Im Januar 2022 hat Österreich den Einsatz von Google Analytics für unzulässig erklärt (Quelle). Die österreichische Datenschutzbehörde hat entschieden, dass Google Analytics gegen die DSGVO verstößt. Der Grund für das Verbot? Google übermittelt die erhobenen Daten zur Speicherung in die USA. Nach Ansicht der österreichischen Datenschutzbehörde werden dort die Daten nicht ausreichend geschützt (Quelle). 
Frankreich ist dem Beispiel Österreichs gefolgt und hat Google Analytics im Februar für unzulässig erklärt (Quelle). Im September 2022 hat sich auch Dänemark den Ansichten der Vorreiter angeschlossen und erklärte Google Analytics für unzulässig (Quelle).

Doch wozu wird Google Analytics benötigt?  

Google Analytics ist ein kostenloses Tool, welches für Webseitenanalysen verwendet wird. Mit einer solchen Analyse bekommt der Betreiber unter anderem Einblicke darüber, wie viele Besuchende die Webseite hat und wie viele davon neu beziehungsweise wiederkehrend sind, wie sich die Besucher über die Webseite bewegen, wie gut die Webseite im Allgemeinen performt sowie nach entsprechender Konfiguration, userspezifische IDs.

Einige der gesammelten Daten fallen unter den Begriff „personenbezogene Daten“. Diese enthalten Informationen, welche sich auf eine identifizierte lebende Person beziehen. Wenn solche Daten verschlüsselt, anonymisiert oder pseudonymisiert werden und erneut für die Identifikation einer Person verwendet werden, gelten diese als personenbezogene Daten und fallen unter den Geltungsbereich der DSGVO (Quelle). 

DSGVO und der Datenschutz in Drittländern

In der DSGVO werden die Datenschutzbestimmungen bezüglich der Datenübertragung im Kapitel 5 “Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen” geregelt.  

Die allgemeinen Grundsätze nach Artikel 44 besagen, dass jede Übermittlung von personenbezogenen Daten nur dann zulässig ist, wenn der Verantwortliche und der Auftragsverarbeiter diverse Bestimmungen einhalten, welche die Daten schützen. Nach Artikel 45 darf die Übermittlung stattfinden, wenn das entsprechende Drittland ein angemessenes Schutzniveau anbietet. Hierbei sind die Rechtsstaatlichkeit, die Existenz sowie die Wirksamkeit von unabhängigen Aufsichtsbehörden und die eingegangenen internationalen Verpflichtungen des Drittlandes entscheidende Faktoren. Nach Artikel 48 sei die Offenlegung von personenbezogenen Daten in einem Drittland nur dann zulässig, wenn beispielsweise ein Rechtshilfeabkommen zugrunde liegt. Artikel 49 besagt, dass die Übermittlung der Daten in Ausnahmefällen, wie beispielsweise der Einwilligung der betroffenen Person geschehen darf.  

Im Falle der USA bestehen die Probleme bei der Datenübermittlung darin, dass der Datenschutz nicht allgemein und umfassend geregelt ist. Stattdessen gibt es branchenspezifische Regelungen, wobei der Großteil auf Selbstverpflichtung der entsprechenden Unternehmen beruht. Eine weitere Problematik stellen außerdem die umfassenden Zugriffsrechte der US-Behörden dar (Quelle).  

Wie ist der Datenschutz in den USA geregelt?  

US-amerikanische-Unternehmen sind nach diesen Gesetzen dazu verpflichtet, die Sicherheit der personenbezogenen Daten zu garantieren sowie Datenlecks umfassend zu melden. Dennoch lässt sich sagen, dass jedes Unternehmen sein eigenes Datenschutzniveau festlegt.
  
Darüber hinaus verfügen US-amerikanische Aufsichtsbehörden wie NSA, CIA und FBI (Quelle) über umfangreiche Mittel, um auf Basis der amerikanischen Datenschutzvorschriften auf personenbezogene Daten zuzugreifen.

Dadurch können sie langfristige Überprüfungsmaßnahmen der personenbezogenen Daten erzwingen. Diese Unterschiede lassen sich darin begründen, dass die Vereinigten Staaten den Datenschutz als Teil des Verbraucherschutzes und somit als Element des Wirtschaftslebens ansieht. Europa und somit auch Deutschland sehen den Datenschutz als Grundrecht an.

Des Weiteren sind die Gesetze der einzelnen Wirtschaftssektoren nicht auf einem vergleichbaren Niveau mit der Europäischen Union. Die Probleme ergeben sich vermehrt durch Eingriffe, welche durch die US-amerikanische Regierung und ohne richterlichen Beschluss vorgenommen werden können.

Der PATRIOT Act dient hierfür als gesetzliche Grundlage. Er wurde nach den Anschlägen des 11. Septembers 2001 im Rahmen der Terrorabwehr verabschiedet und erteilt den Sicherheitsbehörden weitreichende Befugnisse.  

Wie ist eine Datenübermittlung zwischen Europa und den USA möglich? 

Aufgrund der beschriebenen Situation gilt die USA als unsicheres Drittland. Um dennoch eine datenschutzkonforme Übermittlung zu gewährleisten, müssen die Daten bei der Übermittlung verschlüsselt sein, sodass die US-Behörden keinen Zugriff auf die unverschlüsselten Daten haben (Quelle).   

Es stellt sich somit die Frage, ob die Entscheidungen von Österreich, Frankreich und Dänemark für alle europäischen Länder gelten sollte.  

Ist eine datenschutzkonforme Nutzung von Google Analytics möglich? 

Obwohl sich Google Analytics 4 (GA4) bezüglich des Datenschutzes im Vergleich zu seinen Vorgängern verbessert hat, müssen Betreiber einer Website nach wie vor einige Punkte beachten:

• Im Gegensatz zu seinem Vorgänger ist in Google Analytics 4 die IP-Anonymisierung im Vorhinein aktiviert.
• Darüber hinaus muss eine Datenverarbeitungsvereinbarung mit Google bezüglich einer eingeschränkten Datenübertragung unterzeichnet werden.
• Des Weiteren muss die Personalisierungsfunktion für Werbung in GA4 deaktiviert werden.
• Die erhobenen Daten dürfen nur für aggregierte statistische Berichte verwendet werden.
• Außerdem bedarf die Verwendung von Google Analytics 4 der ausdrücklichen Zustimmung der Nutzenden, sofern auf dem Endgerät des Users Cookies gespeichert werden.  

Es lässt sich keine generelle Empfehlung für oder gegen Google Analytics aussprechen. Wir empfehlen jedem Webseitenbetreiber, sich an die Richtlinien von Google Analytics zu halten und die ausdrückliche Zustimmung der Nutzer einzuholen. Letztlich wird die Zukunft zeigen, ob andere Datenschutzbehörden dem Vorbild von Österreich, Frankreich und Dänemark folgen und eigenständige Richtlinien erlassen.

Gibt es Alternativen für Google Analytics?  

Um in jedem Fall rechtlich auf der sicheren Seite zu sein, gibt es europäische Alternativen, auf welche Webseitenbetreiber zurückgreifen können. Als kostenlose Alternative kommt beispielsweise Matomo infrage. Mit der kostenfreien On- Premise-Variante behalten Betreiber jederzeit die Hoheit über die eigenen Daten. Zudem hat die T-Systems MMS Technologie-Partnerschaften mit Anbietern alternativer Analytics-Technologien. Konkret sind hier Mapp Intelligence und Piano Analytics zu nennen. Bei beiden Technologien handelt es sich um Software-as-a-service Lösungen mit einer Datenspeicherung in Europa.