Google Analytics – Einsatz rechtswidrig

Laut europäischer Aufsichtsbehörden (Österreich, Frankreich, Italien, etc.) ist der Einsatz von Google Analytics rechtswidrig. Auch die deutschen Aufsichtsbehörden positionieren sich immer eindeutiger gegen den Einsatz von Google Analytics.

Ein risikobasierter Ansatz mit zusätzlich getroffenen Schutzmaßnahmen, neben den Standardvertragsklauseln, wird empfohlen, jedoch ist auch dann der Einsatz von Google Analytics nicht 100% datenschutzkonform!

Risiko

Dies bedeutet, dass ein verbleibendes Risiko besteht, welches bei Beschwerden durch Nutzer zu einem Schmerzensgeld (siehe Google Fonts Urteil des Landgerichts München (Az. 3 O 17493/20), Bußgeldern und/oder Verlust der Daten durch Aufforderung zur Abschaltung des Tools führen kann.

Mögliche zusätzliche Schutzmaßnahmen (neben den Standardvertragsklauseln) zur Risikominimierung:

Abschluss eines Auftragsverarbeitungsvertrages

Einwilligung über einen Cookie-Banner einholen

Datenschutzerklärung auf der Webseite anpassen

Festlegung der Aufbewahrungsdauer der Daten

Anpassung der empfohlenen Standardeinstellungen (Datenminimierung)

Anonymisierung der IP-Adresse (bevor diese bei Google “landet“)

Durchführung einer TIA (Transfer Impact Assessment)

Eine Möglichkeit

Google Analytics ohne unrechtmäßige Datenübermittlung in die USA zu verwenden, wäre der Einsatz eines Proxy-Servers (Auffassung der CNIL). Dieser Proxy-Server muss laut CNIL sämtliche Kriterien erfüllen und darf natürlich nicht in einem unsicheren Drittland stehen. Ziel ist es, die Daten nicht direkt an Google zu übermitteln, sondern an einen Proxy-Server, welcher als Drittanbieter fungiert, und die personenbezogenen Daten verändert bzw. verschleiert an Google sendet.

Alternativen

Einige mögliche europäische Alternativen zu Google Analytics:

  • Matomo
  • lausible
  • e-tracker

Fazit

Die deutschen Aufsichtsbehörden positionieren sich immer eindeutiger gegen den Einsatz von Google Analytics. Ein Umstieg auf europäische Alternativen sollte geprüft werden und ist zu begrüßen.

Grundsätzlich möchten wir hiermit noch einmal betonen und wieder darauf hinweisen, dass jeglicher Einsatz von US-Dienstleistern und Dienstleistern aus weiteren unsicheren Drittstaaten in Bezug auf Übermittlung von personenbezogen Daten einer sorgfältigen Datenschutzprüfung
unterzogen werden muss.