Die Nutzung von Google Analytics ist für österreichische Websitebetreiber so gut wie nicht mehr zulässig. Dieser Artikel erklärt, warum – und stellt Alternativen vor.
In unserem im September 2020 erschienenen Artikel über Datenschutz (www.magazintraining.com/europa-wir-haben-ein-problem) zeigten wir auf, was das im Sommer 2020 ergangene Urteil des EuGH (»Schrems II«) in Verbindung mit der gültigen DSGVO für österreichische Trainer, Trainingsinstitute, Schulungszentren, Universitäten usw. bedeutete. Dabei verließen wir uns nicht auf (zum Teil von Lobbyverbänden vorbereitete) Medienberichte, sondern zitierten direkt aus dem EuGH-Urteil und konnten so demonstrieren, dass die Nutzung der Produkte vieler amerikanischer Anbieter innerhalb der EU nicht mehr zulässig ist. Denn die im Urteil geforderten zusätzlichen Sicherheitsmaßnahmen sind bei geltender amerikanischer Rechtslage so gut wie unerfüllbar. Angesichts der betroffenen Produkte und Anbieter (Adobe, Amazon AWS, Apple, Cisco, Cloudflare, Dropbox, Facebook, Google, Microsoft, Salesforce, Zoom u.v.a.) fragten wir uns aber auch, welche konkreten Auswirkungen das Urteil wohl haben werde. Übergangsfrist gab es keine, und so hätten eigentlich die meisten österreichischen Unternehmen und Websitebetreiber sofort aufhören müssen, viele dieser Dienste zu nutzen. Das erschien unrealistisch.
Bis heute, mehr als eineinhalb Jahre nach dem Urteil, sind wohl nur wenige Unternehmen auf DSGVO-konforme Produkte umgestiegen. Aber jetzt kommt ein Stein ins Rollen, der die Dinge tatsächlich verändern könnte.
Die (von Max Schrems gegründete) europäische Datenschutzorganisation noyb.eu hatte u. a. eine Beschwerde bei der österreichischen Datenschutzbehörde gegen die Nutzung von Google Analytics in einem konkreten Fall (auf der damals in Österreich betriebenen Website netdoktor.at) eingebracht. Im Jänner 2022 erging ein Teilbescheid, in dem festgestellt wird, dass im vorliegenden Fall der Einsatz von Google Analytics gegen die DSGVO verstößt, also Grundrechte der User verletzt und somit illegal ist. Und wieder passiert, was schon nach dem EuGH-Urteil im Juli 2020 passiert ist. Damals erklärten viele Stellungnahmen, dass der Datenaustausch mit den USA auf Basis des EuGH-Urteils doch zulässig sei – z. B. durch den Einsatz von sogenannten Standardvertragsklauseln. Jetzt erklären Google, von Google Analytics abhängige Anbieter von Online-Marketing-Tools und einige andere in vielen Artikeln und Stellungnahmen, warum der Einsatz von Google Analytics innerhalb der EU doch zulässig sei, und dass man das auch dem Bescheid der österreichischen Datenschutzbehörde entnehmen könne.
Naja. Der Teilbescheid der Datenschutzbehörde ist öffentlich einsehbar (https://www.dsb.gv.at/download-links/bekanntmachungen.html#Google_Analytics). Auf der vorletzten Seite (Seite 37) steht: »Nach Auffassung der Datenschutzbehörde kann das Tool Google Analytics (jedenfalls in der Version vom 14. August 2020) somit nicht in Einklang mit den Vorgaben von Kapitel V DSGVO genutzt werden.« Das ist doch ziemlich eindeutig formuliert.
Auf den Seiten 32 und 33 wird ebenso klar erläutert, warum es dem Beschwerdegegner (also netdoktor.at) für diesen Fall nichts bringt, dass er Standardvertragsklauseln abgeschlossen und weitere Schutzmaßnahmen getroffen hat. Das EuGH-Urteil ist einfach zu eindeutig: Das Übermitteln von personenbezogenen Daten in die USA ist nicht mehr zulässig.
Der Fall kann jetzt noch vor Verwaltungsgerichte gebracht werden, aber wenn diese den Bescheid nicht aufheben (oder abändern), dann sollten österreichische Website-Betreiber und Unternehmen beginnen zu akzeptieren, dass der Einsatz von Google Analytics nicht mehr erlaubt ist (und zwar seit Juli 2020). Und dass sie gestraft werden können, wenn sie es trotzdem einsetzen.
Max Schrems drückt das so aus: »Die Datenschutzbehörde hat eine sehr detaillierte und fundierte Entscheidung erlassen. Die Quintessenz ist: EU-Unternehmen können keine US-Cloud-Dienste mehr nutzen. Es ist jetzt 1,5 Jahre her, dass der EuGH das ein zweites Mal bestätigt hat – es ist also mehr als an der Zeit, dass das Gesetz auch durchgesetzt wird.« (https://noyb.eu/de/oesterr-dsb-eu-us-datenuebermittlung-google-analytics-illegal)
Das gilt selbstverständlich nicht nur für Österreich, sondern für die gesamte EU, auch wenn diesbezügliche Entscheidungen anderer Datenschutzbehörden noch ausstehen.
Theoretisch ist es unter Umständen auch nach dem EuGH-Urteil möglich, Google Analytics rechtskonform einzusetzen, aber die Schritte dazu sind sehr mühsam: Es bedarf zumindest einer wirklich ausführlichen Einverständniserklärung aller Website-Besucher, des Umstiegs auf serverseitiges Tracking, eines Verfahrens zur Anonymisierung der IP-Adressen und einiger weiterer Schritte. Und dann ist immer noch nicht garantiert, dass der Einsatz im Fall des Falles von den Datenschutzbehörden als zulässig erachtet wird. Denn wie will man als Betreiber nachweisen, was Google mit den erhobenen Daten macht oder eben nicht macht?
Für die meisten Website-Betreiber wird der Umstieg auf legale Alternativen der einzige Weg sein. Mittlerweile gibt es mehrere davon, z. B. den europäischen Anbieter Plausible (www.plausible.io, ab 9,– € pro Monat) oder die auch kostenlos zu nutzenden Matomo und Offen. Alle drei sind Open Source.
Matomo (www.matomo.org) wird nach eigenen Angaben auf über einer Million Websites eingesetzt, darunter die Website der EU-Kommission, die das Produkt auch empfiehlt. Es wird in drei Versionen angeboten: Von Matomo gehostet (ab 19,– € im Monat), selbst gehostet (Download, Installation am eigenen Server, kostenlos) oder als WordPress-Plug-in (ebenfalls kostenlos). Wir haben Letzteres getestet. Der Aufwand für Installation und Inbetriebnahme ist erstaunlich gering, nach 5 Minuten war es eingerichtet und lief bereits. Allerdings gilt es dann, die Einstellungen an die eigenen Bedürfnisse anzupassen. Und es gibt wirklich viele Einstellungsmöglichkeiten, das Tool ist nämlich ähnlich mächtig wie Google Analytics – mit dem großen Unterschied, dass die gesammelten Daten den eigenen Server nie verlassen und der Betrieb somit DSGVO-konform ist.
Noch datenschutzfreundlicher ist Offen (www.offen.dev). Wer dieses Tool einsetzt, lässt die Website-Besucher die über sie gesammelten Daten einsehen und selbst managen. Die erhobenen Daten sind im Vergleich weit weniger umfangreich, für Installation und Inbetriebnahme ist technisches Wissen Voraussetzung.
Die rechtliche Situation und die kostenlosen Alternativen sollten den Abschied von Google Analytics für alle Website-Betreiber innerhalb der EU leicht machen, auch wenn der Umstieg in manchen Fällen aufwändig und eine Integration mit anderen Google-Services (z. B. Google Ads) nicht mehr möglich sein wird.
Auch die Nutzung von Google Fonts ist nur mehr auf eine bestimmte Art und Weise erlaubt, nämlich ohne Live-Verknüpfung mit Google. Man muss also die Fonts-Dateien herunterladen und am eigenen Server installieren.
Nach dem EuGH-Urteil (»Schrems II«) wollten viele nicht wahrhaben, was das für die Nutzung von US-amerikanischen Cloud-Diensten bedeutet. Und so hat es eben gedauert, bis das über den Umweg der Datenschutzbehörde klargestellt worden ist. Und wieder wird einige Zeit vergehen, bis Unternehmen in Österreich darauf reagieren. Aber langsam geht es los. Wer Google Analytics weiter nutzt, riskiert einiges. Zunächst einmal Ärger mit der Datenschutzbehörde. In Folge könnten die Strafen empfindlich ausfallen, bis zu 4 % des Jahresumsatzes oder 20 Millionen € sind möglich.
Aber Google Analytics ist nur der Anfang. In naher Zukunft wird es in den Verfahren der europäischen Datenschutzbehörden um eine ganze Reihe von Produkten US-amerikanischer Anbieter gehen, die viele Firmen und auch Behörden wie selbstverständlich verwenden. Für uns alle ist es also höchst an der Zeit, auf legale Alternativen umzusteigen.