Google Analytics und Datenschutz
27. Mai 2022

Google Analytics EU-Verbot: Was gilt jetzt für Google Analytics und den Datenschutz?

Schon mit Inkrafttreten der Europäischen Datenschutzgrundverordnung (kurz: DSGVO) wurde der Einsatz von Google Analytics rechtlich kontrovers beurteilt. Regelmäßig wurde zur Legitimierung des Trackings aber auf Art. 6 Abs. (1) lit. (f) DSGVO verwiesen. Demnach ist der Einsatz von Tracking zulässig, wenn sich der Webseitenbetreiber auf ein berechtigtes Interesse berufen kann. Die Diskussion ums Tracking bekommt nun neuen Aufwind. Anlass dafür war eine Entscheidung der österreichischen Datenschutzbehörde im Januar 2022. Demnach verstößt Google Analytics gegen die DSGVO. Möglicherweise droht Google Analytics ein EU-Verbot. Was bedeutet das für Webseitenbetreiber?

Verstößt Google Analytics tatsächlich gegen die DSGVO?

Die österreichischen Datenschützer:innen sehen gerade in der Übermittlung von personenbezogenen Daten in die USA ein Problem. Praktisch bedeutet das nämlich, dass amerikanische Behörden auf personenbezogene Daten zugreifen können. Gerade das soll aber durch die DSGVO verhindert werden. Eine Übermittlung und damit eine Verarbeitung von personenbezogenen Daten ist nach der DSGVO nur dann zulässig, wenn eine vertragliche Vereinbarung besteht, die dies explizit vorsieht. Bei der Übermittlung von Daten in Drittländer, also Länder außerhalb der EU, sind zudem die Grundsätze aus Art. 44 DSGVO einzuhalten.

Bei der Verwendung von Google Analytics werden die erhobenen Daten an Google übermittelt. Als amerikanisches Unternehmen unterliegt Google wiederum dem Zugriff der amerikanischen Behörden. Diese können so auch auf die in Europa erhobenen Daten zugreifen. Dieser Vorgang stellt einen direkten Verstoß gegen die DSGVO dar.

Der Ansicht der österreichischen Datenschutzbehörde hat sich nun auch die französische Überwachungsbehörde angeschlossen. Auch sie erachtet die Übermittlung von Google Analytics an das Unternehmen Google für illegal.

Folgt nun ein komplettes Google Analytics EU-Verbot?

Die Tatsache, dass nun schon in zwei europäischen Ländern die Nutzung von Google Analytics als unrechtmäßig eingestuft wird, hat insbesondere im Bereich Marketing für Alarmbereitschaft gesorgt. Das Thema Datenschutz im Marketing ist immer wieder von Brisanz. Dabei geht es sowohl ums Tracking als auch um Webanalysen. Beide Instrumente liefern dem Webseitenbetreiber Informationen über das Besucherverhalten auf der Webseite.

Besonders beim digitalen Marketing spielt die DSGVO eine prominente Rolle. In diesem Zusammenhang ist es für Unternehmen unerlässlich, Mitarbeiter:innen zum Thema Datenschutz im Marketing eingehend zu schulen. Diese Schulung ist wichtig, weil bei Verstößen gegen die DSGVO empfindliche Bußgelder, enorme Imageschäden und ggfs. auch Abmahnungen drohen. lawpilots hilft Ihnen mit dem E-Learning „Datenschutz im Marketing“ dabei, Ihr Unternehmen ganzheitlich und nachhaltig vor Datenschutzverstößen und deren negativen Konsequenzen zu schützen. Zusammen mit lawpilots schulen Sie jedoch nicht Ihre Marketingabteilung effizient. lawpilots bietet auch eine Vielzahl an anderen Datenschutz Online-Schulungen für diverse Abteilungen wie zum Beispiel für Mitarbeiter:innen im Personalwesen oder für Entscheider:innen bzw. Führungskräfte

Welche Auswirkungen die Bescheide aus Österreich und Frankreich haben werden, ist aktuell nur schwer abzuschätzen. Grundsätzlich realistisch ist aber, dass sich auch weitere Länder den Bescheiden anschließen werden. Für Google Analytics kann das unter Umständen das Aus in ganz Europa bedeuten. Zumindest in Österreich und Frankreich dürfen Webseitenbetreiber auf keinen Fall mehr auf Google Analytics zurückgreifen. Im Gegenteil wird explizit empfohlen, eigene Dienste zu nutzen, die durch anonyme Statistikdaten eine Analyse ermöglichen.

Welche Möglichkeiten haben Unternehmen jetzt beim digitalen Marketing?

Sollte es tatsächlich zu einem allgemeinen Google Analytics EU-Verbot kommen, würde das im digitalen Marketing eine Zäsur bedeuten. Zumindest wäre damit nämlich die bisherige Praxis, personenbezogene Daten über Google Analytics zu nutzen, als unrechtmäßig einzustufen. Dies bringt die Gefahr eines Bußgeldes oder mindestens einer Verwarnung mit sich.

Allerdings stehen die Zeichen ganz im Sinne eines umfassenden Verbotes. Immerhin laufen auch in den Niederlanden aktuell zwei Verfahren, die die Rechtmäßigkeit von Google Analytics in Frage stellen. Unternehmen, Datenschutzbeauftragte und Marketing Manager:innen sollten sich daher kritisch mit dem eigenen Datenschutz auseinandersetzen. Dazu gehört nicht nur, das Sicherheitsbewusstsein in der Belegschaft zu stärken, sondern auch die Durchführung einer sogenannten Datenschutzfolgenabschätzung (kurz: DSFA). Diese soll das Risiko von Verstößen gegen den Datenschutz reduzieren. Für Unternehmen ist nach Art. 35 DSGVO eine DSFA immer dann verpflichtend, wenn der Umgang mit personenbezogenen Daten ein hohes Risiko für die Betroffenen darstellt.

Parallel dazu besteht für Unternehmen die Möglichkeit, auf andere Methoden und Instrumente zur Analyse umzusteigen, die den Schutz von personenbezogenen Daten gewährleisten. Dabei ist – gerade vor dem Hintergrund des Datenexports in Drittländer – darauf zu achten, dass keine Daten aus der EU heraus übertragen werden.

Drohen Unternehmen Sanktionen beim Einsatz von Google Analytics?

Verstöße gegen die DSGVO können Bußgelder auslösen. Diese sind vom Jahresumsatz des Unternehmens abhängig. Im schlechtesten Fall beträgt das Bußgeld 20 Millionen Euro oder 4 % vom Jahresumsatz. Neben dem behördlich angeordneten Bußgeld können aber auch Ansprüche auf Schadensersatz in Betracht kommen. Schadenersatz steht im Rahmen der DSGVO den betroffenen Personen zu, deren Rechte verletzt wurden.

Wird Google Analytics tatsächlich EU-weit als nicht DSGVO-konform eingestuft, können Unternehmen das Tool nicht mehr rechtmäßig auf ihren Webseiten einsetzen. Nutzen sie Google Analytics weiterhin, steigt das Risiko von Bußgeldern und Schadensersatzforderungen.

Die Datenschutzprozesse im Unternehmen sind immer wieder und regelmäßig kritisch zu hinterfragen und anzupassen, nicht nur wenn Datenschutzaufsichtsbehörden sich äußern oder Gerichtsurteile veröffentlicht werden.

„Eines der wichtigsten Instrumente im Datenschutz ist die Sensibilisierung der Beschäftigten, Awareness schaffen für das Thema. Dazu gehört auch, dass der DSB rechtzeitig eingebunden wird – dies gilt nicht nur bei Planungen für neue Marketingmaßnahmen, sondern für alle Unternehmensbereiche. Regelmäßige Schulungen und Fortbildungsmaßnahmen unterstützen dabei, das Bewusstsein für Datenschutz und für Datensicherheit zu schärfen.“, sagt Regina Mühlich, Expertin für Datenschutz. 

Fazit: Ruhe bewahren – und nach Alternativen Ausschau halten!

Der Schutz von personenbezogenen Daten ist Dreh- und Angelpunkt der DSGVO. Gleichzeitig gilt Google Analytics mit mehr als zehn Millionen Klicks pro Monat völlig zu Recht als „Platzhirsch“ unter den digitalen Tools im Marketing. Ein datenschutzkonformer Einsatz ist für Unternehmen daher nicht nur wünschenswert, sondern zwingend erforderlich. Dazu gibt es viele denkbare Szenarien. Eines davon wäre beispielsweise, dass keine Daten mehr an Google selbst weitergegeben werden. Andererseits ist die Diskussion um die rechtliche Beurteilung von Tracking noch nicht abgeschlossen. Aktuelle Entwicklungen und auch Gerichtsurteile können hier in der nächsten Zeit entscheidende Impulse liefern. Wer auf Nummer Sicher gehen möchte, sollte bis dahin auf anonyme Statistikdaten zurückgreifen oder auf das Sammeln unnötiger Daten verzichten.

lawpilots ist Marktführer in E-Learnings zu rechtlich-regulatorischen Themen und schult Ihre Mitarbeiter:innen nicht nur zu den Themen Datenschutz und DSGVO, sondern auch den Bereichen Compliance, Informationssicherheit und Arbeitsschutz. Durch unsere Online-Schulungen stellen Sie sicher, dass Ihre Mitarbeiter:innen Ihr Unternehmen aktiv vor Imageschäden, Sanktionen und Bußgeldern schützen.

31. Mai 2022
LGBTQI+ im Unternehmen: Pinkwashing oder ehrliches Engagement?
20. Mai 2022
Corona-Arbeitsschutzverordnung: Diese Regeln gelten jetzt für den Infektionsschutz im Unternehmen!
lawpilots GmbH hat 4,64 von 5 Sternen 2330 Bewertungen auf ProvenExpert.com