22.03.2022 Google Analytics ist nicht EU-datenschutzkonform


Ob und wie Google Analytics innerhalb der EU rechtlich korrekt eingesetzt werden kann, war lange Zeit umstritten. Nun gibt es erste Urteile der Datenschutzbehörden von Österreich und Frankreich. Auch die niederländische Datenschutzbehörde wird voraussichtlich gegen den Einsatz von Google Analytics entscheiden.

Bei all diesen Entscheidungen geht es jedoch nicht nur um Google Analytics sondern grundsätzlich um die Übertragung personenbezogener Daten europäischer Benutzer an Server von Konzernen mit Sitz in den USA. Auch der Einsatz von Google Tag Manager, Google Ads, Google Fonts, Facebook Analytics, Facebook Plugins, Youtube Plugins, Instagram, Mailchimp, etc. fällt darunter.

Diese Entscheidungen sind derzeit noch nicht rechtsgültig, einige Institutionen haben Berufung gegen diese Entscheidungen angekündigt. Meiner Meinung nach wird sich aber die Rechtsmeinung durchsetzen, dass der direkte Einsatz der Analytics Dienste (auch mit Zustimmung des Benutzers) nicht erlaubt sein wird, jedoch der Einsatz verschiedener Webseiten-Plugins (z.B. die Einbettung von YouTube Videos) vermutlich nach expliziter Zustimmung der Benutzer umgesetzt werden kann. Im Webinar "Aus für Tracking mittels Google-Analytics?" der Wirtschaftskammer vom 17.02.2022 wurden die Hintergründe über die von NYOB eingereichten Beschwerden, der von der DSB entschiedene konkrete Fall sowie mögliche Lösungsansätze prominent diskutiert. Das Webinar kann auf YouTube nachträglich angesehen werden.

Auch wurden viele Fragen (darunter auch eine Handvoll von mir) von den Expertinnen beantwortet und auf der WKO Seite zur Verfügung gestellt.

Analytics: Wenn es nur um die Zugriffe geht, ist die Auswertung der Server-Logdateien zielführend.
Google Fonts: Die Font-Dateien können recht einfach lokal eingebunden werden.
YouTube, etc.: Hier sollte eine Lösung wie Shariff verwendet werden.

Mit requestmap.webperf.tools/ kann man für eine Website testen, auf welche externen Datenquellen Zugriffe erfolgen (d.h. mindestens die IP Adresse des Benutzers übertragen wird). Im besten Fall wird hier nur die IP Adresse des eigenen Webservers angezeigt.