Kategorie Icon Netzwelt

Handlungsempfehlungen zur Nutzung von Google Analytics

Handlungsempfehlungen der Wirtschaftskammer hinsichtlich Google Analytics und der DSGVO.
Mehr erfahren

Handlungsempfehlungen der Wirtschaftskammer hinsichtlich Google Analytics und der DSGVO.
Datum
09.Februar 2022

In den vergangenen Wochen wurde in den Medien mehrfach darüber berichtet, dass die Nutzung von Google Analytics für europäische Website-Betreiber:innen nicht mehr wie bisher möglich ist, ohne Strafen zu riskieren.

Spätestens seit den Artikeln auf ORF.AT oder auf DER STANDARD sprechen wir häufiger mit Kunden darüber, was sie nun tun sollten. Im Beitrag Fragen von Website Betreiber:innen zu Google Analytics und DSGVO finden Sie die häufigsten Fragen unserer Kund:innen zum rechtskonformen Einsatz von Google Analytics.

Selbstverständlich empfehlen wir vor dem Launch eines großen Webprojekts die juristische Prüfung jedes einzelnen Web-Auftritts durch Expert:innen, einige Grundlagen wollte ich mir aber auch selbst aneignen, steht auf meiner Visitenkarte doch Online-Experte.

Mag. Ursula Illibauer von der Wirtschaftskammer war so freundlich (und geduldig), meine Fragen zu diesem komplexen Thema so zu beantworten, dass auch ich als Nicht-Jurist glaube, das Thema verstanden zu haben.

  


 

Update: Der Rechtsanwalt unseres Vertrauens, Stefan Humer, hat gemeinsam mit seinem Kollegen, Philipp Scheuba, die Entscheidung der österreichischen Datenschutzbehörde (DSB) zu Google Analytics in Bezug auf die Übermittlung von Daten analysiert und seine Erkenntnisse in zwei interessanten Fachbeiträgen veröffentlicht:

Gibt es seitens der WKO/Ubit eine Handlungsempfehlung bzgl. der Nutzung von Google Analytics seit der Einstufung als nicht mit der DSGVO vereinbar durch die Datenschutzbehörde?

Antwort WKO:

Unsere Handlungsempfehlung für Unternehmer:innen lautet zu prüfen,

  1. ob Google Analytics (GA) auf der Website eingesetzt wird (viele Betreiber:innen wissen das leider nicht)
  2. ob GA wirklich benötigt wird oder ob ein einfacher gestricktes Analysetool ebenfalls ausreicht (Alternativen wären z. B. Piwik, Matomo, etc.)
  3. wenn GA unbedingt benötigt wird muss jedenfalls
    1. eine Einwilligung für das bloße Setzen des Tools eingeholt werden
    2. die IP-Anonymisierung aktiviert werden
    3. die neuen Standarddatenschutzklauseln abgeschlossen werden (das wird üblicherweise von GA selbst im Rahmen der Nutzungsbedingungen bereit gestellt) und
    4. zusätzliche technische Maßnahmen zur Anonymisierung aktiviert werden, welche GA selbst nicht bereit stellt (hier wird von Technikern serverseitiges Tracking als mögliche Lösung kommuniziert. Der Server darf allerdings nicht wieder auf Seiten Googles liegen, sonst wäre das Problem nur verlagert). 

Offen bleibt, ob eine ausdrücklich Einwilligung zur Datenübermittlung in die USA durch User:innen geholfen hätte, d. h. zusätzlich zu 3.1. wird eine zweite Einwilligung für die Datenübermittlung eingeholt (erste Einwilligung für das Setzen von GA, zweite Einwilligung für die Weitergabe der Daten in die USA). In diesem Fall könnte man sich evtl. Punkt 3.4. (zusätzliche technische Maßnahmen) ersparen.

ABER: Die Datenschutzbehörden haben zu diesem Konstrukt bereits Zweifel geäußert, dass User:innen überhaupt in dieser Breite freiwillig (!) einwilligen können, Daten in ein unsicheres Drittland wie die USA zu übermitteln. Entscheidet man sich dennoch für das 2x-Einwilligungs-Modell muss man sich im Klaren sein, dass es ein Risiko darstellt. D. h. im Klartext: Entweder man investiert in ausreichende technische Maßnahmen oder man geht ein Risiko ein.

Es bleibt die dringende Empfehlung, wenn möglich auf europäische Alternativen umzusteigen und GA nicht zu verwenden, solange Google keine ausreichende DSGVO-Konformität des Tools herstellen kann.

Hat diese Einstufung bereits reale Auswirkungen?

Antwort WKO:

Die Entscheidung der Datenschutzbehörde ist leider eindeutig und wird diese auch klar kommuniziert: dsb.gv.at.

Was ist mit „3.4. zusätzliche technische Maßnahmen“ konkret gemeint?

Antwort WKO:

3.4. ist tatsächlich für den weiteren Einsatz von Google Analytics gemeint. Manche Websitebetreiber:innen wollen keinesfalls andere Anbieter als GA. In diesem Fall müssen alle Informationen, die über das Tool im Netzwerk Googles kombiniert werden könnte, anonymisiert werden, bevor die Informationen an Google übermittelt werden. Technisch empfehlen die meisten Expert:innen „serverseitiges Tracking“, simpel ausgedrückt: Sie schalten eine Art Filter zwischen sich und Google, der die Daten anonymisiert, bevor sie an Google kommen (früher auch Blackbox-Lösung genannt). D. h. die User:innen-Daten werden über die Website erhoben (für das wie bereits ausgeführt die Einwilligung nötig ist), dann werden die Daten anonymisiert und dann erst weitergeleitet.

Nicht perfekt, aber doch recht gut erklärt ist es z. B. hier: https://dr-dsgvo.de/serverseitiges-tracking-was-bedeutet-das-und-wie-sieht-es-mit-dem-datenschutz-aus/. Es gibt auch österreichische Anbieter, welche solche Lösungen (kostenpflichtig) anbieten. 

Der Bescheid der DSB endet mit "Dieser Bescheid ist nicht rechtskräftig." Was bedeutet das, welche praktischen Auswirkungen hat der Bescheid aktuell?

Antwort WKO:

Bescheide der DSB können beim Bundesverwaltungsgericht (BVwG) angefochten werden, was der Bescheidgegner (der Websitebetreiber) auch getan hat, daher ist der Bescheid nicht rechtskräftig. Ob die DSB bei anderen Verfahren abwartet, ist offen. Formal muss sie nicht auf die 2. Instanz warten und kann daher weitere gleichlautende Bescheide ausstellen, wovon auszugehen ist. Es sind auch Strafbescheide möglich – im Übrigen auch in diesem Fall, wir wissen nur noch nicht, ob ein Strafverfahren eingeleitet wurde.

Aufgrund der formal und inhaltlich sehr guten Ausgestaltung des Bescheides wird von Expertenseite zudem nicht davon ausgegangen, dass beim BVwG eine abweichende Entscheidung getroffen wird. Dies auch deshalb, da der Bescheid der DSB auf EU-Ebene im Europäischen Datenschutzausschuss (EDSA) mit den anderen Aufsichtsbehörden abgestimmt wurde und weitere europäische Datenschutzbehörden bereits ähnlich lautende Entscheidungen angekündigt haben. Wir rechnen mit baldigen Veröffentlichung innerhalb der nächsten Tage oder Wochen. Mit der Entscheidung beim BVwG wird nicht vor einem halben Jahr gerechnet werden können.

Würde ich die Entscheidung der DSB inhaltlich in Zweifel ziehen, würde meine Empfehlung lauten, abzuwarten. Das ist allerdings nicht der Fall. Die Entscheidung war plausibel und nicht überraschend, daher rate ich Ihnen bzw. ihren Kund:innen nicht auf die Entscheidung des BVwG zu warten. Die Nutzung von Google Analytics und im Übrigen auch anderer Tools auf Websites (Social Media Verknüpfungen wie Plugins), die einen Datenverkehr in die USA veranlassen, ist bereits seit 2020 und der Entscheidung des Europäischen Gerichtshofs (Schrems II vgl auch https://www.wko.at/service/wirtschaftsrecht-gewerberecht/EU-US-Privacy-Shield.html) offiziell unzulässig geworden und kann nur mehr in Ausnahmefällen gerechtfertigt werden (zur Einwilligung via Cookie-Banner oder 2-Klick-Lösung haben wir bereits geschrieben). Das wurde auch bereits seit 2020 kommuniziert, aber größtenteils ignoriert. Die Entscheidung der DSB ist nun eigentlich nur die formal erste österreichische Entscheidung. In anderen EU-Mitgliedstaaten, wie z. B. Deutschland, ist diese Vorgehensweise bereits Usus. 

Wir bedanken uns bei Frau Mag. Illibauer für die freundliche Unterstützung!

Credits
Mag. Ursula Illibauer
Wirtschaftskammer Österreich
.lowfidelity
HEAVY INDUSTRIES
Zurück zur Übersicht