Urteil zu Google Analytics: "Hausaufgaben machen und keine Panik verbreiten"

Es war ein Paukenschlag: Vor wenigen Tagen kam die österreichische Datenschutzbehörde (DSB) aufgrund einer Musterbeschwerde, die vom Verein Noyb rund um Max Schrems eingebracht wurde, zu dem Schluss: Die Einbindung von Google Analytics auf Webseiten verstösst gegen die Datenschutzgrundverordnung (DSGVO). 

Das nicht rechtskräftige Urteil in der Klage von Datenschützer Schrems wirbelte einigen Staub auf und sorgte für missverständliche Berichterstattung: Die Beschwerde des Datenschützers stammt nämlich aus dem August 2020, wo unter anderem die Anonymisierungsfunktion noch nicht implementiert war. Vertragspartner für die kostenfreie Google-Analytics-Version war zu diesem Zeitpunkt noch Google LLC in den Vereinigten Staaten und nicht die nunmehrige Google Ireland Ltd. mit Sitz in der Europäischen Union. Im konkreten Fall eines österreichischen Unternehmens wurde das Analysetool durch den Websitebetreiber mangelhaft eingebunden und noch keine (ausreichende) Einwilligung der User zur Datenverarbeitung eingeholt, wie sie heute Standard im Consent Management ist.

Im Regelfall wird die Zustimmung der User über Consent Banner explizit abgefragt und das Einverständnis zur weiteren Verarbeitung der Daten oder Übertragung in die USA ausdrücklich eingeholt. In der Arbeitsgruppe Public Affairs, der grössten Interessenvertretung der österreichischen Digitalwirtschaft, geht man zudem davon aus, dass es zum Instanzenzug kommen wird und das Bundesverwaltungsgericht erneut über die Causa zu entscheiden hat. Ebenso bleibt die Adaption der österreichischen Entscheidung durch andere Datenschutzbehörden im EU-Raum abzuwarten.

Die Aussage von Schrems, dass europäische Unternehmen keine US-Cloud-Dienste mehr nutzen dürften, werten die Public-Affairs-Experten als massiv übertrieben und im Zusammenhang mit der konkreten Entscheidung für nicht gerechtfertigt. Letztlich würde dadurch die gesamte Digitalbranche mit den von ihr eingesetzten notwendigen Analyse-Tools angegriffen und Ängste bei den Usern verbreitet.

Ein weiteres Problem: Durch ein komplettes Verbot von US-Cloud-Diensten würde sich Europa von der technologischen (Welt-) Entwicklung abkoppeln. Zudem gibt es nicht ausreichend (Personal-) Ressourcen, um mögliche europäische Alternativen schnell zu implementieren - ein Punkt, der vor allem Klein- und Mittelunternehmen trifft.

Daher braucht es einen pragmatischen Zugang: Nicht die generelle Nutzung von Google Analytics stellt ein Problem dar. Websitebetreiber und Werbetreibende stehen jedoch in der Verantwortung, die rechtlichen Grundlagen zu prüfen und etwa die Zustimmung der User im Rahmen des Consent Managements einzuholen.

"Der aktuelle Fall ist ein Weckruf. Unternehmen sind gut beraten, ihre Hausaufgaben zu machen und die Einstellungen auf Einklang mit der EU-Datenschutzgrundverordnung zu überprüfen und aktiv zu aktualisieren", empfiehlt Markus Fallenböck (Own360), Leiter der Arbeitsgruppe Public Affairs im iab austria.

In einem Leitfaden für seine Mitglieder zur gesetzeskonformen Nutzung von Google Analytics weist das iab austria darauf hin, dass Daten zu anonymisieren sind, womit weiterhin aufschlussreiche Informationen über Anzahl und Verhalten der User gewonnen werden. Die Speicherung der IP-Adresse oder des Device Fingerprints wertet die Datenschutzbehörde bereits als Verarbeitung personenbezogener Daten, da einzelne Nutzer gezielt identifiziert werden können.

"Betreiber von Websites müssen sich bewusst sein, dass die Datenschutzbehörde ausschliesslich sie selbst für die weitere Verarbeitung der Daten durch Dritte verantwortlich macht und nicht beispielsweise den Anbieter des Analyse-Tools. Rechtssicherheit lässt sich durch eine Überprüfung und eventuelle Aktualisierung des Consent Managements herstellen. Das sollte allerdings nicht auf die lange Bank geschoben werden", so Fallenböck.