Ist Google Analytics in der EU möglich?

Ist Google Analytics rechtmäßig einsetzbar in Europa? Kann es sein, dass WebseitenbetreiberInnen, die GA verwenden, Rechtsbruch betreiben?

Zuerst muss man feststellen, dass sich die Frage nicht abschließend beantworten lässt. Das liegt vor allem daran, dass bislang nur Meinungen zu dem Thema existieren, die von “geht gar nicht” bis hin zu “geht schon, wenn man weiß wie” reichen. Dabei sind auch die behördlichen Einlassungen in Österreich, Frankreich und jetzt aktuell in Italien auch nur Meinungen. Relevante zwar, aber eben nur Meinungen, so lange wie kein Gericht darüber entschieden hat. Im Zweifel wissen wir das also erst ganz verbindlich, wenn der EuGH abschließend geurteilt hat.

Ich könnte jetzt diesen Post schließen und es der geneigten LeserIn überlassen, was sie damit anfängt. Das finde ich aber nicht befriedigend und so versuche ich mich mal daran. Die Sache ist nämlich gar nicht so trivial.

Wer übrigens glaubt, die Problematik hinge an der IP-Adresse und man könne das Problem bei Universal Analytics mit der Kürzung der IP-Adresse beheben und hätte bei GA4 eigentlich gar kein Problem, weil dort die IP-Adresse gar nicht gespeichert würde, der hat haarscharf am eigentlichen Problem vorbeigeschossen. Aber das erkläre ich ja jetzt (hoffentlich).

GA und GA4 arbeiten grundsätzlich nach demselben Prinzip. Es wird Javascript-Code auf der Webseite eingebunden, der beim Aufruf der Seite mit einem Server von Google Kontakt aufnimmt. Die Kontaktaufnahme sieht wie ein normaler Webseitenzugriff aus und enthält damit alles, was ein solcher Aufruf per https immer an Daten enthält. Neben der vollen IP-Adresse (jepp, die wird zunächst IMMER übermittelt), der aufgerufenen Seite werden auch noch vielfältige Daten über die Hardware und Software des Endgeräts mitgegeben. Die Kürzung der IP-Adresse wird erst durch Google vorgenommen und nicht schon auf der besuchten Webseite. Gleiches gilt für GA4. Dort wird die IP-Adresse zwar nicht gespeichert, aber trotzdem erstmal übermittelt.

Typischerweise ist für all das Google Irland Ltd. der Vertragspartner und die Server stehen in der EU. Damit sollte doch eigentlich alles ok sein. Pustekuchen! Aus im wesentlichen zwei Gründen:

  1. Google Irland nutzt Google USA als Auftragsverarbeiter und übermittelt alle Analysedaten in die USA. Die eigentliche Verarbeitung der Daten zu Webstatistiken findet in den USA statt. Dort werden die Daten auch dauerhaft gespeichert. In der EU stehen quasi nur die Collector-Server, die die von der Webseite übermittelten Daten auffangen.
  2. Die gekürzte IP-Adresse ist nur ein kleines Mosaiksteinchen in der Masse der erhobenen Daten der WebseitenbesucherInnen, so dass eine Re-Identifikation anhand der anderen übermittelten Daten in vielen Fällen möglich sein dürfte. Dazu kommt, dass BenutzerInnen häufig auch andere Google-Dienste nutzen und von daher durch Google identifiziert werden können, selbst wenn die IP-Adresse gekürzt oder gar nicht genutzt wird.

Google erhält also im Rahmen von GA auch ohne die IP-Adresse so viele Daten, dass zumindest eine Menge von WebbesucherInnen re-identifiziert werden können. Daher muss davon ausgegangen werden, dass personenbezogene Daten in die USA transferiert werden. Und zwar fast immer.

Die VerwenderInnen von Google Analytics haben auf diesen Umstand keinerlei Einfluß. Es hängt vollständig von der Entscheidung von Google USA ab, wie der übermittelte Fingerprint der NutzerIn im Detail ausgewertet und mit weiteren Google schon bekannten Daten angereichert wird.

Die Verarbeitung der Daten in den USA erfolgt zwar auf Basis der Standardvertragsklauseln der EU, aber die alleine rechtfertigen seit dem Schrems-II-Urteil des EuGH keine Übertragung in die USA. Hinzu müssen weitere Garantien kommen, dass die Daten nicht an US-Behörden weitergegeben werden können. Eine wirksame Verschlüsselung der Daten im Transit (also bei der Übermittlung) und in rest (also während der Speicherung) wäre eine Vorbedingung. Und obwohl Google die Daten in beiden Fällen verschlüsselt, ist das nicht ausreichend, weil Google selbst über die Schlüssel verfügt und daher die Daten jederzeit auf behördliche Anforderungen hin entschlüsseln kann.

Fazit: Im Kern erhebt Google bei GA und GA4 neben den Webseitennutzungsdaten genug weitere Daten über die WebseitenbesucherIn, dass eine Re-Identifizierung durch Google USA nicht ausgeschlossen werden kann, insbesondere wenn die NutzerIn parallel auch noch Google-Dienste nutzt oder auf anderen Webseiten unterwegs ist, die ebenfalls GA oder GA4 verwenden. Dazu ist die Nutzung einer IP-Adresse zwar hilfreich aber längst nicht notwendig und daher ist die IP-Adressenkürzung für die Argumentation letztlich unerheblich. Damit werden personenbezogene Daten in die USA übermittelt ohne die Anforderungen des EuGH an die Garantien gegenüber den Betroffenen zu erfüllen.

Das wiederum stärkt die Meinung der Aufsichtsbehörden in Österreich, Frankreich und Italien, dass die Nutzung von Google Analytics (Universal Analytics wie auch GA4) mit dem europäischen Datenschutzrecht nicht vereinbar ist und damit per se illegal. Auch wenn die Einlassungen der Behörden sich auf Einzelfälle bezogen haben, lässt sich diese Argumentationskette auf viele andere Szenarien übertragen.

Meine persönliche Schlussfolgerung – und die ist natürlich auch nur eine Meinung unter vielen – ist, dass ohne eine Änderung der Technologie die Tage von GA/GA4 in Europa gezählt sein dürften. Wer also nicht so lange warten will, bis er unter Zeitdruck nach Alternativen suchen muss, der sollte sich langsam aber sicher nach einer europäischen Alternative umsehen.

Ich weiß wohl auch, dass nicht Wenige auf den Abschluss einer neuen Vereinbarung zwischen der EU und den USA hoffen und damit das Thema eher aussitzen wollen. Aber ganz ehrlich: das ist eine Wette mit ungewissem Ausgang. Denn solange die USA nicht eine deutlich erkennbare Kehrtwendung in ihren Überwachungs- und Sicherheitsgesetzen hinlegen, wird eine mögliche Nachfolgeregelung wieder vor dem EuGH landen. Und auch diesmal sollte man nicht hoffen, dass der EuGH eine Übergangsfrist gibt, sollte der die Vereinbarung wieder kippen. Die Chancen dafür stehen jedenfalls momentan nicht schlecht.

Über den Autor
Marc Dauenhauer
Marc Dauenhauer
Marc Dauenhauer ist Diplom Informatiker und Politikwissenschaftler. Er beschäftigt sich seit 30 Jahren mit den unterschiedlichen Aspekten der digitalen Transformation und der Digitalisierung. Er hat viele Unternehmen – von kleinen Mittelständlern bis hin zu Weltkonzernen – beraten und bei IT-Projekten unterstützt. Sein Spezialgebiet ist die Umsetzung von Privacy by Design bei neuen Entwicklungsprojekten, die er in der Kombination aus Solution Architect und Datenschutzexperte betreut. Darüberhinaus arbeitet er als Datenschutzbeauftragter (TÜV) und Auditor (TÜV).

Eine zufällige Auswahl weiterer Artikel
Blogartikel
Marc Dauenhauer

Ziviler Ungehorsam oder doch Straftat?

Warum das Blockieren von Strassen durch Aktivisten ein Akt zivilen Ungehorsams sein kann, das Manipulieren von Straßenschildern jedoch nicht. Mitglieder der „letzten Generation“ haben in den letzten Wochen verschiedene Aktionen

Weiterlesen »
3. Januar 2023 Keine Kommentare
Blogartikel
Marc Dauenhauer

EU-Rat stimmt für ID-Wallet

Stellt Euch vor, Euer Personalausweis ist in fremden Händen und kann dafür genutzt werden, auf Euren Namen Häuser zu kaufen, Kredite zu beantragen und vieles mehr zu tun. Gruselig? Zukunftsmusik?

Weiterlesen »
3. Januar 2023 Keine Kommentare
Blogartikel
Marc Dauenhauer

Staatliche Verantwortung Cybersicherheit

Die Schulen kriegen Stress. Statt funktionierende professionelle Lösungen zu nutzen, müssen Schulen wegen des Datenschutzes auf halbgar gestrickte Länderlösungen wechseln. Die Diskussion ist jetzt nicht neu und man kann sich

Weiterlesen »
23. Juni 2022 Keine Kommentare

(c) 2022 Marc Dauenhauer IT Management Consulting | Impressum | Datenschutzerklärung | Newsletter