Nach der österreichischen Datenschutzbehörde (wir schrieben darüber) hart auch die französische Datenschutzbehörde CNIL Google Analytics als nicht mit der DSGVO verträglich bezeichnet. Als Ursache wird auch von der CNIL die Datenübertragung in die USA durch das Webanalyse-Tool des Suchmaschinenkonzerns bezeichnet (englische Version).
Was Webseitenbetreiber dazu jetzt wissen sollten.
Hintergrund der Debatte um die rechtmäßige Verwendung von Google Analytics ist, dass Datenübertragungen in sogenannte Drittländer, also Länder außerhalb der EU, erfolgen. Dies ist bei Google Analytics aufgrund der Funktionsweise mit personenbezogenen Daten der Fall. Meist dürfte es sich dabei um IP-Adressen handeln, die als Daten mit Personenbezug gelten.
Die Daten werden auf Server von Google verarbeitet und diese Server stehen möglicherweise in den USA, wobei die USA als Drittland gelten. Dies widerspricht den Regulieren der DSGVO (Datenschutzgrundverordnung der EU, die in allen Ländern der Europäischen Union gilt). Offenbar lässt sich dies auch nicht durch die Einholung einer Erlaubnis durch den Webseitenbesucher lösen, wobei in der CNIL Mitteilung nicht erwähnt ist, ob eine Einwilligung des Webseitenbesuchers bzw. der Webseitenbesucherin eingeholt worden war, etwa mit einem der mittlerweile allgegenwärtigen Consent-Popups.
Dieser Aspekt bzw. diese Frage bleibt in den meisten Veröffentlichungen zum Thema ausgeblendet. Angeprangert wird eher schlechtere Schutzniveau personenbezogener Daten in den USA. Google überträgt mit dem Analyticsdienst Daten auf amerikanische Server.
Stein des Anstoßes: Übertragung ins Drittland USA
Dies war bis Juli 2020 durchaus DSGVO-verträglich, solange das Abkommen „Privacy Shield“ zwischen der EU und den USA Bestand hatte. Seit dem Schrems-II-Urteil des Europäischen Gerichtshofs, der das Abkommen für ungültig erklärt hatte, In der Begründung des Beschlusses hieß es, es bestünde die Gefahr, dass amerikanische Geheimdienste die Daten europäischer Bürger ausspionieren könnten. US-Geheimdienste haben weitreichende Zugriffsmöglichkeiten auf Datenbestände von Internetanbietern.
In einem Bescheid, das die CNIL (Commission Nationale de l’Informatique et des Libertés) nun einem Webseitenbetreiber zugestellt hat, fordert die Behörde von diesem, sich DSGVO-konform zu verhalten, heißt es in der veröffentlichten Mitteilung.
Wie auch im Falle der österreichischen Datenschutzbehörde wurde auch die CNIL aktiv, nachdem die Organisation NOYB dort sehr viele Beschwerden gegen Webseitenbetreiber eingereicht hatte. NOYB („None Of Your Business“, deutsch: „Geht dich nichts an“) ist ein durchaus streitbarer Verein des Juristen Max Schrems, auf dessen Initiative hin sich letztlich der Europäische Gerichtshof mit den Vorwürfen von Datenschutzverstößen seitens Facebook befasste.
Die CNIL betont, bei der Webanalyse müsse man statistische Daten anonym erheben, einen Widerspruchsmöglichkeit der Verarbeitung anbieten und sicherstellen, dass keine ungesetzlichen Datenübertragungen stattfinden würden. Man wolle an einer Positivliste arbeiten, heißt es.
Änderungen bei Google Analystics – wohin fließen welche Daten?
Zwar bietet Google Analytics durch entsprechende Ausgestaltung des zu integrierenden Skriptfragements die Möglichkeit, eine Anonymisierung anzuweisen, so dass die Forderung nach anonymer Datenerhebung erfüllt werden könnte, doch für einen Widerspruch müsste ein Webseitenbesucher eine Webseite auf Google besuchen, wobei wiederum ungewollte Verarbeitung personenbezogener Daten stattfinden würde. Experten verweisen seit dem Beschluss der österreichischen Datenschutzbehörde vermehrt darauf hin, dass seit geraumer Zeit nicht mehr Google Inc. in den USA Vertragspartner für die Datenverarbeitung mit Google Analytics sei, sondern der Google-Ableger in Irland. Somit können dieser Teil von Google als europäisches Unternehmen gelten, das die Daten zulässigerweise verarbeitet.
Matomo als Alternative zu Google Analytics
Eine Alternative zu Google Analytics, die in diesem Zusammenhang immer wieder genannt wird, ist die Open-Source-Webanalyselösung Matomo. Matomo lässt sich als Anwendung auf einem eigenen Server betreiben wie auch auf einem Webhosting-Paket von goneo. Die Daten werden ähnlich generiert, nämlich mit einem Skriptfragment, das in jede einzelne Seite eines Webauftritt integriert werden soll und mit dem Aufruf der Seite durch Webseitenbesucher aktiv wird. Die Daten lassen sich anonym erheben. Die Verarbeitung geschieht auf dem eigenen Server, so dass keine Datenübertragung in ein Drittland stattfindet.
Im Vergleich zu Google Analytics ist Matomo rudimentärer mit den Funktionen und Möglichkeiten für die Anwender. Für statistische Auswertungen wird das Tool aber gute Dienste tun. In diesem Punkt sind die Qualität der Ergebnisse und der Erkenntnisgewinn vergleichbar.
Eine Verzahnung von Matomo mit anderen Diensten, wie Google Ads oder Adsense ist möglich, aber komplexer umzusetzen.
Was man auch dazu anmerken muss ist, dass Matomo zwar auf dem eigenen Server installiert werden kann, wenn die erforderlichen Ressourcen bereit stehen. Solange sich die Matomo-Anwendung und der Webseiteninhalt auf dem gleichen Server befinden, treten weniger datenschutzrechtliche Fragen auf. Etwas anderes ist es, wenn sich die physikalischen Maschinen unterscheiden. Dann kommt es wiederum sehr darauf an, wo sich der eingesetzte Server mit Matomo befindet, innerhalb der EU oder in einem Drittland?
Manchmal reichen einfache Aufzeichnungen
Noch etwas basaler ist die statistische Auswertung, die mit Bordmitteln bei goneo vorgenommen werden kann. Datengrundlage dafür sind die sogenannten Logfiles des Webservers. Standardmäßig protokolliert die Software jeden Zugriff auf Ressourcen des Systems. Diese Aufzeichnungen können für statistische Auswertungen herangezogen werden. Bei goneo ist eine solche Auswertung standardmäßig implementiert und steht jedem Kunden zur Verfügung (Webhosting- oder Serverpaket vorausgesetzt).
Die Statistik liefert die Anzahlen der Webseitenbesucher, Seitenaufrufe sowie Anfragen in tabellarischer Form und als Zeitreihen in Form von Balkendiagrammen ausgegeben. Dabei werden die Daten auf Tagesbasis dargestellt, auf Monatsebene aggregiert und über einen Zeitraum von zwölf Monaten visualisiert.
Eine Logfile-Analyse hat Grenzen
Logfileanalysen kommen dann an die Grenzen, wenn andere Datenquellen hinzugezogen werden sollen. Typisch dafür sind Mobile Apps auf dem Smartphone und die Darstellung von Interaktionen auf den Websites. Auch wenn es darum geht, Konversionen wie Käufe, Anmeldungen oder Klicks zu messen, hat man mit einer Logfileanalyse das Nachsehen. Klicks im Browser werden nicht in Logfiles erfasst. Integrierte Skripte können diese Formationen aber aufnehmen und in Form einer Analyse integrieren.
Ob die Interaktionen tatsächlich verfolgt werden müssen, hängt sehr vom Geschäftsmodell ab, das eine Webseite bedient. Wenn es sich um eine Webanwendung handelt, scheidet die Logfileanalyse als Instrument zur Optimierung aus. Werbegetriebene Websites hingegen, lassen sich in der Reichweite sicher ganz gut mit Logfileanalyseergebnissen bewerten.
Fazit
Viele Praktiker wollen an Google Analytics festhalten. Dieses Tool ist Standard in der Branche und entsprechend leistungsfähig. Die Abstände zu anderen, auch kostenpflichtigen Anbietern dürften enorm sein. Andererseits darf man den Verdacht haben, dass ein Unternehmen wie Google einen Dienst wie Analytics nicht aus Menschenliebe anbietet, sondern um wertvolle Erkenntnisse zu gewinnen. Diese sind selbst in anonymer Form entscheidend im Wettbewerb der Internetkonzerne.
Bisher richten sich die Beschlüsse der Datenschutzbehörden an mittelgroße Websites, von denen verlangt wird, dass sie sich DSGVO-konform verhalten. Tun sie dies nicht, können die Behörden Bußgelder verhängen. Möglicherweise wird es potente Unternehmen geben, die sich gerichtlich gegen diese Bußgelder wehren. Für mittelgroße oder kleine Firmen wird die juristische Kriegskasse sicher nicht ausreichen, um solche Verfahren bis auf eine höchstrichterliche Ebene hochzutreiben.
Andererseits müssen die Datenschutzbehörden aktiv werden, wenn massenweise Beschwerden eingehen, wie im Falle von NOYB. Dabei muss aber jeder eingebrachte Fall einzeln geprüft und begutachtet werden. Bis dahin dahin wird man die Aktivitäten gut beobachten müssen.
Möglicherweise setzt sich die Argumentation durch, dass es eigentlich gar keine Datenübertragung ins Drittland USA mit Google Analytics gibt. Schließlich sind die Beschwerden offenbar eingereicht worden, bevor Google Analytics Anonymisierungsfunktionen bereitstellte und Irland als Land der Datenverarbeitung proklamiert. Andererseits erscheint es recht klar, dass de Daten bei Google in den USA verarbeitet werden, selbst wenn sie vor Ort, etwa in einem europäischen Land erhoben wurden.
Tendenziell raten viele Experten und Beobachter derzeit von der Nutzung von Google Analytics ab und verweisen auf Alternativen, die sich augenscheinlich besser mit der DSGVO vertragen. Die Debatte – und das kann man durchaus als nachteilig verstehen – hat keine technischen Komponenten. Wir erleben ein juristisches Hick-Hack um datenschutzrechtliche Fragestellungen, bei dem die kleinen mit mittelgroßen Webseitenbetreiber die Leidtragenden sind. Auf deren Rücken finden die juristischen Auseinandersetzungen statt, da sich jeder bedroht fühlt. Möglicherweise müssen sich Datenschutzbehörden nach der Einhaltung einer gebotenen Verhältnismäßigkeit fragen lassen.
Man darf damit rechnen, dass intensiv nach einem Nachfolger für den als ungültig erklärten Privacy Shield gesucht wird. Sowohl Google als auch Facebook/Meta machen enormen Druck auf politischer Ebene.
Eine Antwort auf „Webanalysetool Google Analytics weiter unter Beschuss“