Ist Google Analytics tatsächlich verboten?
Im Jänner 2022 sorgte eine Entscheidung der österreichischen Datenschutzbehörde für Aufsehen. Google Analytics ist verboten wurde in vielen Medien berichtet.
In dieser Entscheidung wurde die Integration von Google Analytics auf Websites als unrechtmäßig angesehen. Über den Weg, wie es zu dieser Entscheidung gekommen ist gibt es eine Vielzahl von Gründen, die jedoch für Unternehmen in der aktuellen Situation nicht relevant sind. Die Frage ist vielmehr, ob dieses Verbot absolut ist oder nur im speziellen Fall, der der Entscheidung zugrunde lag, auszusprechen war.
Die kurze Antwort
so, wie Google Analytics in den meisten Websites eingebaut ist, ist es verboten und die Entscheidung der Behörde war für Kenner der Materie keine große Überraschung.
Die lange Antwort
ein grundsätzliches Verbot liegt nicht vor, aber die Rechtsgrundlage für die Verarbeitung und für die Übermittlung in Länder außerhalb der EU muss mit großer Sorgfalt gewählt werden.
Die Problematik von Google Analytics besteht aus zwei Teilen.
Erstens werden damit Daten aus dem Gerät des Nutzers ausgelesen und Informationen dort abgelegt (Cookies), was für den Betrieb der Website nicht unbedingt erforderlich ist, sowie an einen Dritten (Google) weitergegeben, der die Daten für eigene Zwecke verarbeitet. Dies ist nach § 165 des österreichischen Telekommunikationsgesetzes (TKG 2021) bzw. § 25 des deutschen TTDSG nur mit einer Einwilligung möglich.
Zweitens werden die Daten von Google nicht nur innerhalb der Europäischen Union verarbeitet, sondern auch in die USA übermittelt, wobei die von der EU-Kommission freigegebenen Standardvertragsklauseln (SCC) zum Einsatz kommen.
Viele Websites scheitern schon an der ersten Hürde, nämlich dem Einholen einer gültigen Einwilligung. Da wird mit der Verarbeitung schon begonnen, bevor der Nutzer überhaupt eingewilligt hat, die Information ist lückenhaft und missverständlich und mit „dark patterns“ versucht man den Nutzer zur Abgabe der Einwilligung zu „stupsen“, z.B. durch ein Verstecken von Einstellungsmöglichkeiten oder eine prominente und sympathisch wirkende Darstellung des „Alles akzeptieren“-Buttons. Derart eingeholte Einwilligungen sind ungültig und damit wird auch die ganze Verarbeitung unrechtmäßig.
Um eine gültige Einwilligung zu erreichen, muss diese die folgenden Kriterien erfüllen:
- Sie muss vor der Aktivierung von Google Analytics eingeholt werden
- Sie muss wohlinformiert sein
- Sie muss freiwillig sein
- Sie muss einfach widerrufen werden können
Wenn man auf diese Weise eine Einwilligung für die Verarbeitung selbst erhalten hat, kann man sich um das zweite Problemgebiet kümmern, nämlich um die Übermittlung in Länder außerhalb der Europäischen Union.
In Ausnahmefällen, also nicht im Regelfall, erlaubt die DSGVO auch für diese Übermittlung in andere Länder die Einwilligung als Rechtsgrundlage. Da die Verarbeitung der Daten mit der Übermittlung praktisch untrennbar verbunden ist, können beide Verarbeitungsschritte mit einer Einwilligung eingeholt werden.
Und so wird auch Google Analytics wieder auf Websites einsetzbar.
Als Website-Betreiber müssen Sie damit rechnen, dass ein Teil Ihrer Nutzer die Einwilligung nicht geben wird. Studien haben gezeigt, dass ein großer Teil der Website-Besucher auf diese Weise nicht mehr gemessen wird und das führt naturgemäß zu Vergleichsproblemen mit früheren Daten oder auch der Berechnung von Conversion rates aus Online-Marketingkampagnen.
Denken Sie darüber nach, ob Sie nicht ergänzend andere Analyse-Tools in Ihre Website implementieren, welche auch ohne Einwilligung rechtsgültig sind, um auch diese Besucher messen zu können.