Nachrichten zur Wirtschaft – aktuelle Wirtschaftsnachrichten Wirtschaft – aktuelle Nachrichten zu Wirtschaft und Politik Die digitale Welt ist mit einem Paukenschlag ins neue Jahr eingetreten. Von der österreichischen Datenschutzbehörde wurde die Entscheidung getroffen, dass der Einsatz von Google Analytics illegal ist – auch wenn es sich dabei nur um einen konkreten Fall handelt.
Viele Webseiten berichten über die Entscheidung in Österreich und viele Nutzer sind nun skeptisch: Werden auch andere Länder dem Beispiel des Alpenlandes folgen? Wird es dazu kommen, dass Google Analytics endgültig in Europa verboten wird?
Hier ein Einblick in das bahnbrechende Urteil und einige Tipps, wie darauf reagiert werden kann. Allerdings gibt es auch Beruhigendes, denn die Dinge sind nicht so schlimm, wie sie scheinen.
Europa’s Vorgehensweise gegen Google Analytics ist erst der Anfang
In dem österreichischen Fall geht es um die medizinische Webseite NetDektor, die wie Millionen andere Internetauftritte funktioniert. Sobald die Seite geladen wird, platziert die Webseite einen Cookie auf dem Gerät des Nutzers und verfolgt, was sie während des Besuchs tun. Neben den gelesenen Seiten kann dieses Tracking auch die Verweildauer auf der Webseite verfolgen und Informationen über das Gerät erfassen. Dafür ordnet Google dem Browser des Users eine Identifikationsnummer zu, mit der andere Daten verknüpft werden können.
Diese Analysedaten kann NetDoktor verwenden, um so festzustellen, wie viele Leser die Webseite verzeichnet und wofür diese sich interessieren – die Webseite wählt aus, was sie sammelt. Durch die Verwendung von Google Analytics (dem Verkehrsüberwachungsdienst des Technologieriesens) passieren all diese Daten die Google-Server und landen in den USA.
Eben dieser Versand der personenbezogenen Daten über den Atlantik sehen die Datenregulierer problematisch an. Und nun befindet sich die kleine österreichische medizinische Webseite im Zentrum des allmächtigen Gerangels zwischen den US-Gesetzen und den mächtigen Datenschutzbestimmungen Europas.
Die österreichische Datenschutzbehörde erklärte am 22. Dezember 2020, dass die Verwendung von Google Analytics auf NetDoktor gegen die DSGVO der EU verstößt. Die Daten die in die USA gesendet wurden, seien nicht ausreichend vor einem möglichen Zugriff der US-Geheimdienste geschützt.
Tage zuvor wurde bekannt, dass auch die Covid-19-Test-Webseite des Europäischen Parlaments laut einer Entscheidung des Europäischen Datenschutzbeauftragten (EDSB) gegen die DSGVO verstoßen habe, indem sie Cookies von Google Analytics und Stripe verwendete.
Die Verwendung von Google Analytics – warum ist sie illegal?
In dem fraglichen Fall ging es um ein österreichisches Portal, welches personenbezogene Daten (PII) mit dem Schwerpunkt Gesundheit auf seiner Webseite sammelte und dies ohne die vorherige Zustimmung der Nutzer. Im Anschluss wurden diese an Google Analytics-Server außerhalb der EU gesendet. Die Daten (PII) bestanden aus einer webseiten- und benutzerspezifischen Client-ID, der IP-Adresse (nicht anonymisiert) und Browserparametern.
Aufgrund dessen, dass es den US-Geheimdiensten möglich sein kann, auf diese Daten zuzugreifen, ist diese Praxis rechtswidrig und entspricht nicht der DSGVO.
Die gute Nachricht ist, dass es laut dem Verständnis der Google-Experten per se Google Analytics einzusetzen, sofern dies richtig implementiert wird. Hier ein Überblick was es zu beachten gibt, um die Gesetze einzuhalten.
Die Vorgehensweise bei der Erfassung von Kundendaten
Die Branche wurde durch die Meldung über die illegale Nutzung von Google Analytics erschüttert. Nicht nur die Google-Analytics-Nutzer sind sich unsicher im Umgang mit Daten, sondern auch die Endnutzer. Daher ist es ratsam, PII vertraulich und transparent zu erheben und diese ebenso vertraulich zu behandeln. Schließlich ist der vertrauensvolle Umgang mit Kundendaten eine Grundlage für eine gute und gesunde Beziehung zwischen den Webseiten-Betreibern bzw. online Shops und den Kunden.
Regelkonform Google Analytics einsetzen
Nicht Google Analytics ist das Problem und somit auch nicht illegal. Sondern es kommt auf die richtige Umsetzung an, wie zuletzt auch von Google betont wurde. Daher ist dringend zu empfehlen, die folgenden Schritte zu befolgen, um Probleme mit der DSGVO und den Datenschutzbehörden zu vermeiden.
Die einzelnen Schritte für die datenschutzkonforme Nutzung von Google Analytics:
Aktive Einwilligung → DPA & DpDs → Richtige Einrichtung → Serverseitigs Tagging
Auf keinen Fall sollte Google Analytics ohne die vorherige Zustimmung des Nutzers verwendet werden. Zu beachten ist zudem, dass nicht alle Zustimmungsbanner erlaubt sind.
Tipp: Ab besten mit einem professionellen Partner zusammenarbeiten, damit eine DSGVO-konforme Einwilligungslösung eingerichtet wird.
Es ist sicherzustellen, dass die neuen Datenverarbeitungssätze (DPAs) in den Kontoeinstellungen von Google Analytics akzeptiert wurden. Darüber hinaus ist Transparenz wichtig. Es muss den Kunden eine klar definierte Datenschutzerklärung (DPD) zur Verfügung gestellt werden, wenn die Daten an Anbieter außerhalb der EU gesendet werden.
Die IP-Anonymisierung muss aktiviert werden. Zugleich gilt es sicherzustellen, dass niemals personenbezogene Daten wie E-Mail-Adressen oder Telefonnummern an Google Analytics gesendet werden.
So schnell wie möglich sollte auf Server Side Tagging (SST) umgestellt werden. So können Daten dann in der EU verarbeitet werden, bevor sie in die USA oder andere Länder gesendet werden. SST gibt dem Webseitenbetreiber die maximale Kontrolle über die Daten, die an Google Analytics und andere Tools gesendet werden. So können bspw. IP-Adressen innerhalb der EU unkenntlich gemacht werden.
Zwei Fälle – zwei erste Entscheidungen nach einem Urteil von Juli 2020
Die beiden Fälle sind die ersten Entscheidungen nach einem Urteil vom Juli 2020, dass Privacy Shield, der Mechanismus, der von Tausenden von Unternehmen zum Verschieben von Daten aus der EU in die USA verwendet wird, illegal war. Diese wegweisenden Fälle werden wahrscheinlich Druck auf Verhandlungsführer in den USA und Europa ausüben, die versuchen, Privacy Shield durch eine neue Möglichkeit für den Datenfluss zwischen den beiden zu ersetzen. Wenn eine Einigung zu lange dauert, könnten ähnliche Fälle in ganz Europa einen Dominoeffekt haben, da Cloud-Dienste von Amazon, Facebook, Google und Microsoft möglicherweise alle für inkompatibel erklärt werden, ein Land nach dem anderen. „Dies ist ein Thema, das alle Aspekte der Wirtschaft und alle Aspekte des sozialen Lebens berührt“, sagt Gabriela Zanfir-Fortuna, Vizepräsidentin für globale Privatsphäre beim Future of Privacy Forum.
NetDoktor ist nicht einzigartig – aber es ist der bisher deutlichste Hinweis darauf, dass die europäischen Regulierungsbehörden die Art und Weise, wie US-Technologieunternehmen Daten über den Atlantik senden, immer noch nicht mögen. Aktuelle US-Überwachungsgesetze, einschließlich Section 702 des Foreign Intelligence Surveillance Act und Executive Order 12333, schützen Daten von Personen, die außerhalb der USA leben, nicht so gut wie diejenigen, die innerhalb der USA leben. Kurz gesagt: Es ist theoretisch möglich, dass US-Überwachungsbehörden riesige Datenmengen sammeln, die ins Land verschoben werden.