Mit den Entscheidungen der französischen und österreichischen Datenschutzbehörden ist der Einsatz der beliebten Web-Analytics-Lösung von Google Analytics unmöglich. Zudem gab es bereits früher eindeutige europäische Urteile, der Einsatz war seit jeher stark bedenklich. In diesem Blogartikel möchte ich Alternativen aufzeigen.
Ausgangslage: Datenschutz in Europa
Seit vielen Jahren beschäftige ich mich beruflich und privat mit Themen der Datensicherheit und insbesondere dem Datenschutz. Mit dem Inkrafttreten der europäischen Datenschutzgrundverordnung (DSGVO) am 25. Mai 2018 wurde ein einheitlicher Rechtsrahmen für den Schutz von Daten umgesetzt. Im Gegensatz zur vorherigen Richtlinie, welche in nationales Recht umgesetzt werden musste, gilt diese Rechtsverordnung unmittelbar im Europäischen Wirtschaftsraum (EWR). Seit 20. Juli 2018 ist die Verordnung auch geltendes Recht in Island, Lichtenstein und Norwegen.
Ich kann mich gut an Treffen mit Entscheidungsträger:innen erinnern, in denen meine Bedenken bezüglich einer Anwendung dieser Verordnung quasi ignoriert wurden. Zudem gab zahlreiche Presseartikel, die mehr oder wenig „Panik“ verbreiteten und Behauptungen aufstellten, welche Datenverarbeitungen künftig erlaubt oder verboten seien. Unvergessen die Diskussion darüber, ob Namen an Klingelschildern eine Verarbeitung im Sinne der DSGVO seien und entfernt werden müssten. Ja, ich habe zuweilen sehr gelacht und auch gezweifelt.
Fakt ist: Die DSGVO ist ein Meilenstein zum Schutz von Daten und regelt diese nicht nur, sondern beinhaltet auch Strafen und Kontrollmechanismen. In den vergangenen Jahren wurden bereits einige Bescheide erlassen und Urteile geprochen. Zuweilen veröffentlichten Landesdatenschutzbehörden „Informationen“ bzw. Pressemitteilungen zu einzelnen Unternehmen, gegen welche Artikel der DSGVO diese verstoßen hätten und welche Maßnahmen folgen würden. Es gibt darüber hinaus auch Fragenkataloge, die als Auskunftsersuchen an Unternehmen verschickt werden. Hier eine Auswahl dieser Fragenkataloge:
Falls Sie wissen möchten, ob die Datenschutzbehörden dies dürfen: Ja! Gemäß Artikel 58 Abs. 1 lit. a) und b) DSGVO sind Sie verpflichtet, diese Informationen zur Verfügung zu stellen. Ich möchte ehrlich sein: Wenn Sie nicht alles exakt dokumentieren und diese Informationen wahrheitsgemäß beantworten können, dann sollten Sie sich zeitnah um Ihre Datenschutzbelange im Unternehmen kümmern…
Im Übrigen gibt es zur Verwaltung und Aufsicht von Datenschutzvorgängen im Unternehmen eine gute Lösung: Preeco hat es sich beispielsweise zur Aufgabe gemacht, Ihnen die Arbeit zu erleichtern. Vielleicht wäre jetzt ein guter Zeitpunkt, Datenschutz in Ihrem Unternehmen neu zu denken?
Die Standardvertragsklauseln und neue Hindernisse
Getreu dem Motto „Never change a running system“ dachten sich einige Webseitenbetreiber: Ja gut, dann reduziere ich den Datenhunger von Google (Analytics) und wende einige Tricks an, um es doch noch irgendwie sicher betreiben zu können.
Ich fasse es kurz: Nach einem Urteil des EuGH (Urteil vom 16. Juli 2020, C-311/18) wurde klargestellt, dass das „Privacy Shield“ der EU-Kommission und der amerikanischen Bundesregierung unwirksam sei. Somit ist ein Datentransfer zwischen EU und USA de facto nicht möglich. Es besteht außerdem kein Rechtsschutz gegen die Zugriffe durch die amerikanischen Sicherheitsbehörden, die den Anforderungen des Artikel 47 der EU-Grundrechtecharta genüge.
Die DSGVO bietet die Möglichkeit eines Drittland-Datentransfers im Sinne der Standardvertragsklauseln. Diese wurden durch die EU-Kommission am 04. Juni 2021 als Durchführungsbeschluss veröffentlicht. Ich persönlich halte eine Umsetzung eines Datentransfers im Sinne der Standardvertragsklauseln praktisch für unmöglich, da einzelne Vorgaben bzw. Maßnahmen quasi nicht kontrolliert oder umgesetzt werden können.
Nach einer Musterbeschwerde der österreichischen Organisation „NOYB“, einem Europäischen Zentrum für digitale Rechte, erließ die österreichische Datenschutzbehörde einen Bescheid, dass die Verwendung von Google Analytics nicht im Einklang mit dem Urteil des EUGH C-113/18 zu bringen ist und Standardvertragsklauseln kein angemessenes Sicherheitsniveau bieten. Dies wurde durch die französische Datenschutzbehörde CNIL wenige Wochen später ebenfalls beschieden.
Die Bescheide sind auf der NYOB verlinkt und dort zu finden. Der Direktlink zur Entscheidung der österreichischen Datenschutzbehörde ist hier einsehbar (PDF-File).
Das Web-Analytics-Tool Google Analytics hat ein Problem
Im Kern drehen sich alle Fragen um die amerikanischen Gesetze und Sicherheitsbedürfnisse. Es wird und wurde mehrfach beschieden, dass sich amerikanische Cloud- und Kommunikationsdienste einer Überwachung durch US-Geheimdienste nicht entziehen können. Elektronische Kommunikationsdienste unterliegen im Sinne von 50 U.S. Code § 1881(b)(4) einer Überwachung gemäß 50 U.S. Code § 1881a („FISA 702“). Die Standardvertragsklauseln sind nicht effektiv, da diese die Überwachungs- und Zugriffsmöglichkeiten durch US-Nachrichtendienste nicht beseitigen. Im Prinzip müssten sich die amerikanischen Anbieter „aufspalten“ und in Europa eigenständige Leistungen erbringen, die nicht in Berührung mit den amerikanischen Rechtssystem kommen. Sie dürfen raten, was passieren wird – nichts.
Sie können sich nun wahrlich denken, dies betreffe aktuell nur französische und österreichische Webseitenbetreiber bzw. Unternehmen – aber meinen Sie, warten ist eine gute Lösung bei einer problematischen Trackingsoftware? In einigen Fällen ist es sinnvoll, einen an Sicherheit grenzender Wahrscheinlichkeit bald eintreffenden Schaden für ein Unternehmen abzuwenden.
Als Leipziger Fachbereichsleiter für den Studiengang „Webdesign & Development“ des SAE Institutes halte ich Onlinevorlesungen u.a. zu Themen wie „Tracking & Analyse“ im Gebiet Deutschland und Österreich. In der Regel stelle ich den Branchenprimus Google Analytics vor und vergleiche dieses Tool direkt mit Matomo, einer Open-Source-Webanalytik-Plattform. Ich gehe in meinen Erklärungen nicht nur auf die unterschiedlichen Trackingverfahren ein, sondern versuche auch darzulegen, welche feinen Unterschiede sich in den Web-Analytik-Tools verbergen. Einerseits versuche ich damit ein besseres Verständnis für clientbasiertes Tracking mit First-Party-Cookies aufzubauen, andererseits möchte ich, dass die Studierenden wissen, wie diese Tools im Detail funktionieren.
Es gibt natürlich weitere, leistungsstarke Toolanbieter! Um einige gute Beispiele zu nennen: Trackboxx, smartlook und etracker.
Kurz: Der Aha-Effekt, dass das Tool für die (Auswertungs-)Arbeit selbst egal ist, ist somit größer und nachhaltiger. Wichtiger ist ein Verständnis über die Fähigkeiten meiner Tools und die richtige Einstellungen. Es kommt auch auf einen sinnvollen Preis-Leistungsvergleich bei den Toolanbietern an, um zu wissen, welche Leistungen ich für mein Business tatsächlich benötige. Einige Features, wie zum Beispiel „Heatmaps“ sind reizvoll, für eine Detailbetrachtung in der Web-Analytics jedoch unnötig.
Sie sehen: Es gibt zahlreiche weitere Services, welche die Google-Lücke in der Web-Analytics schließen können. Wenngleich einige Leistungen künftig mit einem finanziellen Beitrag versehen sind, sind Sie als Unternehmer:in auf der rechtssicheren Seite.
Gern bin ich Ihr Ansprechpartner für eine Gesamtbetrachtung Ihrer Trackinglösungen.
Kontaktieren Sie mich gerne via