Google Analytics ist für viele Blogger und Websitebetreiber DAS Analysetool, um mehr über ihre Leser und Kunden zu erfahren. Anhand von Google Analytics können wir sehen, wie lange die Besucher auf einer Seite bleiben, mit welchen Keywords sie auf unser Blog finden und einiges mehr. Die Daten helfen dabei, Inhalte zu optimieren und gezielter anzubieten als auch die Ergebnisse von Werbemaßnahmen besser zu kontrollieren.
Die Nutzung von Google Analytics und des Trackings wurde mit der Umsetzung der Datenschutz-Grundverordnung (DSGVO) 2018 schwieriger. Viele Blogger und Websitebetreiber waren sich unsicher, ob und wie Google Analytics noch rechtssicher zu nutzen ist. Und unter uns: Gefühlt hat man sich immer wie mit einem Bein im Knast.
Doch rund 4 Jahren nach der Einführung der DSGVO war klar, nichts wird so heiß gegessen, wie es gekocht wird. Unter bestimmten Voraussetzungen, wie den Einsatz der IP-Maskierung war die Nutzung von Google Analytics weiterhin möglich, wenn auch immer noch kritisch. Denn auch wenn die Daten auf den Servern von Google anonymisiert sind, werden sie dennoch in die USA weitergeleitet.
Und das ist ein Problem! US-Unternehmen, wie Google, Mailchimp, Calendly oder Facebook sind gesetzlich verpflichtet, persönliche Daten an US-Behörden weiterzuleiten. Ein klarer Verstoß gegen die DSGVO.
Genau zu diesem Punkt gibt es aktuell einen Bescheid aus Österreich. Dort hat die Datenschutzbehörde sich das Gesundheitsportal netdoktor.at angeschaut und den Umgang mit IP-Adressen sowie die damit verbundenen Nutzerdaten bei Google Analytics geprüft. Die Behörde hat festgestellt, dass die Nutzung von Google Analytics gegen die DSGVO verstößt und da Österreich Teil der EU, betrifft die Entscheidung auch uns in Deutschland.
Die Frage ist nun, inwieweit wir alle davon betroffen sind und was der Bescheid für uns als deutsche Nutzer bedeutet. Auch stellt sich die Frage, wie die Zukunft für den Einsatz von Google Analytics konkret aussehen wird.
Da ich kein Experte auf dem Gebiet bin, habe ich mit der Medienrechtsanwältin Astrid Christofori (AC) gesprochen und ihr dazu einige Fragen gestellt:
Liebe Astrid, aktuell hat die Datenschutzbehörde in Österreich einen Bescheid erstellt, dass die Nutzung von Google Analytics gegen die DSGVO verstößt. Was genau wird bemängelt?
AC: Liebe Daniela, ja, der Einsatz von „Google Analytics“ ist im Moment ein spannendes Thema. Aber vorweg: es liegt bisher keine Entscheidung eines Gerichts vor. Vielmehr hat die österreichische Datenschutzbehörde auf eine Beschwerde hin entschieden, dass die Nutzung von Google Analytics nicht zulässig ist. Gegen diese Entscheidung kann der Betreiber der betroffenen Website gerichtlich vorgehen. Erst dann würde es zu einer gerichtlichen Entscheidung kommen, die uns irgendwann in dieser Frage „Rechtssicherheit“ geben wird.
Allgemein kann man feststellen, dass der Einsatz von Google Analytics an vielen Stellen vorsichtig geprüft und inhaltlich kritisch hinterfragt wird – nicht nur in Österreich. In den Niederlanden gibt es wohl auch mehrere Verfahren, in denen die nationale Datenschutzbehörde das prüft.
Bedeutet die Entscheidung, dass Blogger zum Erfassen der Verweildauer, Leserzahlen oder Suchanfragen Google Analytics ab sofort nicht mehr nutzen dürfen?
AC: Aus meiner Sicht nein, da es erst einmal „nur“ eine Behördenentscheidung ist, die gerichtlich überprüft werden kann. Allerdings bin ich nicht davon überzeugt, dass Gerichte die Nutzung von Google Analytics als problemlos einschätzen werden. Ich halte es daher schon für sinnvoll, sich zu fragen, ob beziehungsweise wofür man Google Analytics tatsächlich benötigt und ob es längerfristig alternative Möglichkeiten gibt.
Was ist das schlimmste, das passieren kann, wenn Google Analytics dennoch weiter eingesetzt wird?
AC: Nutzer:innen einer Webseite können sich bei den zuständigen Datenschutzaufsichtsbehörden beschweren. Diese können, aufgrund einer solchen Beschwerde, auch von sich aus eine Prüfung einleiten.
Die Datenschutzaufsichtsbehörden haben 2020 in der Datenschutzkonferenz bereits einen Beschluss zu den Mindestanforderungen (aus ihrer Sicht) für den Einsatz von Google Analytics formuliert. Man kann davon ausgehen, dass diese Gedanken einer behördlichen Prüfung ebenfalls zugrundegelegt werden. Im Dezember wurde eine aktualisierte „Orientierungshilfe für Anbieter:innen von Telemedien“ veröffentlicht, um die Voraussetzungen einer wirksamen Einwilligung für die Nutzung von zum Beispiel Google Analytics festzulegen – ab Seite 29.
Besonders wichtig ist daher zu klären, ob man überhaupt (so weit dies wirksam möglich ist) eine informierte und freiwillige vorherige Einwilligung der Nutzer:innen dazu einholt. Ebenso, ob man die IP-Adressen korrekt anonymisiert. Beides löst nicht die grundsätzlichen Probleme, die mit einer Google-Analytics-Nutzung verbunden sind – erleichtert aber hoffentlich die Argumentation.
Tipp: Ob man die Anonymisierung korrekt eingebaut hat, lässt sich auf dieser Seite überprüfen: https://checkgoogleanalytics.psi.uni-bamberg.de/
Was empfiehlst du Blogger und Websitebetreibern, jetzt zu tun?
AC: Sie sollten mindestens eine informierte und freiwillige vorherige Einwilligung der Nutzer:innen einholen sowie die IP-Anonymisierung einbauen. Noch besser wäre es zu prüfen, ob beziehungsweise in welchem Ausmaß Google-Analytics wirklich gebraucht wird und wofür. Auf dieser Basis lässt sich gezielt nach datenschutzkonformen Alternativen suchen.
Welche Alternativen empfiehlst du zu Google Analytics?
AC: Das hängt natürlich vom Umfang der Nutzung ab. Ein gutes Beispiel ist Matomo, aber es gibt auch viele andere Tools. Ich selbst nutze das absolut minimale Plugin Statify.
Neben Google Analytis werden auch gerne die anderen Dienste des Suchmaschinenriesen genutzt. Dürfen diese auch nicht mehr verwendet werden aus den gleichen Gründen?
AC: Es ist ein grundsätzliches Problem. In den letzten Tagen gab es zusätzlich eine Entscheidung zur Nutzung von Google Fonts. Google Fonts ist eine Sammlung von kostenlos verfügbaren Webfonts (Schriftarten). Um es zu erklären: Wenn ich einen Blogbeitrag auf bloggerabc.de aufrufe, dann geht es mir darum, diesen Blogbeitrag auf deiner Domain zu lesen.
Ich merke es aber nicht, ob beziehungsweise welche „dritten Seiten“ (man nennt das auch „third party contacts“) ich gleichzeitig aufrufe, weil diese ohne mein Wissen aufgerufen werden. Wenn ein Blog also Google Fonts nicht lokal nutzt, dann rufe ich gleichzeitig Google Fonts in den USA auf. Bisher hat man das oft über den Datenschutzhinweis gelöst. Man hat also gesagt, dass der Blogger oder die Bloggerin ein berechtigtes Interesse hat, Google Fonts zu nutzen. Und da sagt das Landgericht München jetzt, dass das nicht reicht und hat dem Kläger sogar einen Schadensersatzanspruch in Höhe von 100 Euro zugesprochen.
Zusammen mit den Entscheidungen zu Google Analytics bedeutet das für Bloggerinnen und Blogger meines Erachtens Folgendes:
(1) Ich sollte wissen, ob oder welche „Drittkontakte“ meine Webseite beim Aufruf auslöst.
Wie mache ich das? Ich kann meine Seite zum Beispiel bei https://webbkoll.dataskydd.net/de/ eingeben und sehe dann weiter unten, ob und wenn ja, welche Drittseiten aufgerufen werden.
Beispiel a: das ist die Seite eines Blogs. Die Domain habe ich bei webbkoll.dataskydd eingegeben. Wenn man jetzt auf den Bereich „Drittanfragen“ klickt oder ganz nach unten scrollt, dann findet man zum Beispiel so etwas wie im Screenshot A.
Hier kann ich von außen sehen, dass der Blogger/die Bloggerin Google Fonts nutzt. Wenn ich jetzt auf die IP-Adresse klicke (Screenshot B), dann sehe ich, dass diese IP-Adresse in den USA ist.
Wenn ich also dieses Blog aufrufe, dann rufe ich automatisch und ohne es zu wissen auch die Schriften von Google in den USA ab.
Das Problem kann man lösen, indem man die Schriften lokal einbindet.
Möglicherweise findest du dort auch noch weitere Drittkontakte. Als Beispiel zeigt Screenshot C die Drittkontakte, die ich beim Aufruf der Seite netdoktor.at (Ausgangspunkt unseres Gesprächs) aufrufe. Man sieht „Google Analytics“, man sieht aber auch ein paar andere Aufrufe. Über den Klick auf die IP-Adresse kann schauen, wohin diese Aufrufe führen. Aufrufe von Seiten in den USA sind seit dem Urteil „Schrems II“ problematisch.
(2) Was mache ich mit dieser Information?
Überprüfen, welche Tools oder Dienste hinter diesen Aufrufen stecken.
(3) Und dann? Überlegen, ob ich das Tool oder den Dienst, wofür ich das Tool habe, brauche. Wie wichtig ist es mir und/oder kann ich es durch ein Tool/einen Dienst ersetzen, bei dem kein Aufruf einer Seite in den USA erfolgt? Wenn nein, kann ich das zumindest über eine „informierte Einwilligung“ einbinden?
Achtung: es ist nicht ungefährlich, wenn das Tool, mit dem die Einwilligung eingeholt wird, selbst beim Aufruf der Webseite eine Seite in den USA aufruft.
Wie sieht es aus mit Anbietern wie Mailchimp oder Active Campaign? Diese Tools sind von US-Unternehmen und werden vielfach in Deutschland eingesetzt? Dürfen diese weiterhin genutzt werden oder sollten dafür auch Alternativen verwendet werden? Wenn ja, hast du Empfehlungen?
AC: Es ist wie gesagt ein grundsätzliches Problem. Wir hatten 2018 eine „Welle“ von datenschutzrechtlichen Problemen befürchtet, die damals (glücklicherweise) ausgeblieben ist. Jetzt im Moment tut sich gerade sehr viel. Das ist langfristig unter dem Aspekt Rechtssicherheit gut. Für einzelne Bloggerinnen und Blogger ist das natürlich nervig.
Die wesentliche Frage ist eigentlich: möchte ich eine sichere Lösung, die mich möglichst wenig angreifbar macht – dann sollte ich tatsächlich darauf achten, dass beim Aufruf meiner Seite keine amerikanischen Seiten aufgerufen werden. Wenn Sicherheit für mich nicht „so“ wichtig ist, dann kann man mit einer „informierten Einwilligung“ weiter arbeiten. In dem Fall sollte ich aber gut verfolgen, welche Entscheidungen in den nächsten Wochen und Monaten gefällt werden. Ich persönlich mache das über Twitter – da kommt man sehr schnell an alle notwendigen Informationen.
Liebe Astrid, herzlichen Dank für das Gespräch!
Weiterführende Links zum Thema:
Österreichische Datenschutzbehörde: EU-US-Datenübermittlung an Google Analytics illegal
Wie du Google Fonts lokal und DSGVO-konform in WordPress einbindest
Dem Datenschutz zuliebe: Wie ihr Google Fonts DSGVO-konform lokal in eure Webseiten einbindet
Zum Thema Consent Management Tool:
STREIT UM US-DATENTRANSFER Hessischer VGH hebt einstweilige Anordnung gegen Hochschule auf
Open Source Alternative Klaro + Thread dazu auf Twitter
Alternativen zu Google Analytics
Die 12 besten Alternativen zu Google Analytics in 2022
You do not need Google Analytics – A list of privacy-friendly Google Analytics alternatives
Astrid Christofori ist selbstständige Rechtsanwältin. Sie arbeitet vor allem im Vertragsrecht, Urheberrecht und behandelt rechtliche Themen rund um Social Media. In ihrer Freizeit liest sie gerne und liebt Theater, Kunst und Kultur. Gelegentlich twittert sie unter @A_Christofori
Kontakt: https://www.kooperationsblog.de/impressum/
Sie bloggt unter: https://www.mediativegedanken.de/
Hallo Daniela,
Danke für den sehr ausführlichen und interessanten Artikel! Zum IP-Anonymisierungs-Prüftool wär anzumerken, dass es Probleme mit GA4 hat. Da bei GA4 die Anonymisierung standardmäßig aktiviert ist und nicht über anonymize_ip‘: true aktiviert werden muss, erkennt das das Prüftool nicht und zeigt es als „Anfragen an Google Analytics ohne IP-Anonymisierung an“!
Alexander
Hallo Alexander,
danke dir für deinen Kommentar und deine Ausführung! Hättest du für dieses Problem noch eine alternative Lösung?
Viele Grüße Daniela