Google Analytics und die aktuelle Rechtslage dazu sind in der derzeitigen Situation rund um DSGVO und TTDSG ein viel diskutiertes Thema. Und nicht nur das, die rechtlichen Rahmenbedingungen für den Einsatz von Google Analytics sind an einigen Stellen recht unübersichtlich und befinden sich in ständiger Veränderung. Auf dieser Seite geben wir einen Überblick über die neuesten Entwicklungen zur Nutzung von Google Analytics. Außerdem berichten wir über Urteile zu Google Analytics. Und zwar sowohl von deutschen Gerichten als auch von welchen in anderen EU-Ländern, in denen wie in Deutschland die DSGVO gilt. Und nicht zuletzt haben wir mit trustats eine datenschutzkonforme Alternative in unserem Produktportfolio.
Inhaltsverzeichnis
- Die aktuelle rechtliche Situation von Google Analytics auf einen Blick
- Die Gesetzeslage zu Google Analytics in Deutschland und der EU
- Datenschutzprobleme mit Google Analytics
- Urteile rund um Google Analytics
- Risiken der Nutzung von Google Analytics
- Alternativen zu Google Analytics
- Ausblick zur rechtlichen Lage rund um Google Analytics
- Update Oktober 2022
Mit dem Webanalyse-Tool trustats müssen Sie sich keine Gedanken über eine Datenübermittlung in die USA machen. Denn es ist vollkommen DSGVO-konform. Gerne beraten wir Sie zur rechtlichen Situation von Google Analytics in Deutschland und zu Alternativen.
Die aktuelle rechtliche Situation von Google Analytics auf einen Blick
Kurz zusammengefasst: Es ist kompliziert. Es kann zurzeit keine absolut belastbare Aussage zum Einsatz von Google Analytics getroffen werden. Jedoch ist unserer Einschätzung nach der Einsatz von Google Analytics in der EU zurzeit nicht legal möglich. Auch nicht, wenn Webseiten-User der Verwendung von Google Analytics über eine CMP (Consent Management Platform oder umgangssprachlich auch Cookie Banner) zustimmen. Unsere Einschätzung basiert auf den Gesetzestexten der DSGVO und des TTDSG, den rechtlichen Bedingungen in den USA und aktuellen Urteilen zum Thema in Deutschland und der EU.
Der Einsatz von Google Analytics steht nach EU-Recht und deutschem Recht (DSGVO/TTDSG) in Konflikt mit der rechtlichen Situation in den USA (CLOUD Act/PATRIOT Act).
Unter Umständen kann der Einsatz von Google Analytics allerdings trotzdem gerechtfertigt sein beziehungsweise die Risiken können vertretbar sein. Das letzte richterliche Wort ist in der Sache auch noch nicht gesprochen. Und es ist außerdem davon auszugehen, dass sich an der Gesamtlage in der näheren Zukunft noch etwas ändern wird.
In den folgenden Abschnitten betrachten wir die rechtliche Situation rund um Google Analytics etwas genauer. Es handelt sich dabei um unsere Experteneinschätzung und ausdrücklich nicht um eine rechtliche Beratung. Ob der Einsatz von Google Analytics aus der Sicht Ihres Unternehmens mit der DSGVO und der aktuellen Rechtsprechung vereinbar ist, muss Ihr Datenschutzbeauftragter oder Ihre Rechtsabteilung abschließend klären. Auch die Frage, ob der Nutzen durch den Einsatz von Google Analytics die Risiken hinsichtlich DSGVO rechtfertigt, muss abgewogen werden.
Die Gesetzeslage zu Google Analytics in Deutschland und der EU
In den letzten Jahren hat sich bei der Gesetzgebung in Sachen Datenschutz einiges getan. Und seit 2018 gilt die Datenschutz-Grundverordnung (DSGVO), die im Englischen den Namen General Data Protection Regulation (GDPR) trägt. Seit Dezember gilt nun auch das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG).
DSGVO
Die Datenschutz-Grundverordnung als Verordnung der Europäischen Union gilt seit dem 25. Mai 2018 und regelt die Verarbeitung personenbezogener Daten innerhalb der EU und die Übermittlung von personenbezogenen Daten in Drittländer wie die USA. Kurz vorweg: IP-Adressen sind eindeutig personenbezogene Daten. Das geht spätestens aus Urteilen des Europäischen Gerichtshofs und des Bundesgerichtshofs hervor (Quelle z.B. bundesgerichtshof.de).
Die DSGVO trifft (ganz knapp zusammengefasst) folgende für Google Analytics relevante Bestimmungen:
- Rechtmäßigkeit der Verarbeitung personenbezogener Daten (Artikel 6):
Daraus muss eine Zustimmungspflicht für Google Analytics abgeleitet werden, der Einsatz nach berechtigtem Interesse (Artikel 6 (1)) ist unserer Einschätzung keinesfalls zulässig.
Das liegt daran, dass der eventuell berechtigte Verwendungszweck „Analyse des User-Verhaltens auf der eigenen Webseite/App“ durch Weitergabe der Daten an mit Google Analytics verknüpfte Werbenetzwerke und überhaupt die unübersichtliche Weiterverarbeitung aufgeweicht wird - Grundsätze für die Verarbeitung personenbezogener Daten (Artikel 5):
Daraus muss abgeleitet werden, dass die Verarbeitung der Daten für betroffene Personen nachvollziehbar sein muss und die Daten vor Zugriffen Dritter geschützt sein müssen.
Der erste Punkt ist bei Google Analytics und den verbundenen Werbenetzwerken schwierig. Und der zweite Punkt bekommt für folgenden Sachverhalt dringende Relevanz: - Allgemeine Grundsätze der Datenübermittlung (Artikel 44):
Daraus muss abgeleitet werden, dass eine Übermittlung personenbezogener Daten in die USA nicht zulässig ist, da die Behörden der USA durch CLOUD Act und PATRIOT Act umfassende Möglichkeiten haben, auf durch US-Unternehmen erhobene Daten zuzugreifen. Die Daten sind also nicht mehr nach DSGVO (Artikel 5) geschützt
TTDSG
Das Telekommunikation-Telemedien-Datenschutz-Gesetz ist, vereinfacht gesagt, eine Neufassung des Telemediengesetzes und des Telekommunikationsgesetzes. Es gilt seit 01. Dezember 2021 und passt deren Inhalt an die DSGVO an. Außerdem konkretisiert es einige Formulierungen. Für Google Analytics ist hierbei besonders relevant:
- Technisch nicht notwendige Cookies (oder ähnliche Technologien) sind zustimmungspflichtig
- CMPs können nach §26 eine Zulassung als anerkannter Dienst erhalten, wenn sie bestimmte Anforderungen erfüllen
Das TTDSG verändert die rechtliche Lage rund um Google Analytics nicht grundlegend. Es schafft aber etwas eindeutigere Begrifflichkeiten und konsolidiert die bestehenden Regelungen.
Weitere Begriffe
Neben den oben genannten Gesetzten sind auch noch die folgenden Begriffe hinsichtlich der rechtlichen Lage rund um die Verwendung von Google Analytics interessant und begegnen uns immer wieder.
Das Privacy Shield und sein Vorgänger Safe Harbor waren Absprachen zwischen der EU und den USA, die den Datenaustausch regelten. Allerdings wurden beide (Safe Harbor 2015 und Privacy Shield 2020) vom Europäischen Gerichtshof für ungültig erklärt. Auf beide Abkommen können sich Webseitenbetreiber aus Deutschland und der EU heute also nicht mehr berufen, wenn sie wie bei Google Analytics personenbezogene Daten in die USA übertragen wollen.
Die ePrivacy-Verordnung ist ein Gesetzesentwurf unter anderem für die Regelung personenbezogener Daten in der elektronischen Kommunikation. Aufgrund von verschiedenen Streitpunkten erscheint eine Verabschiedung in näherer Zukunft aber unwahrscheinlich. Die ePrivacy-Verordnung ist derzeit für den Einsatz von Google Analytics also irrelevant.
Standardvertragsklauseln sind eine Möglichkeit, die Übermittlung personenbezogener Daten zwischen Webseiten- und App-Betreibern auf der einen Seite und US-Unternehmen auf der anderen Seite zu regeln, seit Privacy Shield nicht mehr gilt. Allerdings lösen auch Standardvertragsklauseln nicht das Problem des Konflikts zwischen EU- und US-Recht.
Unter Auftragsdatenverarbeitung (ADV) versteht man, wenn die eigenen (personenbezogenen) Daten, also zum Beispiel die Tracking-Daten eines Webseiten- oder App-Betreibers, von einem anderen Unternehmen verarbeitet werden. Ohne, dass dabei der Webseiten- oder App-Betreiber die Datenhoheit über diese Daten verliert. Für Google Analytics ist das nicht relevant, da man nicht der Eigentümer der Daten ist (sondern das ist von vornherein Google). Für Alternativen zu Google Analytics wie trustats und Mapp Intelligence ist das aber relevant.
Optimaler Datenschutz für Ihr Tracking-System und schlanke Google Analytics-Alternative auf Basis von Matomo: trustats. Einsatz nach berechtigtem Interesse und ohne Zustimmungspflicht möglich.
Datenschutzprobleme mit Google Analytics
Oben haben wir es schon kurz angerissen, im Folgenden finden Sie alle Probleme, die beim Einsatz von Google Analytics in Hinsicht auf den Datenschutz auftreten.
Zustimmung zur Datenverarbeitung und Transparenz
Der Einsatz von Google Analytics ist nach DSGVO zustimmungspflichtig. Das heißt, alle User Ihrer Webseiten und Apps, die dem Tracking nicht aktiv zustimmen, gehen Ihnen verloren. Erfahrungsgemäß sind das zwischen 20% und 50%. Da Sie die Datenhoheit an Google abgeben und außerdem die weitere Verwendung der personenbezogenen Daten nicht übersichtlich nachvollziehbar ist, ist ein Einsatz von Google Analytics nach berechtigtem Interesse nicht möglich. Aufgrund der fehlenden Transparenz und Nachvollziehbarkeit der weiteren Verwendung Ihrer Tracking-Daten durch Google ist außerdem zu befürchten, dass der Einsatz von Google Analytics als Ganzes illegal ist.
Übermittlung der Daten in die USA
Da die Daten Ihrer Webanalyse mit Google Analytics in die USA übertragen werden, kann eine Verarbeitung gemäß der durch die DSGVO gesetzlich geltenden Bestimmungen nicht sichergestellt werden. Behörden der USA haben nach CLOUD Act Zugriff auf diese Daten und sie sind damit nicht ausreichend vor Zugriff geschätzt. Die Verwendung von Google Analytics ist also illegal.
Übrigens spielt es keine Rolle, ob Ihr Vertragspartner die Google-Tochter Google Ireland Limited oder Google selbst ist, denn die Daten werden trotzdem in die USA übertragen. Selbst, wenn sämtliche Server in der EU stehen würden und die Datenverarbeitung nur in der EU stattfinden würde, wäre das Problem nicht gelöst. Denn der CLOUD Act räumt den US-Behörden ausdrücklich das Recht ein, auch auf die außerhalb der USA verarbeiteten Daten von US-Unternehmen zuzugreifen.
Nicht nur Google Analytics
Google Analytics ist selbstverständlich nicht der einzige Dienst, der von dieser Problematik rund um DSGVO und Datenschutz betroffen ist. Alle anderen US-Tracking-/Webanalyse-Tools, A/B-Test-Tools und im Grunde auch alle anderen Tools und Dienste von US-Unternehmen wie Microsoft, Apple und so weiter sind davon betroffen. Auf Google Analytics liegt als Branchenführer im Tracking-, Online-Marketing- und Webanalyse-Bereich besonderes Augenmerk. Nicht zuletzt, da auch Google Ads und der Google Tag Manager in diesem Spannungsfeld auftreten.
Mit trustats behalten Sie die Datenhoheit. Keine Übermittlung Ihrer Webanalyse-Daten in die USA und vollständige Transparenz zeichnen das Tracking-Tool aus.
Urteile rund um Google Analytics
Seit die DSGVO gilt, gab es schon eine Reihe von Urteilen, die für den Einsatz von Google Analytics relevant sind.
Urteile zu Google Analytics vor 2022
Am 16. Juli 2020 wurde vom Europäischen Gerichtshof das Urteil gesprochen, das unter dem Namen Schrems II bekannt wurde. Darin wird im Wesentlichen festgehalten, dass eine Übermittlung von personenbezogenen Daten in Drittländer nur dann stattfinden darf, wenn die Bestimmungen der DSGVO eingehalten werden. Die USA gehören ausdrücklich nicht dazu. Dem Urteil folgte die Ungültigkeit von Privacy Shield. Das Urteil ist für Google Analytics deshalb sehr relevant. Quelle: bund.de
Ein Beschluss des Verwaltungsgerichts Wiesabden erklärt die Verwendung der CMP Cookiebot für illegal, da Cloud-Dienste von Google zum Einsatz kommen. Die Server stehen zwar in der EU, es handelt sich aber um ein US-Unternehmen und die Daten sind deshalb aufgrund des CLOUD Acts nicht nach DSGVO geschützt. Der Ausgang des Rechtsstreits ist derzeit offen. Quelle: heuking.de
Urteile zu Google Analytics in 2022
Eine Erklärung der österreichischen Datenschutzbehörde vom Januar 2022 richtet sich konkret gegen den Einsatz von Google Analytics. Laut der Datenschutzbehörde ist der Einsatz von Google Analytics nicht im Einklang mit den Datenschutzbestimmungen der DSGVO möglich. Quelle: noyb.eu
Ebenfalls im Januar 2022 fällt eine solche Entscheidung auch in den Niederlanden. Quelle: werning.com
Das dritte Urteil im Januar 2022 untersagt die Verwendung von Google Fonts. Und zwar kommt das Landgericht München zu dem Schluss, dass die Verwendung von Google Fonts nicht mit der DSGVO zu vereinbaren ist. Das Urteil bezieht sich auf den Einsatz ohne Consent, doch dürfte sich der Einsatz auch mit Consent zur Sachlage mit Google Analytics ähnlich verhalten.
Mitte Februar 2022 entscheidet die französische Datenschutzbehörde, dass der Einsatz von Google Analytics nicht DSGVO-konform ist. Damit ist der weitere Einsatz von Google Analytics in Frankreich illegal. Quelle: heise.de
Exkurs: Auch das jüngste Urteil zum TCF soll hier nicht unerwähnt bleiben. Interessierte finden auf der Seite dataprotectionauthority.be weitere Informationen.
Risiken der Nutzung von Google Analytics
Das Risiko bei der weiteren Verwendung von Google Analytics mit einem optimal abgestimmten Consent Management schätzen wir als mittel bis hoch ein. Auch wenn das letzte Wort noch nicht gesprochen ist und die aktuellen Verfahren noch in Berufung gehen können. Aktuell laufen in verschiedenen EU-Ländern weitere Verfahren.
Ohne Zustimmung ist der Einsatz von Google Analytics selbstverständlich absolut nicht zu empfehlen. Das Risiko ist dabei sehr hoch!
Wie hoch Strafen und Bußgelder ausfallen, ist zum aktuellen Zeitpunkt nicht vorhersehbar. Fälle wie das Urteil zur Verwendung von Google Fonts, das am 20. Januar 2022 gesprochen wurde, lassen aber dringend aufhorchen. Hier lag eine ähnliche Problematik vor und das Gericht sprach dem Kläger immateriellen Schadensersatz zu (Quelle: dejure.org). Es bleibt hier also spannend.
Alternativen zu Google Analytics
Neben Google Analytics gibt es eine Reihe von Tracking-Systemen, die aus DSGVO-Gesichtspunkten in der aktuellen gesetzlichen Situation in Deutschland und der EU deutlich besser geeignet sind. Im Folgenden zeigen wir Ihnen die besten Alternativen zu Google Analytics.
Sorglos und datenschutzkonform: trustats
trustats ist das Web-Analyse-Tool von converlytics. Es ist das datenschutzkonforme Rundum-sorglos-Paket für Ihre Tracking-Daten. Wir übernehmen das Hosting, die Konfiguration und das Reporting auf Wunsch komplett. Und Sie profitieren von aussagekräftigen Daten. Da Sie die Datenhoheit behalten, alle Daten in Deutschland bleiben und der gesamte Tracking-Prozess vollkommen transparent passiert, kann trustats sogar mit berechtigtem Interesse eingesetzt werden. Das heißt, Ihre Datenqualität ist optimal. Probleme wie Datenübermittlung in die USA bestehen mit dieser Tracking-Lösung nicht. Übrigens basiert trustats auf Matomo, einer Open Source-Lösung für die Webanalyse.
Mehr über trustats, das Webanalyse-Tool von converlytics, erfahren Sie auf unserer Seite über trustats.
Selbst machen: Matomo als Google Analytics-Alternative
Das Open Source Tracking-System Matomo können Sie auch komplett selbst aufsetzen. Sie können das Webanalyse-Tool zum Beispiel inhouse hosten oder beim Webhoster Ihres Vertrauens. Sie benötigen also keine ADV (höchstens mit Ihrem Webhoster oder Rechenzentrum), keine Datenübermittlung in die USA und steuern den Zugriff auf alle Daten zu 100% selbst. Gerne beraten wir Sie zum datenschutzkonformen Einsatz von Matomo.
Mehr über Matomo erfahren Sie auf unserer Seite über Matomo.
Europäische Alternativen zu Google Analytics
Mapp Intelligence, das früher Webtrekk hieß, ist ein Premium-Webanalyse-Tool aus Berlin. Zwar gehört Mapp Intelligence inzwischen zu einem US-Unternehmen, agiert als Unternehmen aber autark. Das heißt, Ihre Daten liegen in Deutschland, sie behalten die Datenhoheit und die personenbezogenen Daten sind vor Zugriff der US-Behörden sicher.
Mapp Intelligence ist gemessen an seinem Funktionsumfang und den weitreichenden Filtermöglichkeiten das Webanalyse-Tool der Wahl, wenn Sie besonders tief in Ihre Daten eintauchen wollen.
Ausblick zur rechtlichen Lage rund um Google Analytics
Es bleibt zu hoffen, dass sich die aktuell unübersichtliche und in Hinsicht auf Google Analytics unbefriedigende Lage bald ändert. Zum einen werden uns weitere Gerichtsurteile und Verfahren zeigen, wie das gültige Recht ausgelegt wird. Zum anderen wird abzuwarten sein, was auf politischer Ebene ausgehandelt wird.
Unser Appell geht an die US-Regierung, Unternehmen aus Deutschland und der EU als Bündnispartner sinnvolle Möglichkeiten anzubieten, Dienste und Analytics-Tools von US-Unternehmen wie Google einzusetzen. Je nachdem, welche Entwicklungen es in der politischen Landschaft der USA geben wird und mit welchem zukünftigen Präsidenten der USA die EU dabei verhandelt, ist das Ergebnis natürlich offen. Wir wünschen uns jedenfalls praktikable Rahmenbedingungen, die uns den Einsatz von Google Analytics wieder ermöglichen. DSGVO-konform und mit gutem Gewissen. Denn Google Analytics ist ohne jeden Zweifel ein leistungsfähiges Tool für die Webanalyse.
Update Oktober 2022
Es kommt tatsächlich etwas Bewegung in die Sache und neue Entwicklungen zeichnen sich ab. Der aktuelle Präsident der USA, Joe Biden, hat zuletzt ein Dekret unterzeichnet, das den Weg für ein neues Abkommen zwischen der EU und den USA ebnen soll. Dem gingen lange Verhandlungen voraus. In der EU-Kommission bestehen offenbar begründete Hoffnungen darauf, dass das Abkommen auch vor dem Europäischen Gerichtshof Bestand haben könnte.
Einen ausführlicheren Artikel zu dem Thema finden Sie unter dem folgenden Link: www.handelsblatt.com/politik/international/datenschutz-engere-grenzen-fuer-us-geheimdienste-biden-ebnet-weg-fuer-neues-transatlantisches-datenabkommen/28730054.html