Anzeige

Datenschutz

Das Ende für Google Analytics?

Aufmacher Analytics

Das Aus für Analytics in Europa? Das US-Magazin "Wired" vermutet, dass die österreichische Entscheidung nur der erste Dominostein ist, der fällt – Foto: Imago / YAY Images

Wer Google Analytics nutzt und die Daten nicht schon vorher anonymisiert, verletzt die DSGVO. Das ist die Essenz aus der Entscheidung der österreichischen Datenschutzbehörde DSB. Das Problem: Nicht Google haftet, sondern der Websitebetreiber. Es ist höchste Zeit, das eigene Tracking-Konzept zu überarbeiten.

Anzeige

Das Enfant Terrible der Datenmarketer hat wieder zugeschlagen. Und zwar unter seinem neuen Pseudonym NOYB. Die Rede ist vom Datenschutz-Querulanten Max Schrems, der nichts anderes zu tun zu haben scheint, als von Unternehmen, Datenschutzbehörden und Gerichten einzufordern, dass die DSGVO auch stringent umgesetzt wird. NOYB ist die Non-Profit-Organisation, die Schrems ins Leben gerufen hat. Das Akronym steht für: Non of your business. Der virtuelle „Vorname“ lautet: „My Data is“.

Schrems ist natürlich in Wahrheit gar kein Querulant. Er fordert schließlich nur ein, was die Gesetzgeber formuliert und der europäische Gerichtshof 2020 zum wiederholten Mal bestätigt hat. Auf Worte sollen Taten folgen, meint der streitbare Österreicher. Und er hat ein starkes Argument auf seiner Seite: Im Vergleich zu Abmahnvereinen oder juristischen Personen, wie zum Beispiel der Deutschen Umwelthilfe, agiert Schrems meistens als Privatbürger und unmittelbar Geschädigter. Das hat zwei Auswirkungen: Formal muss ein Gericht dem nachgehen, denn Privatpersonen sind laut Wortlaut DSGVO explizit klageberechtigt. Und die Wirkung eines Urteils ist 1:1 übertragbar auf sehr viele weitere User einer Website. Das Risiko für Websitebetreiber steigt.

Die USA als unsicheres Land

Was ist passiert? Die Datenschutz Behörde (DSB) hat entschieden, dass es nicht der DSGVO entspricht, dass die Plattform netdoktor.at Trafficdaten an Google Analytics weiterreicht. Das widerspreche dem „Exportverbot für Daten“, das die DSGVO dann ausspricht, wenn das jeweilige Unternehmen in einem „unsicheren“ Land beheimatet ist.

Und die USA sind ein solch unsicheres Land. 2020 hat der Europäische Gerichtshof (EuGH) festgestellt, dass das Datentransferabkommen Privacy-Shield nicht genügt, um die Daten der Menschen im Sinne der DSGVO zu schützen. Der wichtigste Kritikpunkt der europäischen Richter ist die Tatsache, dass Strafverfolgungsbehörden in den USA Zugriff auf die Daten haben. In jüngster Vergangenheit sind mehrere Fälle publik geworden, in denen CIA, FBI oder NSA zum Beispiel Daten aus Google Maps verwendet haben, um mutmaßliche Straftäter zu verfolgen.

Der EuGH sieht das dann als problematisch, wenn keine intensive Prüfung des Einzelfalls vorliegt, bevor auf die Daten zugegriffen wird. In „sicheren“ Ländern existiert zum Beispiel der Vorbehalt, dass eine richterliche Anordnung vorliegen muss.

Nach dem EuGH-Urteil 2020 hat Google kleinere zusätzliche Sicherheitsmaßnahmen eingeführt und seinen Kunden zugesichert, dass ihre Daten sicher sind. Diese Maßnahmen seien allesamt untauglich, um einen Schutz der Daten vor Zugriff durch US-Behörden zu verhindern, meint die DSB. Tatsächlich enthält eine Maßnahme – die direkte Information des Betroffenen, wenn US-Behörden Zugriff auf dessen Daten angefragt haben – für sich genommen selbst das Potential, die DSGVO zu verletzten.

NOYB hat die Entscheidung freudig begrüßt und verlinkt im Blogpost auf das Original der Begründung.

Ein Problem, zwei Lösungen

Ist das ein Grund zur Panik für Websitebetreiber, die Google Analytics einsetzen? Vielleicht. Es kommt entscheidend darauf an, welche Daten in die USA übermittelt werden und in welchem Format. „Netdoktor.at hat zugegeben, die Möglichkeit der Anonymisierung der IP-Adresse in Analytics nicht richtig eingesetzt zu haben“, erklärt Thomas Tauchner, einer der beiden Gründer des Tracking-Anbieters Jentis.

Thomas Tauchner Jentis
Nur durch vorhergehende Anonymisierung kann Google Analytics DSGVO-konform eingesetzt werden, meint Thomas Tauchner von Jentis – Foto: Jentis

Doch selbst das hätte nach Ansicht der österreichischen Datenaufsicht nichts genützt. Analytics sammelt so viele andere Datenpunkte, dass aus der einzigartigen Kombination eben doch Rückschlüsse auf die Einzelperson möglich sind. „Für E-Commerce-Unternehmen, die Retargeting machen ist das besonders bitter“, so Tauchner. Das US-Magazin „Wired“ sieht im Vorgehen des DSB nur einen ersten Dominostein von vielen, die nach und nach Fallen werden.

Eine Lösung könnte sein, auf einen anderen Trackinganbieter zu setzen, der in Europa stationiert ist. Viele Augen richten sich auf die polnische Lösung von Piwik. Auch dieser Anbieter geht mit einem kostenlosen Einstiegsangebot hausieren. Und – Google-freundlich – ist praktisch auf jeder Piwik-Seite zu lesen: die perfekte Alternative zu Google Analytics.

Auch andere Anbieter wie Etracker (Hamburg) oder Mapp rechnen sich gute Chancen aus und machen sich für Wechselwillige hübsch. Mapp hat praktischerweise vor zweieinhalb Jahren Webtrekk aus Berlin gekauft. Ein anerkannt hochwertiger Anbieter mit deutschem bzw. europäischem Serverstandort. Allerdings bleibt Mapp ein US-Unternehmen und es stellt sich die Frage, inwieweit die US-Behörden Durchgriff auf die Europa-Töchter haben. Das „Problem“ aller reinen Tracking-Lösungen ist allerdings die nicht vorhandene Integration zu den Targeting- und Attributionssystemen, die deutsche Marketer in den letzten Jahren lieben gelernt haben.

„Die Alternative ist, die Daten zu anonymisieren, bevor sie an Google Analytics weitergehen“, erläutert Thomas Tauchner nicht ganz uneigennützig. Die Wiener Experten von Jentis haben dafür eine Lösung entwickelt und setzen außerdem auf Serverside Tracking. „Durch die Anonymisierung sind die Daten nicht mehr ganz so granular aktivierbar wie beim Cookie-Tracking, aber auf Dauer ist das die einzig nachhaltige Lösung“, so Tauchner. Er geht davon aus, dass gleich eine Handvoll Faktoren dazu beitragen, dass das Tracking im Browser des Nutzers zum Tode verurteilt ist. Dazu zählen auch die erodierende Browserunterstützung für 3rd-Party-Cookies, die Cookie-Blocker oder die Trackingunterdrückung bei iOS.

Und natürlich die weitere Klage-Freudigkeit von Max Schrems.

Anzeige