Google Analytics nicht DSGVO-konform: Wie nutze ich Google Analytics rechtlich sicher?

Google Analytics nicht DSGVO-konform: Wie nutze ich Google Analytics rechtlich sicher?

Wir helfen hier bei Problemen mit Google Fonts weiter.

  • Im Februar 2022 hat die französische Datenschutzbehörde CNIL jetzt Google Analytics wegen US-Datentransfers für unzulässig erklärt;
  • Bereits im Januar 2022 wurde Google Analytics von der Datenschutzbehörde in Österreich für illegal erklärt; Google Analytics sei nicht mit der DSGVO kompatibel
  • Geklagt hatte Datenschutzanwalt Max Schrems, der auch schon Safe Harbor und Privacy Shield gekippt hat

Nicht erst seit der Datenschutz-Grundverordnung (DSGVO) ist Monitoring eine heikle Sache im Web-Business. Deutsche Gerichte haben häufiger geurteilt und den Datenschutz dabei mehr und mehr zu einem Teil des Wettbewerbsrechts gemacht.

Meine Meinung zum Verbot in Frankreich und Österreich

Bislang ist die ganze Sache noch gar nicht so heiß, wie man denken könnte. Klar hat in Frankreich und Österreich die Datenschutzbehörde Google Analytics effektiv für illegal erklärt. Aber es gibt einige Punkte, die den Fall abmildern:

  1. Google Analytics war eigentlich schon immer illegal: Seit Inkrafttreten der DSGVO (und in Deutschland eigentlich schon vorher) waren US-amerikanische Dienste illegal, wenn sie nicht vorher akzeptiert wurden
  2. Der Beschluss wurde in einem konkreten Fall getroffen: Die Datenschutzbehörde hat nicht allgemein geurteilt, sondern in einem Fall beschlossen.
  3. Es wurde von einer Behörde beschlossen: Es war kein rechtskräftiges Gerichtsurteil oder Ähnliches. Natürlich haben auch Behörden Befugnisgewalt, aber die kann man anfechten, bspw. vor Gericht.
  4. Es ist im Ausland passiert: Das heißt auch, dass diese Gesetze nur dort gelten. Frankreich und Österreich sind zwar Teil der Europäischen Union, aber der Beschluss wurde von der nationalen Datenschutzbehörde gefällt und gilt damit auch nur in dem jeweiligen Land. Das hat mit Machtgrenzen zu tun.
  5. Allerdings kann sich das verbote ausweiten: Das wird auch deutlich. Nach Österreich im Januar 2022 hat Frankreich bereits im Februar 2022 nachgezogen. Weitere Länder können folgen; die Luft wird hier langsam dünn für Google

Dass Datenschutz zum Wettbewerbsrecht gezählt wird heißt vor allem: Abmahnungen und Prozesse werden teurer. Im Wettbewerbsrecht werden in der Regel höhere Summen abgemahnt als beim Menschenrecht, worunter das Datenschutzrecht bis etwas Mitte der 2010er vor allem gezählt wurde.

Vor allem Google-Dienste werden hierzulande besonders stark von staatlichen Stellen wie Datenschutzbehörden kontrolliert. Das bedeutet auch, dass Angebote wie Google Analytics rechtlich sicher sein sollten.

Guide: Google Analytics DSGVO-fest machen

Was kann ich jetzt tun? Es gibt einen einfachen Weg, um Google Analytics doch noch weiter benutzen zu können. Wir müssen Google begrenzen, den Code bearbeiten und alles in rechtlich sichere Bahnen packen. Hier die Schritte:

Schritt 1: Google-Analytics-Code in eine Sandbox packen

Das klingt komplizierter als es ist. Mit Sandbox ist hier eine Software, bspw. ein WordPress-Plugin gemeint. Und die Sandbox wird erst dann auch aktiv, sobald die Nutzer zustimmen. Ein Beispiel findet sich auf meiner eigenen Website. Empfehlen kann ich das WordPress-Plugin GDPR Cookie Compliance.

Zu achten ist hierauf:

  1. Das Sandbox-Plugin selbst muss DSGVO-konform sein (bei WordPress wird die Plugin-Software lokal in WordPress selbst ausgeführt; es ist aber darauf zu achten, dass keine Nutzungsberichts o.Ä. gesendet werden)
  2. Der Analytics-Code muss richtig eingefügt werden. Hier gibt es in der Regel Anleitungen und Tutorials durch den Hersteller.
  3. Standardmäßig muss Google Analytics deaktiviert sein. Damit ist der auf der Website eingebundene Quellcode bzw. Snippet gemeint.
  4. Google Analytics darf erst aktiviert werden, wenn Nutzer dem zustimmen. Auf der Website gibt es in der Regel einen Akzeptieren- und Ablehnen-Button. Alle Websites, die dem nicht folgen, handeln also illegal.

Schritt 2: Google-Analytics-Daten anonymisieren

Seit einiger Zeit bereits bietet Alphabet für Google Analytics (immerhin der größte Anbieter im Monitoring-Segment) die Möglichkeit, die Nutzerdaten bei Google Analytics zu verschlüsseln.

Jeder Google-Analytics-Nutzer erhält nach der Anmeldung die Möglichkeit seine Website zur Analyse einzutragen. Dafür bekommt der Nutzer im Registierungsprozess einen Code, den er im Head-Bereich seiner Website im dortigen HMTL-Code einbinden muss.

Der alte Analytics-Code ist nicht DSGVO-konform. Er sieht üblicherweise so aus:

<!– Global site tag (gtag.js) – Google Analytics –>
<script async src=“https://www.googletagmanager.com/gtag/js?id=UA-123456789-0″></script>
<script>
window.dataLayer = window.dataLayer || [];
function gtag(){dataLayer.push(arguments);}
gtag(‚js‘, new Date());
gtag(‚config‘, ‚UA-123456789-0‘),
</script>

Anm.: Der Code „UA-123456789-0“ ist nur ein Platzhalter und muss mit dem eigenen Google-Analytics-Mitgliedscode ausgetauscht werden.

Doch dieser Code ist noch nicht DSGVO-konform. Er muss an einigen Stellen angepasst werden (siehe aber auch den vorherigen Schritt; das Anpassen des Codes selbst reicht momentan nicht mehr aus.)

Der sichere Analytics-Code sieht dann so aus:

<script>
var gaProperty = ‚UA-000000000-0‚;
var disableStr = ‚ga-disable-‚ + gaProperty;
if (document.cookie.indexOf(disableStr + ‚=true‘) > -1) {
window[disableStr] = true;
}
function gaOptout() {
document.cookie = disableStr + ‚=true; expires=Thu, 31 Dec 2099 23:59:59 UTC; path=/‘;
window[disableStr] = true;
alert(‚Das Tracking ist jetzt deaktiviert‘);
}
(function(i,s,o,g,r,a,m){i[‚GoogleAnalyticsObject‘]=r;i[r]=i[r]||function(){
(i[r].q=i[r].q||[]).push(arguments)},i[r].l=1*new Date();a=s.createElement(o),
m=s.getElementsByTagName(o)[0];a.async=1;a.src=g;m.parentNode.insertBefore(a,m)
})(window,document,’script‘,’https://www.google-analytics.com/analytics.js‘,’ga‘);

ga(‚create‘, ‚UA-000000000-0‚, ‚auto‘);
ga(’set‘, ‚anonymizeIp‘, true);
ga(’send‘, ‚pageview‘);
</script>

Das „UA-000000000-0“ ersetzen Sie bitte mit Ihrem eigenen Snippet-Code. Den Code finden Sie in den „Einstellungen“ Ihres Google-Analytics-Kontos. Ihr UA-Code sieht bspw. so aus: „UA-546312978-5“.

Eine ausführliche Anleitung zur Anonymisierung von IPs in Analytics bietet auch Google selbst. Was in dem obigen Code vor allem angepasst wurde, ist zum einen die Anonymisierung der IP-Adresse (das ist der Befehl „ga(’set‘, ‚anonymizeIp‘, true);“) und das Setzen eine Verfallsdatums, wann der gesetzte Cookie-Code nicht mehr gültig ist. Natürlich kann das Datum auch weit vor Donnerstag, den 31. Dezember 2099 gesetzt werden. Das ist in diesem Fall nur ein Beispiel.

Schritt 3: Alle anderen Google-Dienste (Google-Fonts etc.) ebenfalls anpassen

Die DSGVO bestimmt, dass personenbezogene Daten grundsätzlich nur dann in ein Drittland übermittelt werden dürfen, wenn das betreffende Land für die Daten ein angemessenes Schutzniveau gewährleistet. Der EuGH hat 2020 geurteilt, dass eine Übermittlung personenbezogener Daten in die USA „Eingriffe in die Grundrechte“ ermögliche, denn das Privacy-Shield-Abkommen räume „den Erfordernissen der nationalen Sicherheit, des öffentlichen Interesses und der Einhaltung des amerikanischen Rechts Vorrang“ ein. US-Geheimdienste dürfen Dank Abschnitt 702 des amerikanischen Foreign Surveillance Act (Fisa) nämlich die Daten ausländischer Nutzer durchforsten, selbst ohne richterlichen Beschluss. Damit ist die Datenübertragung persönlicher Daten von der EU in die USA in vielen Fällen illegal.

Das betrifft auch die Google-Dienste. Denn neben Google Analytics gibt es noch weitere bekannte und unbekannte Google-Dienste; allen voran Google Fonts. Das sind auf Google-Servern gespeicherte Schrift-Arten, die beim Aufruf einer Website aktiviert werden. Dadurch weiß Google, wer wann auf welche Website zugegriffen hat; einfach dadurch, dass die entsprechende Schrift auf einer Website geladen wird. Für Google Fonts gilt im Prinzip dasselbe Verbot wie für Google Analytics.

Zuerst Google Analytics, jetzt Google Fonts: Wer startet, hat schon gegen Regeln verstoßen – mkln.org

Vor gar nicht allzu langer Zeit hat die österreichische Datenschutzbehörde den Einsatz von Google Analytics de facto verboten und mittlerweile haben auch andere Datenschutzbehörden – Holland und Deutschland (Hamburg) – ähnliche Entscheidungen angekündigt. Nun stolpere ich über ein Urteil des Landesgerichts München, in dem auch der Einsatz von Google Fonts, sofern direkt von Google geladen, bestraft wird.

Schritt 4: AV-Vertrag mit Google schließen

In Deutschland gibt es seit 1983 das Recht auf informationelle Selbstbestimmung – das höchste Datenschutzgrundrecht in Deutschland. Es erlaubt jedem Bundesbürger grundsätzlich selbst über die Verwendung seiner personenbezogenen Daten zu entscheiden

Bis zur Datenschutzgrundverordnung in der Europäischen Union musste ein wahres Wortmonster an Vertrag mit Google geschlossen werden, ein Standardauftragsdatenverarbeitungsvertrag. Das hat sich seit der DSGVO leicht geändert, denn inzwischen muss nur noch ein Auftragsverarbeitungsvertrag bzw. AV-Vertrag oder AVV aufgesetzt werden.

Nach deutschem Datenschutzrecht – genauer § 11 BDSG – muss ein formeller Vertrag mit der Drittpartei eingegangen werden. Dieser Vertrag beauftragt den Dritten förmlich mit der standardmäßigen Verarbeitung der Daten.

Eigentlich müssten nach BDSG und DSGVO alle Drittunternehmen, mit denen Sie Daten wechseln (also auch viele Plugin-Anbieter) solche Verträge mit Ihnen unterzeichnen. Doch Google ist als Branchenriese meist der einzige, bei dem die Datenschutzbehörden nachhaken.

Ich empfehle dennoch die Ausfertigung eines AV-Vertrags für alle Drittpartner, die für Sie Daten verarbeiten.

Warum Google Analytics anonymisieren?

Die Anonymisierung soll vor allem Ihren Seitenbesuchern dienen. Die Nutzung und allein schon der Besuch einer Website kann in Informationen über den Zugriff durch den Anbieter oder dessen Webspace-Provider resultieren, genauer:

  • Datum und Uhrzeit des Besuchs,
  • Website-Name und weitere Metadaten (Geolokalisierung usw.),
  • Meldung über erfolgreichen Abruf, Browsertyp und Version,
  • Betriebssystem des Endgeräts,
  • Dateien,
  • übertragene Datenmenge,
  • Referrer-URL (die zuvor besuchte Seite),
  • IP-Adresse (und damit verbundene Angaben wie Bildschirmauflösung),
  • der anfragende Provider
  • und so weiter

Das dabei angefertigte Protokoll wird nur für statistische Auswertungen zum Zweck des Betriebs, der Sicherheit und der Optimierung des Angebotes verwendet.

Der Anbieter darf die Protokolldaten nachträglich prüfen, wenn er eine rechtswidrige Nutzung aufgrund eines berechtigten Verdachts vermutet.

Anmerkung: Die Datenübertragung online, d.h. im Internet ist prinzipiell unsicher und nicht vor dem Zugriff durch Dritte geschützt.

Eine zusammenfassende Erklärung, welche Daten beim Zugriff auf eine Website anfallen, finden Sie in diesem Bildungsvideo.

Wie funktioniert das Internet?

Was spielt sich wirklich ab, wenn man zu Hause an seinem Rechner auf die Tasten drückt? Weil das nicht zu sehen ist, spielen wir das mit Menschen nach.Die In…

Die Anonymisierung dient vor allem dem Schutz der Besucher Ihrer Seite. Für Sie ist am Ende wichtig: Es ist rechtlich verbindend.

Datenschutzbehörden könnten Sie sonst rechtsgültig abmahnen. Außerdem empfiehlt es sich, einen Standardauftragsdatenverarbeitungsvertrag mit Google zu schließen. Ich erkläre in diesem verlinkten Beitrag in allen Details, was ein solcher Vertrag ist. Seit der DSGVO heißt er meist auch nur noch Auftragsverarbeitungsvertrag, AV-Vertrag oder ganz kurz AVV. Der AVV ist vor allem rechtlich wichtig, damit Google Analytics rechtlich konform wird. Im obigen Guide

Und was nun? Unsere Angebote:

DER Datenschutzbeauftragte: Christian Allner ist Experte in Datenschutzrecht und Datenschutzpraxis, beruflich qualifiziert und unabhängig. Seit 2013 führt er regelmäßig Weiterbildungen zu Datenschutz und Datensicherheit durch und coacht Unternehmen. Kontaktieren Sie gern uns oder beauftragen Sie uns direkt hier. Wir helfen Ihnen weiter: