Google Analytics - Bleiben oder umsteigen?

Was haben 101 Dalmatiner mit dem Datenschutz in Ihrem Unternehmen zu tun? Eigentlich nichts … und ein bisschen was doch. Denn es waren auch 101 Beschwerden, welche die österreichische Datenschutz-Organisation noyb rund um den Juristen Max Schrems im August 2020 bei Datenschutzbehörden in 30 europäischen Ländern eingereicht hat. Auch Ihr Unternehmen hätte einer der „Dalmatiner“ sein können, sofern Sie Google Analytics oder Facebook Connect nutzen. Diese Analysedienste werten Tracking-Daten aus, die Besucher auf Ihrer Website hinterlassen. Und wahrscheinlich nutzen Sie eines der Tools, denn allein der Marktanteil von Google Analytics liegt bei mehr als 80 Prozent.

Das Problem? Personenbezogenen Daten der Besucher Ihrer Website werden von Google oder Facebook auf deren Server in die USA übermittelt. Doch das ist seit einem Urteil des Europäischen Gerichtshofs (EuGH) im Juli 2020 nicht mehr zulässig, weil sich so US-Geheimdienste Zugriff auf die Daten verschaffen könnten. Aber zurück zu den Dalmatinern. Österreichs Datenschutzbehörde hat um die Jahreswende 2021/22 auf den ersten Dalmatiner … äh, auf die erste der 101 noyb-Beschwerden reagiert. Vereinfacht gesagt, hat sie bestätigt, dass die Nutzung von Google Analytics gegen die Datenschutzgrundverordnung (DSGVO) verstößt – jedenfalls im konkreten Fall von NetDoktor. Ähnliches wird auch für die restlichen 100 Beschwerden angenommen. Kurz danach folgten auch schon die französische Datenschutzbehörde mit einer ähnlichen Reaktion und dann die italienische. Bis es aber zu endgültigen, also rechtskräftigen Entscheidungen kommt, kann es laut dem österreichischen Datenschutz-Anwalt Rainer Knyrim noch zwei bis drei Jahre dauern, wie er im Podcast „Manz Recht aktuell“ ausführt.

Wozu also die Aufregung? Nun ja, können Sie sicherstellen, dass keine personenbezogenen Daten Ihrer Website-Nutzer in den USA landen? Bzw. holen Sie die Einwilligungen der User dafür ein? Wobei selbst das unter Juristen umstritten ist, wie Knyrim im Podcast erläutert. Falls Sie hier also keine eindeutig weiße Weste vorweisen können, könnten Datenschützer bald auch Ihr Unternehmen bei der Behörde anzeigen. Verstöße können mit bis zu 20 Millionen Euro oder vier Prozent des weltweiten Umsatzes bestraft werden.

Aber da war doch noch etwas mit Google Analytics, oder? Ab Juli 2023 gibt es nur noch die Version Google Analytics 4 (GA4). Die aktuelle Version, Universal Analytics (UA), wird dann eingestellt – bis dahin getrackte Daten können danach voraussichtlich nur noch sechs Monate lang exportiert werden. Man konnte und kann bereits auf GA4 umsteigen, was Google empfiehlt, denn die Daten von UA können nicht zu GA4 transferiert werden. Gut klingt zunächst, dass GA4 mit der DSGVO konform gehen soll, was aber leider auch umstritten ist – wieder geht es um Fragen wie die Übertragung in die USA und die User-Einwilligung.

Was also tun, wenn Tracking für Ihr Geschäftsmodell unverzichtbar ist? Auf GA4 umsteigen und sich mit juristischen Feinheiten auseinandersetzen, um – hoffentlich – keine Strafe zu riskieren? Oder das machen, wozu Datenschutzbehörden raten und auf einen der vielen alternativen Anbieter umsteigen, die Daten auf europäischen Servern belassen? Oder etwa eine Middlewear zwischen die eigene Website und den US-Analytics-Anbieter schalten, welche die Userdaten pseudonymisiert? So, liebes Unternehmen, jetzt musst du dich entscheiden, und zwar bald – aber immerhin zwischen weit weniger als 101 Möglichkeiten.