Datenschutzbehörde (DSB) erklärt in ihrem Beschluss vom 22.12.2021, dass Google Analytics derzeit gegen die DSGVO verstößt.
Die Vorgeschichte
Die Datenschutzgrundverordnung ist nun schon seit dem 4.Mai 2016 in Kraft. Die Mitgliedsstaaten der Europäischen Union haben damals versucht die Privatsphäre der Besucher einer Webseite zu schützen.
Die Pflicht, den Besucher der Webseite über die Art und Weise der Verarbeitung seiner Daten aufzuklären, liegt in der Verantwortung des Betreibers der besuchten Webseite. Wie die konforme Aufklärung und der Schutz der Daten stattzufinden hat, muss in den DSGVO-konformen Datenschutzrichtlinien der besuchten Webseite festgelegt sein. Darüber hinaus muss der Benutzer frei entscheiden können, welchen Datendienst er zulassen möchte.
Dieser Verpflichtung sind Webseitenbetreiber durch die entsprechende Einbindung von Hinweisen und Auswahlmöglichkeiten - oft auch über Drittanbieter, nachgekommen.
Nun ist es so, dass zum Beispiel die Vereinigten Staaten von Amerika das Sammeln von Daten und deren Handhabung aus einem komplett anderen Blickwinkel betrachten als die Europäische Union dies tut. In den Staaten handelte es sich bei den mühevoll gesammelten und ausgewerteten Daten um Geistiges Eigentum und nicht um die preisgegebene Privatsphäre eines Individuums. Hinzu kommt noch, dass diverse staatliche Institutionen gesetzlich dazu berechtigt sind, diese Daten weitaus einfacher und freizügiger abzugreifen, als dies in der Europäischen Union erlaubt ist.
Was ist passiert?
Sowohl Safe Harbor wie auch das Nachfolgeabkommen Privacy Shield wurden 2015 bzw. 2020 für nicht konform mit der geltenden DSGVO erklärt. Basierend auf diesen Erkenntnissen hat die NGO „NOYB - Europäisches Zentrum für digitale Rechte“ (NOYB) im August 2020 rund 100 Klagen gegen Unternehmen in verschiedenen europäischen Ländern eingebracht, die unter anderem auch Google Analytics verwenden. Sowohl die österreichische Datenschutz Behörde (DSB) in ihrem Bescheid vom 22.12.2021 wie auch jene Frankreichs (CNIL) haben den Klagen stattgegeben.
Google, so wie viele andere große Technologieunternehmen auch, sammelt mit seinen Tools analytische Daten auf Servern außerhalb der Europäischen Union. Diese Daten sind oft nicht ausreichend geschützt. So kann zum Beispiel Google seine Analytics Daten in reinem Textformat auslesen und entsprechend der Gesetzeslage im Land in dem die Server stehen auch aushändigen.
Das Urteil
Die österreichische Datenschutzbehörde stellte fest, dass Datenübermittlungen an Google in den USA im Rahmen von Google Analytics einen Verstoß gegen Kapitel V der DSGVO darstellen. Detailierte juristische Ausführungen sind hier und hier zu finden.
Mögliche Alternativen
Es gibt eine Vielzahl von möglichen Alternativen zu Google Analytics. Die richtige Wahl ist auf Grund von Besucherzahlen und Leistungsumfang zu treffen.
Produkt | Kosten | Serverstandort | Info |
---|---|---|---|
econda Analytics | auf Anfrage | lokal | speziell für Online-Shops entwickelt |
eTracker | kostenlos bis 25.000 Seitenaufrufen/Monat | Deutschland | |
Fair Analytics | ab € 1,99 / Monat | Deutschland | |
Matomo | kostenlos | lokal | ehemals Piwik |
Matomo Cloud | ab € 228 / Jahr | Deutschland | |
Open Web Analytics | kostenlos | lokal | |
Piwik PRO | kostenlos bis 500.000 Interaktionen / Monat | Deutschland | |
Simple Analytics | ab € 108 / Jahr | Niederlande | |
Trackboxx | ab € 40 / Jahr | Deutschland | |
UXWizz | ab € 79 / Jahr | lokal | ehemals userTrack |
Die Liste der Produkte hat keinen Anspruch auf Vollständigkeit und ist alphabetisch gereiht.
Quellenangabe:
- https://www.wired.com/story/google-analytics-europe-austria-privacy-shield
- https://noyb.eu/en/update-cnil-decides-eu-us-data-transfer-google-analytics-illegal
- https://sourcing-international.org/news/article/die-nutzung-von-google-analytics-ist-nicht-dsgvo-konform-neue-grundsatzentscheidung-der-oesterreich/
- https://www.dataprotectionreport.com/2022/02/european-rulings-on-the-use-of-google-analytics-and-how-it-may-affect-your-business/
- https://www.youtube.com/watch?v=cAq39P8it_w
- https://www.wko.at/service/wirtschaftsrecht-gewerberecht/EU-Datenschutz-Grundverordnung.html