Google Analytics ist nicht datenschutzkonform nutzbar

Das bis dato populäre Tracking Tool von Google ist nicht rechtskonform einsetzbar. Die Gründe nennt dieser Artikel.

Google Analytics ist das bekannteste Tracking Tool für Webseiten. Ein Tracking Tool analysiert das online Verhalten von Nutzern. Ziel ist es, die Konvertierung zu erhöhen. Ein Konvertierungsziel könnte eine Umsatzsteigerung sein, aber auch die Kontaktaufnahme über ein Formular.

Alle Webseiten, die Google Analytics eingebunden haben, senden Nutzerdaten an Google. Dies geschieht sitzungsübergreifend, also zu jedem beliebigen Zeitpunkt und nicht nur, wenn ein Nutzer eine Webseite an einem bestimmten Tag aufruft. Google sammelt diese Daten zentral, führt sie zusammen und wertet sie aus. Dieses Zusammenführen und Auswerten ist ein untrügliches Zeichen, dass ein Tracking vorliegt.

Einwilligung für Tracker notwendig

Gemäß aktueller Rechtsmeinung ist Tracking gemäß DSGVO nur erlaubt, wenn ein Nutzer vor dem Laden des Tracking Codes diesem zustimmt. Die Zustimmung gilt nur als erteilt, wenn diese vorher, aktiv und informiert geschieht:

  • Vorher: Die Einwilligung muss erfolgen, bevor irgend welche Ladevorgänge des Trackers stattfinden
  • Aktiv: Eine Vorauswahl der Zustimmung darf nicht vorhanden sein. Ebenso darf der Zustimmen Button nicht prominenter oder psychologisch vorteilhafter gestaltet sein als der Ablehnen Button. Ein Ablehnen muss genauso einfach möglich sein wie ein Zustimmen.
  • Informiert: Sämtliche relevanten Datenverarbeitungsvorgänge, in die eingewilligt werden soll, müssen benannt und abgefragt werden. Ein Verschieben wichtiger Informationen in eine verlinkte Datenschutzerklärung ist unseres Erachtens nach nicht zulässig

Vgl. hierzu auch das EuGH Urteil vom 01.10.2019 zu Cookies sowie diverse Verlautbarungen von deutschen Datenschutz-Aufsichtsbehörden.

IP-Adressen als personenbezogene Daten

Google Analytics bietet die Möglichkeit, Netzwerkadressen von Nutzern anonymisiert zu verarbeiten. Diese Netzwerkadressen heißen IP-Adressen und sind die Grundlage für das Internet Protokoll.

Allerdings wird beim Laden von Google Analytics auf einer Webseite bereits die IP-Adresse des Nutzers zu Google übertragen. Insofern greift das Argument der anonymisierten IP-Adressen nicht. Siehe hierzu auch einen gleichlautenden juristischen Kommentar in der Zeitschrift RDV 2020 (Heft 2, S. 98) zum Urteil Streitwert bei Tracking-E-Mails, LG Wiesbaden, Beschluss vom 22. August 2019 – 8 0 94/19 (rechtskräftig).

Fazit: Google Analytics erhebt immer die IP-Adresse des Nutzers. Dies alleine ist ohne vorige Einwilligung nicht zulässig, weil Google in der Lage ist, mit der Netzwerkadresse des Nutzers sowie dem Browser Fingerprint des Nutzers den Nutzer mit einer hohen Wahrscheinlichkeit zu identifizieren. Der Browser Fingerprint sind Telemetriedaten, die zwangsläufig beim Aufruf einer Webseite vom Nutzer zur Webseite (und somit zu Google) übertragen werden. Hier können Sie Ihren Browser Fingerprint live ermitteln lassen.

Privacy Shield: Datentransfer nach Amerika

Der Privacy Shield war ein informelles Abkommen zwischen Europa und Amerika. Er sollte sicherstellen, dass das Datenschutzniveau in Amerika vergleichbar hoch ist wie in der Europäischen Union.

Am 16. Juli 2020 hat der EuGh entschieden, dass der Privacy Shield ungültig ist. Seitdem beruft sich Google auf Standardvertragsklauseln. Diese sollen eine Art Garantie eines Unternehmens sein, dass dieses die Nutzerdaten gemäß DSGVO verarbeitet. Google als amerikanisches Unternehmen kann diese Garantie aber nicht geben.

Der Cloud Act sagt dem amerikanischen Geheimdienst das Recht zu, auf die Daten amerikanischer Firmen zuzgreifen. Somit können auch Daten von deutschen Kunden bei Google durch amerikanische Geheimdienste eingesehen werden.

Demnach können Standardvertragsklauseln von Google nicht gültig sein. Die irische Tochter von Google müsste alle Daten europäischer Nutzer in Europa halten, verarbeiten und analysieren. Ein Weiterschicken nach Amerika oder ein Abmischen mit Daten amerikanischer Nutzer wäre verboten. Wir unterstellen Google, dass die Datenverarbeitung weitgehend in Amerika stattfindet.

Cookie Consent Tools

Sogenannte Cookie Consent Lösungen oder Cookie Blocker funktionieren im Allgemeinen nicht. Das bedeutet, ein reines Einbinden eines Consent Scripts ist keine ausreichende Lösung. Vielmehr werden trotz Consent Lösung ohne Einwilligung bereits Tools wie Analytics geladen, die erst nach Einwilligung hätten geladen werden dürfen.

Somit verschlimmbessern solche sogenannten Lösungen Webseite eher als dass sie sie sicherer machen. Eine vorgetäuschte Einwilligungsmöglichkeit scheint eher schlechter zu sein als keine.

Lesen Sie in einer ausführlichen Darstellung, warum Consent Tools unsicher sind.

Nutzen von Analytics ist fraglich

Angenommen, die mit Analytics erhobenen Nutzerdaten wären perfekt. Was würden Sie mit diesen Erkenntnissen tun? Wer würde diese auswerten. Ein Fachmann muss den Datenwust von Google Analytics auswerten, und der kostet Geld.

Wenn nur Besucher gezählt und die besten Artikel auf Ihrer Webseite ermittelt werden sollen, benötigen Sie Analytics von Google nicht. Es gibt andere Tools, die all diese Daten und viel mehr noch zu Ihren Nutzern liefern können.

Wenn Sie AdWords Werbung mit Analytics optimieren wollen, stellt sich die Frage nach Ihrem Werbebudget. Erst ab einem hohen AdWords Budget von einigen Tausend Euro monatlich erhalten Sie genügend Daten für eine qualifizierte Auswertung.

Selbst wenn Ihr Budget hoch ist: Wie viel Umsatz mehr bringt Google Analytics? Niemand konnte uns bisher belegen, dass es eine solche Umsatzsteigerung gibt, von der man den Aufwand für die Implementierung und für den Betrieb von Google Analytics abziehen muss. Die extrem hohen rechtlichen Risiken müssen ebenfalls eingepreist werden. Schreiben Sie uns, wenn Sie tatsächlich eine messbare Umsatzsteigerung durch Google Analytics vorweisen können und wir prüfen Ihre Webseite kostenfrei. Sie erhalten einen hilfreichen Datenschutzbericht mit Befunden, wichtigen Hinweise und Lösungsvorschlägen zu gefundenen Problemen.

Fazit

Dass Google Analytics einwilligungspflichtig ist, bevor es eingesetzt werden kann, ist breiter Konsens. In einem gesonderten Beitrag finden Sie hierzu Hinweise.

Eine Einwilligung kann für Google Analytics nicht rechtssicher eingeholt werden. Dazu müsste man erst einmal wissen, welche Daten Google wie verarbeitet. Wurden Sie irgendwo schon einmal informiert, dass amerikanische Geheimdienste Ihre Daten analsieren können?

Der Nutzen von Google Analytics für KMU ist mehr als fraglich. Alternativen für spezifische Bedürfnisse gibt es genug. Diese sind nicht so einfach nutzbar wie Google Analytics, dafür aber rechtskonform und oft ohne AV-Verträge. Wer eine einfache Lösung sucht und Wert auf einen AVV legt, sollte sich Trackboxx ansehen, ein Analyse-Tool eines deutschen Anbieters.

Testen Sie Ihre Webseite und sehen Sie direkt, ob sie DSGVO-konform ist. Dieser Test findet in Echtzeit statt und weist echte Ergebnisse aus. Gefundene Cookies ohne Einwilligung etwa werden mit einer Sicherheit von 100% erkannt:

2020-11-10T15:16:04+01:00