf bei befreundeten Agenturen und Entwickler:innen hatte ich mir etwas Klarheit erhofft. „Wie geht ihr jetzt mit Google Analytics um?“, war meine Frage. Die Palette der Antworten war so wenige hilfreich wie sie vielfältig war. Von: „Was ist denn mit Google Analytics schon wieder?“, oder, „wir schalten Analytics einfach aus, die Betreiber nutzen es eh nicht", über, „wir passen unsere Cookie und Tracking Banner entsprechend an und bleiben bei Google“, bis hin zu, „wir steigen auf ein anderes System, das DSGVO-konform ist, um“, war alles dabei.

Die häufigste Antwort aber war eine vielleicht typisch österreichische: „Schau ma mal, ob des überhaupt so kommt“, was wohl damit gleichzusetzen ist, dass man nicht vor hat, überhaupt etwas zu tun. Was angesichts dessen, dass es sich hier um laufende Verfahren und nicht rechtskräftige Bescheide handelt, vielleicht auch ein legitimer Ansatz ist.

Frau Mag. Illibauer von der WKO empfiehlt aber klar, bereits jetzt Schritte zu setzen. Ob der Bescheid in der nächsten Instanz gekippt wird, hält sie für eher nicht wahrscheinlich.

IST NUR GOOGLE ANALYTICS BETROFFEN?

Nein, auch wenn sich aktuelle Medienberichte darauf konzentrieren, dürfte sich auch eine Reihe anderer Dinge, die längst zum Alltag von Website-Betreiber:innen geworden sind, in absehbarer Zeit ändern.

Indirekt betroffen von diesem Bescheid der DSB und dem zu Grunde liegenden Urteil ist bei Weitem nicht nur Google, sondern alle Unternehmen, die Daten außerhalb der EU verarbeiten.

Auch nicht nur das „Verfolgen“ von Benutzer:innen über z. B. Google Analytics ist ein Thema dieses Rechtsstreits. Es sind auch viele, für Besucher:innen „unsichtbare“, Vorgänge wie die Nutzung eines CDNs für die rasche Auslieferung von Bildern und kleinen Funktionen einer Website, oder das Einbinden von Kalendern oder Schriftarten, wie es z. B. von Google oder Adobe angeboten wird.

Rückzug der Sozialen Netzwerke?

Nicht zuletzt die großen sozialen Netzwerke werden sich in den kommenden Monaten und Jahren mit diesem Thema intensiv beschäftigen müssen. Eine gängige Praxis in der Online-Werbung ist sogenanntes Retargeting. Websites nutzen „unsichtbare“ Tracking-Pixel, um Besucher zu dentifizieren. Dabei werden, ähnliche Daten, wie die von Google Analytics erhobenen, oftmals außerhalb der EU verarbeitet.

Welche Wellen das Thema in der Branche schlägt, wird klar, wenn vor wenigen Tagen der US-Konzern Meta, vormals Facebook, verlautbart, sich aus dem europäischen Markt zurückziehen zu müssen, wenn es nicht mehr möglich sei, Daten von europäischen Nutzer:innen in US-Rechenzentren zu übertragen.

Persönlich kann ich mir nur schwer vorstellen, dass sich ein Weltkonzern den gesamten europäischen Markt alternativlos durch die Finger gehen lassen wird und deute daher die Reaktionen von Zuckerberg & Co. als ein Säbelrasseln. Sollten sich diese Portale aber all meiner Erwartungen zum Trotz wirklich aus Europa zurück ziehen, könnte das sogar eine Chance sein, ein europäisches Social-Media-Ökosystem aufzubauen. Ein System, das nach europäischem Recht tickt.  

Und was ist der nächste Schritt?

Kontaktieren Sie uns!

Bitte wenden Sie sich an Ihren Kundenbetreuer. Gemeinsam finden wir eine individuelle Lösung für Ihren Webauftritt.

Credits
.lowfidelity
HEAVY INDUSTRIES
Zurück zur Übersicht