Die Entscheidung der österreichischen Datenschutzbehörde (DSB) zu Google Analytics – Erkenntnisse von Piano und die nächsten Schritte

Die österreichische DSB hat in Zusammenarbeit mit anderen europäischen Datenschutzbehörden erklärt, dass die Übermittlung von EU-Daten, die gemäß der Datenschutz-Grundverordnung geschützt sind, durch Google Analytics in die Vereinigten Staaten gegen die Datenschutz-Grundverordnung verstößt. Inzwischen hat die französische Datenschutzbehörde CNIL angeordnet, dass ein Website-Betreiber in Frankreich innerhalb von einem Monat die Verordnung einhalten oder andernfalls die Nutzung von Google Analytics unter den „derzeitigen Bedingungen“ einstellen muss.

Die Behörde begründete ihre Entscheidung damit, dass Google nicht gewährleistet, dass die europäischen Daten im Einklang mit den Anforderungen der Datenschutz-Grundverordnung gespeichert bleiben. Diese Entscheidung richtete sich jedoch ausschließlich gegen Google und Facebook und nicht gegen andere US-Anbieter.

Weitere Reaktionen von Datenschutzbehörden anderer EU-Mitgliedstaaten, die unter die Datenschutz-Grundverordnung fallen, werden in Kürze erwartet.

Piano hat vor kurzem ein Webinar organisiert, um genauer auf die Entscheidung der DSB einzugehen und zu erklären, warum Piano Analytics mit der DSGVO konform ist und eine sichere Alternative zu Google darstellt. An der Sitzung nahmen führende Datenschutzexperten teil: Dr. Carlo Piltz, Rechtsanwalt und Partner bei Piltz legal, Christoph Hadrys, Digital Analyst bei BZ.medien und Louis-Marie Guérif, Datenschutzbeauftragter der Piano Gruppe. Moderiert wurde das Event von Nicolas Hinternesch, Digital Analytics Strategist bei Piano.

Sehen Sie sich hier das Webinar an Die Entscheidung der österreichischen DSB zu Google Analytics – Erkenntnisse aus dem Webinar von Piano und wie Sie sich auf die Zukunft vorbereiten können

Wie werden personenbezogene Daten und die Datenübermittlung in der Datenschutz-Grundverordnung definiert?

Personenbezogene Daten

Nach der DSGVO sind personenbezogene Daten definiert als „alle Informationen, die sich auf eine (direkt oder indirekt) identifizierte oder identifizierbare Person beziehen, insbesondere durch Bezugnahme auf eine Online-Kennung“
Dazu gehören insbesondere alle indirekt identifizierbaren oder pseudonymen Informationen wie z. B.:

  • IP-Adressen
  • Jede Online-Kennung – Cookie, Handy, Werbung, Browser-Fingerprinting
  • Jede Informationskombination, die zur Identifizierung einer einzelnen Person führen kann –Navigation, Verhalten oder andere demografische Daten

Nicht konform: Google stuft diese Informationen nicht als persönlich identifizierbare Informationen ein.

Datenübermittlung/-speicherung

Artikel 14 der Datenschutz-Grundverordnung besagt, dass der für die Verarbeitung Verantwortliche darüber informieren muss, wo personenbezogene Daten gespeichert sind, und dass er Informationen über alle Übermittlungen personenbezogener Daten in Länder außerhalb der EU bereitstellen muss. Dazu gehört, dass man sich verpflichtet und volle Transparenz darüber herstellt, wo die Daten gespeichert und wohin sie möglicherweise übermittelt werden.

Nicht konform: Google stellt diese Informationen nicht zur Verfügung.

Warum betrachten die österreichische DSB und andere Datenschutzbehörden Google Analytics als illegal?

Nach der Entscheidung des Europäischen Gerichtshofs, das US-Privacy Shield 2020 für ungültig zu erklären – ein Mechanismus, der die Übermittlung von Daten aus der EU in die USA abdeckt –, hat die DSB nun auch Google Analytics als unzureichend für die Übermittlung europäischer personenbezogener Daten erklärt, die durch die DSGVO geschützt sind.

Hier erfahren Sie, warum Google Analytics die rechtlichen Anforderungen der DSGVO nicht erfüllt und was der Hintergrund der Entscheidung der DSB ist.

Googles Fehlinterpretation der DSGVO-Definition von personenbezogenen Daten

Google weicht von der strengen Definition in der Datenschutz-Grundverordnung ab und betrachtet die folgenden Daten nicht als personenbezogene Daten:

  • Pseudonyme Cookie-IDs
  • Pseudonyme Werbe-IDs
  • IP-Adressen
  • Weitere pseudonyme Endnutzer-Identifikatoren

Das bedeutet, dass jede IP-Anfrage, die mit einer Anzeigenanfrage gesendet wird (was fast alle Anzeigenanfragen einschließt), offiziell nicht als Übermittlung von persönlich identifizierbare Informationen im Sinne der Datenschutz-Grundverordnung betrachtet wird

In Artikel 5 der DSGVO heißt es zudem, dass „personenbezogene Daten auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden müssen.“ Das bedeutet, dass alle Website- und App-Anbieter, die personenbezogene Daten sammeln, genau darlegen müssen, wie diese Informationen gesammelt und verwendet werden.

Google Analytics gibt nicht an, wie seine Daten gesammelt und verwendet werden. Auf der Google Analytics-Hilfeseite heißt es, dass „Nutzungsdaten“ (die vorstehend genannten Kategorien) keine „persönlich identifizierbaren Informationen“ sind. Die Datenschutzaufsichtsbehörden weisen daher ausdrücklich darauf hin, dass es sich bei den mit Google Analytics verarbeiteten Daten (Nutzungsdaten und andere gerätespezifische Daten, die einem bestimmten Nutzer zugeordnet werden können) um personenbezogene Daten im Sinne der DSGVO handelt.

Nichterfüllung der Anforderungen an die Datenübermittlung/-speicherung zwischen der EU und den USA

Für die Datenübermittlung aus der EU in die USA gelten strenge Anforderungen, insbesondere die Notwendigkeit, geeignete Schutzmaßnahmen (CCT, BCR) zu ergreifen, zusätzliche technische Maßnahmen (Pseudonymisierung, Verschlüsselung) vorzusehen, vollständige Transparenz über den Datenzugriff zu gewährleisten, das Prüfverfahren des Importeurs zu verstärken und strenge Sicherheits- und Datenschutzmaßnahmen anzuwenden (auf der Grundlage von EU-Zertifizierungen/Verhaltenskodex, ISO-Norm).

Google ist bezüglich der Frage nicht transparent, wo seine Daten gespeichert werden. Nach der DSGVO ist die Übermittlung personenbezogener Daten in Nicht-EU-Länder möglich, sofern geeignete Garantien (Länder mit angemessenem Schutzniveau, Information der Besucher und Wahrung ihrer Rechte) vorgesehen werden

Allerdings:

  • Google weist auf seiner Website darauf hin, dass seine Rechenzentren über die ganze Welt verteilt sind. 
  • Google garantiert auch nicht, dass europäische Daten in der EU gespeichert bleiben 
  • Die Überwachungsgesetze der US-Regierung verlangen von US-Anbietern wie Google oder Facebook ausdrücklich, dass sie den US-Behörden die persönlichen Daten von Internetnutzern zur Verfügung stellen 
  • Nach Ansicht der CNIL besteht die Gefahr, dass amerikanische Geheimdienste auf personenbezogene Daten zugreifen, die in die Vereinigten Staaten übermittelt werden, wenn die Übermittlung nicht ordnungsgemäß geregelt ist

Der Hintergrund der Erklärung der DSB

Die DSB stellte im Wesentlichen fest, dass Google Analytics und Facebook Connect die vorstehend angeführten Anforderungen für die Einhaltung der Datenschutz-Grundverordnung nicht erfüllen. Sie bezieht sich daher nur auf diese beiden Anbieter und nicht auf andere Unternehmen in den USA oder anderswo. Ihre Entscheidung stützte sich auf die 101 Musterbeschwerden, die von noyb – der Website des österreichischen Datenschützers Max Schrems – eingereicht wurden und sich auf den Fall von 2020 „Schrems II“ beziehen, in dem der Europäische Gerichtshof (EuGH) erklärte, dass die Nutzung von US-Providern gegen die DSGVO verstößt.

Die Datenschutzbehörden mehrerer EU-Länder haben sich der DBS angeschlossen und auf die Feststellung reagiert, dass Google Analytics gegen die Datenschutz-Grundverordnung verstößt:

  • Frankreich – die CNIL hat im Februar 2022 eine ähnliche Entscheidung getroffen
  • Die Niederlande – die AP hat erklärt, dass Google Analytics möglicherweise bald nicht mehr zugelassen wird
  • Portugal – die CNPD hat die Datenübermittlung an die USA ausgesetzt
  • Norwegen – Datatilsynet prüft die Möglichkeit, Google Analytics nicht mehr zu verwenden
  • Der Europäische Datenschutzbeauftragte (EDSB) hat das EU-Parlament auf die Verwendung von Google Analytics aufmerksam gemacht

Was sind die Sanktionen und möglichen Lösungen?

Unternehmen, die Google Analytics weiterhin nutzen, müssen schnell handeln, andernfalls drohen Strafen wegen eines Verstoßes gegen die DSGVO. Nach einer förmlichen Aufforderung an den Website-Manager (für die Datenverarbeitung Verantwortlicher) müssen Google-Analytics-Nutzer ihre Analysen unverzüglich in Einklang mit der DSGVO bringen oder die Verwendung von GA in seiner aktuellen Version einstellen. Sie haben eine Frist von einem Monat, um der Aufforderung nachzukommen.

Gegen die Betreiber von Websites, die Google Analytics nutzen, wurden förmliche Meldeverfahren eingeleitet. Dies gilt auch für die Nutzung der Cloud und die Übertragung von Daten in Länder außerhalb der EU, die kein angemessenes Schutzniveau bieten. In Bezug auf die USA hat die DSB Folgendes festgestellt:

  • Die extraterritoriale Datenübermittlung in die USA bietet keine ausreichenden Garantien, vor allem wegen des möglichen Zugriffs von US-Behörden auf personenbezogene EU-Daten
  • Die Standardvertragsklauseln von Google für die Übermittlung werden nicht als ausreichend angesehen
  • Googles Datenverschlüsselung ist nicht ausreichend und die IP-Adresse wird vor der Übermittlung in die USA nicht anonymisiert

Unternehmen, die derzeit GA nutzen, haben mehrere Möglichkeiten, ihre Nutzerdaten weiterhin im Einklang mit der DSGVO zu erheben und zu verarbeiten. Ein neues EU-US Privacy Shield könnte bald kommen, aber die Unternehmen müssen immer noch mit Geldstrafen für vergangenes Verhalten rechnen. Eine andere Möglichkeit besteht darin, von den Nutzern eine zusätzliche Einwilligung für die Datenübermittlung einzuholen, doch würde dies nur für „außergewöhnliche Umstände“ und „gelegentliche Übermittlungen“ im Rahmen der Datenschutz-Grundverordnung gelten.

Die Unternehmen könnten sich auch dafür entscheiden, die von Google Analytics zu ergreifenden Maßnahmen abzuwarten. All dies wird jedoch wahrscheinlich länger dauern als die einmonatige Frist für die Einstellung der Nutzung von GA.

Die vielleicht praktikabelste Lösung besteht für Unternehmen darin, eine Analyselösung zu wählen, die mit der DSGVO konform ist. Es gibt mehrere auf dem Markt und sie wurden bereits von der französischen CNIL bewertet. Piano Analytics ist die erste Lösung, die von der CNIL akkreditiert wurde und seit der Fusion von Piano mit AT Internet im Jahr 2021 auch als DSGVO-konform gilt.

Wie BZ.medien Analyseprozesse und Datenschutz in Einklang bringt

Christoph Hadrys, Digital Analyst der deutschen Mediengruppe BZ.medien, gab einen Einblick in die Umstellung von Google Analytics auf ein anderes Tool, um die Einhaltung der DSGVO zu gewährleisten.

Schaffung der richtigen Unternehmenskultur: Es ist wichtig, dass dem Datenschutz in einem Unternehmen ein angemessenes Maß an Aufmerksamkeit gewidmet wird. Dies bedeutet, dass eine interne Datenschutzkoordination eingerichtet und mit einem externen Datenschutzbeauftragten zusammengearbeitet werden muss. Darüber hinaus müssen Schulungen durchgeführt werden, um das Bewusstsein dafür zu schärfen, dass eine sorgfältige Entscheidungsfindung und eine Abwägung der Risiken und Vorteile für den Datenschutz erforderlich sind.

Umstellung von Google Analytics auf ein neues Tool: Die Datenschutzabteilung hat mehrere Probleme mit GA angesprochen, z. B. die Tatsache, dass die Nutzer nicht sauber über verschiedene Geräte hinweg verfolgt werden können. Sie legten daher mehrere Kriterien für die Auswahl eines neuen Analysetools fest:

  • DSGVO-Konformität - insbesondere in Bezug auf Datenübermittlungen in die USA
  • Die Möglichkeit, Nutzer mit Benutzer-IDs plattform- und geräteübergreifend zu verfolgen
  • Zugang zu vollständigen Rohdaten ohne Einschränkungen
  • Anonyme Verfolgung
  • Benutzerfreundliche und komplexe Ergebnisfilter
  • Einfache zusätzliche Verarbeitung (CRM, HUD)

Auswahl des bestgeeigneten Tools auf dem Markt: Bei der Auswahl eines weiteren Analytics-Anbieters legte BZ.medien den Fokus auf den Umfang des angebotenen Datenschutzes, die Flexibilität der Plattform sowie die Verfügbarkeit von Support- und Beratungsleistungen. Sie haben auch alle auf dem Verlagsmarkt verfügbaren Referenzen sorgfältig geprüft.

Einführung einer neuen Analyseplattform: Nachdem BZ.medien sich für Piano Analytics entschieden hatte, begann man dort mit der Implementierungsphase. Dazu gehörte in erster Linie ein Audit ihrer Prozesse, gefolgt von einer wochenlangen Feinabstimmung mit dem technischen Support-Team. Sie arbeiteten an der plattformübergreifenden Verfolgung von Ereignissen und an der Erstellung einer Übersicht über alle Tags.

BZ.medien ist neun Monate nach dem Wechsel von GA zu Piano Analytics davon überzeugt, die richtige Wahl getroffen zu haben. Die Hauptvorteile, die sie in Piano Analytics gefunden haben, sind die folgenden:

  • Komplexe Ergebnisfilter, die sehr intuitiv und einfach zu bedienen sind
  • Benutzerfreundliche Drag-and-Drop-Schnittstelle (API-Aufruf)
  • Flexible, anonyme Verfolgung
  • Klares, ergonomisches Dashboarding
  • Einfache Anbindung an Dashboarding-Tools

Vor allem haben sie jetzt die Gewissheit, dass sie künftig mit einer DSGVO-konformen Lösung arbeiten werden.

Was sind die wichtigsten Datenschutzanforderungen an eine konforme und vertrauenswürdige Analyseplattform?

Zum Abschluss des Webinars erläuterte Louis-Marie, Datenschutzbeauftragter der Piano Gruppe, was Unternehmen von einem Anbieter erwarten sollten, um sicherzustellen, dass sie DSGVO-konform sind.

Unternehmen, die zu einer alternativen Lösung wechseln wollen, sollten vor allem nach solchen Lösungen Ausschau halten, die ein ausgewogenes Verhältnis zwischen Datenverantwortlichem und Datenanbieter auf der Grundlage der Compliance bieten. In Übereinstimmung mit Artikel 28 der Datenschutz-Grundverordnung (DSGVO) erfordert dies eine klare und ausdrückliche Datenschutzvereinbarung, die das Folgende festlegt:

  • Benennung der Verantwortlichen für alle Maßnahmen im Zusammenhang mit den Daten und wer welche Parteien informiert
  • Welche personenbezogenen Daten genau verarbeitet werden, wie und zu welchem Zweck
  • Wo die Daten verarbeitet und gespeichert werden und die damit verbundenen Garantien

Die Unternehmen müssen auch sicherstellen, dass ihr Anbieter über eine Datenschutzvereinbarung verfügt, die in einer leicht verständlichen, zugänglichen Dokumentation darüber Auskunft gibt, wie er im Einklang mit der DSGVO arbeitet. Dazu gehört ein leicht zugänglicher Support mit klaren Antworten, um die Einhaltung der Vorschriften zu gewährleisten, sowie eine spezielle Kontaktperson für den Datenschutz.

Die Einhaltung der DSGVO durch Piano Analytics ist zudem auch wichtig, um von der Ausnahmeregelung für die Cookie-Zustimmung über Hybrid Analytics zu profitieren.

Was ist der beste Ansatz für die Zukunft?

Im März 2022 kündigten die EU und die USA eine grundsätzliche Einigung über einen transatlantischen Datenschutzrahmen (Transatlantic Data Privacy Framework – TADPF) an, der der Nachfolger des EU-US Privacy Shield sein soll. Das Dokument wurde jedoch noch nicht ausgearbeitet, und mit einer endgültigen Angemessenheitsentscheidung ist nicht vor Ende 2022 zu rechnen.

Die rechtswidrigen Datentransfers von Google in die USA sind derzeit ein heißes Thema, aber die Einhaltung der Datenschutzvorschriften ist nichts Neues, und die Durchsetzung der DSGVO wird fortgesetzt. Die Durchführung von Folgenabschätzungen und das rechtzeitige Erkennen der künftigen Datennutzung sind der beste Weg, um das Risiko zu vermeiden, durch plötzliche Änderungen der Datenschutzsituation bestraft zu werden.

Es geht im Wesentlichen um das Risikomanagement und die Garantien, die Sie von Ihrem Anbieter erhalten können, die die Wahl einer Alternative zur sichersten und praktikabelsten Option machen. Piano Analytics – und das hat sich seit der Übernahme von AT Internet durch die Piano Gruppe nicht geändert – bietet eines der konformsten Tools auf dem Markt. Wir geben Ihnen klare und einfache Schritte an die Hand, um eine zufriedenstellende Risikominimierung zu erreichen, die Sie dabei unterstützt, sorgenfrei vorauszuplanen, ohne Ihre Wettbewerbsfähigkeit auf Ihrem Markt zu gefährden.

Piano Analytics ist die erste Lösung, die von der französischen CNIL akkreditiert wurde und DSGVO-konform ist. Möchten Sie mehr darüber erfahren, wie Piano Analytics Ihre Daten konform halten kann? Fordern Sie jetzt eine Demo an.