Laut europäischer Aufsichtsbehörden (Österreich, Frankreich, Italien, etc.) ist der Einsatz von Google Analytics rechtswidrig. Auch die deutschen Aufsichtsbehörden positionieren sich immer eindeutiger gegen den Einsatz von Google Analytics.
Ein risikobasierter Ansatz mit zusätzlich getroffenen Schutzmaßnahmen, neben den Standardvertragsklauseln, wird empfohlen, jedoch ist auch dann der Einsatz von Google Analytics nicht 100% datenschutzkonform!
Risiko
Dies bedeutet, dass ein verbleibendes Risiko besteht, welches bei Beschwerden durch Nutzer zu einem Schmerzensgeld (siehe Google Fonts Urteil des Landgerichts München (Az. 3 O 17493/20), Bußgeldern und/oder Verlust der Daten durch Aufforderung zur Abschaltung des Tools führen kann.
Mögliche zusätzliche Schutzmaßnahmen (neben den Standardvertragsklauseln) zur Risikominimierung:
Abschluss eines Auftragsverarbeitungsvertrages
Einwilligung über einen Cookie-Banner einholen
Datenschutzerklärung auf der Webseite anpassen
Festlegung der Aufbewahrungsdauer der Daten
Anpassung der empfohlenen Standardeinstellungen (Datenminimierung)
Anonymisierung der IP-Adresse (bevor diese bei Google “landet“)
Durchführung einer TIA (Transfer Impact Assessment)
Eine Möglichkeit
Google Analytics ohne unrechtmäßige Datenübermittlung in die USA zu verwenden, wäre der Einsatz eines Proxy-Servers (Auffassung der CNIL). Dieser Proxy-Server muss laut CNIL sämtliche Kriterien erfüllen und darf natürlich nicht in einem unsicheren Drittland stehen. Ziel ist es, die Daten nicht direkt an Google zu übermitteln, sondern an einen Proxy-Server, welcher als Drittanbieter fungiert, und die personenbezogenen Daten verändert bzw. verschleiert an Google sendet.
Alternativen
Einige mögliche europäische Alternativen zu Google Analytics:
- Matomo
- lausible
- e-tracker
Fazit
Die deutschen Aufsichtsbehörden positionieren sich immer eindeutiger gegen den Einsatz von Google Analytics. Ein Umstieg auf europäische Alternativen sollte geprüft werden und ist zu begrüßen.
Grundsätzlich möchten wir hiermit noch einmal betonen und wieder darauf hinweisen, dass jeglicher Einsatz von US-Dienstleistern und Dienstleistern aus weiteren unsicheren Drittstaaten in Bezug auf Übermittlung von personenbezogen Daten einer sorgfältigen Datenschutzprüfung
unterzogen werden muss.