Google Analytics: Ist der Datenschutz gewährleistet?
Letzte Aktualisierung am: 25. August 2024
Geschätzte Lesezeit: 6 Minuten
Betreiber in Europa handeln auf eigene Verantwortung
Die Google Inc. hat in der relativ kurzen Zeit ihres Bestehens das freie Internet und den öffentlichen Datenaustausch derart geprägt wie wohl kaum ein anderer Anbieter. Gleichzeitig steht der Internetriese seit Jahren im Kreuzfeuer harscher Kritik – hauptsächlich wegen umfangreichster und teilweise illegaler Datenansammlung.
Ein Programm, dessen Nutzung vor allem hierzulande besonders kontrovers diskutiert wird, ist das Optimierungstool Google Analytics. Dass ein Datenschutz auch hier nur unzureichend bis kaum eingehalten wird, kann Seitenbetreiber mitunter in die Bredouille bringen – gleichwohl der Dienst aufgrund seiner Genauigkeit äußerst geschätzt wird. Anbei eine Zusammenfassung, warum sich gerade die europäischen Auflagen zum Datenschutz und Google Analytics’ Arbeitsweise de facto ausschließen.
Inhaltsverzeichnis:
FAQ: Datenschutz bei Google Analytics
Analytics ist ein Tool von Google, das es Internetseitenbetreibern ermöglicht, ihren Auftritt zu analysieren: Wie viele Menschen greifen wann auf mein Angebot zu? Von welchen Seiten kommen sie? Was schauen sie sich wie lange an? All diese Daten liefert das Tool. Es dient also der Optimierung von Online-Auftritten.
Da das Tool aus dem Hause Google stammt, ist es in der Lage, alle möglichen Infos mit anderen Tools, wie bspw. Maps zu kombinieren und so z. T. Nutzerprofile zu erstellen, was in puncto Datensicherheit problematisch ist.
Was ist Google Analytics überhaupt?
Damit Betreiber von Internetseiten nachvollziehen können, wie ihr Angebot in Anspruch genommen wird, können durch Datenanalyseprogramme Informationen zum Nutzerverhalten ermittelt werden. Diese Optimierungstools ermitteln umfangreich den „Verkehr“ auf dem jeweiligen Internetauftritt: Wie lange und häufig Benutzer die Seite browsen, welche Elemente angeklickt werden, von wo aus auf die Internetseite zugegriffen wird und vieles andere. Anhand dessen können Anbieter ihre Seiten optimieren und demnach besser einschätzen, welche Nachfragen entstehen.
Auch Google hat ein hauseigenes Programm zur Datenverkehrsanalyse: Google Analytics. Der mangelnde Datenschutz bezüglich gesammelter Nutzerinformationen, für welchen die Software bekannt ist, stellt europäische Anbieter vor Probleme: Viele schätzen den Dienst, müssen aber gleichzeitig strenge Auflagen beachten.
Warum Datenschutzbestimmungen und Google Analytics meist nicht zusammen gehen
Für die meisten Nutzer dürfte “Google” gleichbedeutend mit „Online-Suchmaschine“ sein. Dabei umfasst die Produktpalette der Firma ein breites Spektrum an Dienstleistungen und Geräten: Vom weltumspannenden Kartografie-System „Google Maps“ über verschiedene Messaging-Dienste bis hin zum Betriebssystem Android.
Google stellt eine Vielzahl an sicherlich sehr nützlichen Services zur Verfügung, welche von einer breiten Masse an Unternehmern und Privatpersonen benutzt werden. Der Haken: All diese Angebote erheben massenhaft Daten – Google Analytics nicht ausgenommen. Datenschutz im Internet ist ohnehin ein moralisches und auch juristisches Dilemma.
Die EU strebt seit Jahren nach länderübergreifenden Regelungen, was die Erhebung und Verarbeitung von Daten angeht. Diese umfassen gemäß DSGVO u.a.:
- Die Pflicht zum Impressum und eine valide Datenschutzerklärung
- Zweckgebundenheit: eine Datenerhebung muss stark limitiert sein und darf nicht willkürlich oder unbegrenzt erfolgen
- Informationspflicht: Usern muss mitgeteilt werden, welche Daten wie, warum und wie lange erhoben werden
- Aufzählung der Nutzerrechte
- Weitergabe an Dritte: diese ist grundsätzlich nur gestattet, wenn die Interessen des Anbieters die des Nutzers nicht überwiegen
Schon dieser grobe Abriss zeigt, dass sich Programme wie Google Analytics und Datenschutz naturgemäß konträr gegenüberstehen. Denn wie andere Google-Produkte auch erhebt Analytics nicht nur umfangreich Daten, sondern fügt diese mitunter durch Profiling mit anderen Diensten von Google zusammen und überträgt sie auf amerikanische Server. Dies hat in der Vergangenheit zu einigen rechtlichen Auseinandersetzungen geführt.
Google Analytics, Datenschutz und das “Safe Harbor“-Urteil
Im Jahr 2015 hat der Europäische Gerichtshof ein Urteil gefällt, welches Google Analytics, den entsprechenden Datenschutzhinweis bzw. die Nutzung des Dienstes allgemein betrifft.
Vorab einige notwendige Erläuterungen: Innerhalb der EU durften Daten nicht einfach an Dritte weitergegeben werden. War dies doch der Fall, mussten erst entsprechende Auftragsdatenverarbeitungsverträge abgeschlossen werden – dies gilt für dritte Parteien innerhalb der EU. Außerhalb dieses Geltungsbereiches ist die Weitergabe an andere Länder eher selten erlaubt, da diese nicht den geltenden Datenschutzbestimmungen entsprechen.
Der Datenaustausch mit den USA wurde 2000 im sogenannten Safe-Harbor-Pakt (engl. „sicherer Hafen“) festgelegt: Dieser erlaubte es Unternehmen, personenbezogene Daten entsprechend geltender Auflagen von einem europäischen Land in die Vereinigten Staaten zu übermitteln.
Eine der Konsequenzen, welche sich aus dieser Entscheidung ergeben: Die Benutzung bestimmter Dienste ist auf europäischem Boden fortan eigentlich illegal – hierzu zählt auch Google Analytics. Geltender Datenschutz macht den Vertrag ungültig, und da das Programm ja standardmäßig personenbezogene Daten an die Google-Server schickt, dürfte es eigentlich nicht mehr verwendet werden.
Das Perfide an der Sache ist gewissermaßen, dass die meisten Betreiber wahrscheinlich schon vorher illegal gehandelt haben, was den Datenaustausch betrifft – bzw. es auch nach dieser Entscheidung weiterhin tun. Das hat nicht zwangsläufig mit Bösartigkeit zu tun: Datentransfers finden massenhaft, hintergründig und mitunter auf äußert komplexe Weise statt. Anbieter und Nutzer sind sich häufig gar nicht darüber im Klaren, welche Daten und Metadaten eigentlich genau wo landen. Zudem ist auch die konkrete strafrechtliche Verfolgung dahingehend fraglich, als dass Abmahnungen in der Regel durch andere Wettbewerber ausgesprochen werden und allgemein eher stichprobenartig kontrolliert wird.
Können Betreiber Google Analytics überhaupt datenschutzkonform einsetzen?
Jein – wie gesagt: Google Analytics weist hinsichtlich Datenschutz so große Lücken auf, dass es hierzulande grundsätzlich nicht verwendet werden dürfte. Dies ist natürlich nicht der Fall. Dennoch müssen Betreiber auf Einiges achten:
- Anonymisierung der IP-Adresse: Durch den Erweiterungscode „anonymizeIp“ anonymisiert Google Analytics die IP-Adressen der Nutzer, bevor eine Datenübertragung stattfindet. Dadurch entspricht der Datentransfer zumindest teilweise den Vorgaben der EU, schließlich gehört die IP-Adresse zu den personenbezogenen Daten
- Nennung und Erläuterung im Datenschutzhinweis: Dieser muss Google Analytics nicht nur zwingend aufführen, sondern umfangreich erklären, welche Daten durch den Dienst erhoben werden, wie und wann die Daten das Land verlassen
- Cookies: Google Analytics setzt in der Regel eigene Cookies – diese sind unbedingt zu erwähnen
- Aufklärung über Widerspruchsrechte: Nutzer müssen in der Datenschutzerklärung darüber informiert werden, welche Rechte sie bzgl. der Datenerhebung haben und wie sie diese geltend machen. Nutzer können z.B. durch ein Schalten eines Add-Ons die Tracking-Mechanismen von Google Analytics blockieren.
Aktuelle Entwicklungen zum Datenschutz in Bezug auf Google Analytics
Seit Beginn des Jahres 2022 gibt es immer mehr Datenschutzbehörden in Europa, welche feststellen, dass der Einsatz von Google Analytics nicht mit der DSGVO vereinbar ist. Nachfolgend wollen wir Ihnen einen Überblick einer Entscheidungen diesbezüglich geben:
- Anfang 2022 wurde das EU-Parlament vom Europäischen Datenschutzbeauftragen sanktioniert, weil dieses Tracking mittels Google Analytics eingesetzt hat. Konkret ging es um eine interne Corona-Test-Seite des EU-Parlaments. Das Cookie-Banner war zudem irreführend und entsprach somit nicht den Vorgaben der DSGVO.
- Am 12. Januar 2022 folgte dann ein Beschluss der österreichischen Datenschutzbehörde: Diese erachtet den Einsatz von Google Analytics als rechtswidrig, das dieser gegen die Bestimmungen der DSGVO zu Drittlandübermittlungen verstoße.
- Am 10. Februar 2022 hat sich auch die französische Datenschutzbehörde dieser Auffassung angeschlossen. Zudem warnt seither die niederländische Datenschutzbehörde vor dem Einsatz von Google Analytics.
- Am 23. Juni 2022 hat die italienische Aufsichtsbehörde festgestellt, dass der Einsatz von Google Analytics auf einer Webseite gegen die DSGVO verstößt, wenn es keine zusätzlichen Schutzmaßnahmen für den Drittlandtransfer gibt. Danach wurden Webseitenbetreiber gerügt und dazu aufgefordert, die Verarbeitung mittels Google Analytics innerhalb von 90 Tagen einzustellen.
Google Analytics für die Datenschutzerklärung: Vorlage für Seitenbetreiber
Benutzen Sie den Service, muss Ihre Datenschutzerklärung Google Analytics aufführen. Dieses Muster können Sie hierfür als Orientierung verwenden. Es bietet sich an, entsprechende Erläuterungen als einzelnen Punkt aufzuführen.
Diese Seite verwendet Google Analytics. Dabei handelt es sich um einen Webanalysedienst der Google Inc., durch welchen wir unser Angebot verbessern. Laut geltendem Recht sind wir dazu verpflichtet, Sie genau über die Datenerhebung durch Google Analytics aufzuklären.
Google Analytics setzt eigene Cookies und ermittelt so Daten unserer Kunden. Diese umfassen:
- Ihre IP-Adresse
- die Art des Browsers, welchen Sie verwenden
- welches Betriebssystem Sie verwenden
- wann, wie oft und wie lange Sie welche Bereiche unseres Angebotes in Anspruch nehmen
- insofern Sie durch einen Hyperlink auf unsere Seite gelangt sind: welche Seite dieses Hyperlink gesetzt hat
Mitunter verlassen diese Informationen den europäischen Raum. Wir haben Google Analytics durch den Code „anonymizeIp“ erweitert, der Ihre IP-Adresse zum großen Teil anonymisiert. Die durch Google Analytics erhobenen Daten werden nicht mit anderen Profilen von Google zusammengeführt.
Wenn Sie keine Erfassung durch Google Analytics wünschen, können Sie den Dienst durch folgendes Browser-Add-On deaktivieren: https://tools.google.com/dlpage/gaoptout?hl=de.
Mitunter können Sie dann nicht mehr alle Funktionen unseres Angebotes vollumfänglich nutzen. Weiterhin besteht die Möglichkeit, einen Opt-Out-Cookie zu setzen.
Ausführliche Informationen zu Ihren Rechten bzgl. Datenerhebung inklusive Ansprechpartner finden Sie im Menüpunkt „Ihre Rechte“ dieser Datenschutzerklärung.
Download: Datenschutzerklärung für Google Analytics als Vorlage
Gerne können Sie das bereitgestellte Muster herunterladen. Im Folgenden finden Sie die Vorlage sowohl im PDF- als auch im Word-Format zum Download:
- Kostenloser Download
- Muster als PDF und Word-Dokument
- vor Gebrauch überprüfen lassen!