Google Analytics ein Datenschutz-Killer?
Darf ich als Unternehmen weiterhin Google Analytics nutzen, fragen viele Unternehmer. Wir haben die WKO-Expertin um Antwort gebeten.
Google Analytics ist derzeit das beliebteste Tool, um Seitenaufrufe und Nutzerverhalten auf der eigenen Website zu analysieren. Nun hat die österreichische Datenschutzbehörde (DSB) die Implementierung von Google Analytics hinsichtlich des Datentransfers in die USA („Drittland“) geprüft: Mit Bescheid wurde festgestellt, dass Website-Betreiber das Tool nicht in Einklang mit der Datenschutz-Grundverordnung (DSGVO) einsetzen können.
Fehlender Schutz
Begründung: Es fehle ein angemessenes Schutzniveau für die Übermittlung von personenbezogenen Daten in die USA. Dazu WKO-Expertin Tamara Charkow: „Der Seitenbetreiber hat zwar mit Google sogenannte Standarddatenschutzklauseln (SCC) abgeschlossen. Die zusätzlich zu diesen getroffenen Maßnahmen waren jedoch nicht effektiv, um die Überwachungs- und Zugriffsmöglichkeiten auf von Google gespeicherte Daten durch US-Nachrichtendienste zu beseitigen.“
Die Entscheidung der DSB hat Auswirkungen auf alle digitalen Tools, die einen Datentransfer in die USA verursachen (z.B. Google Fonts, Mailchimp, Social Plugins sozialer Netzwerke usw). Charkow: „Die Tools werden nicht per se illegal, aber es ist fraglich, ob die Maßnahmen, die für den Transfer zum Schutz der personenbezogenen Daten getroffen wurden (z.B. der Abschluss von SCC sowie zusätzlich getroffene technische Maßnahmen), ausreichend sind.“
Der Bescheid der DSB ist noch nicht rechtskräftig. Dennoch sind Betreiber von Websites, die Google Analytics verwenden, gut beraten, sich bereits jetzt mit dem Spannungsfeld, das sich aus Web-Tracking und Datenschutz ergibt, auseinanderzusetzen sowie ihren individuellen Analyse-Bedarf und datenschutzkonforme Möglichkeiten auszuloten.
Sollten keine ausreichenden Anonymisierungsmaßnahmen aller personenbezogenen Daten vor der Übermittlung an Google durch den Webseitenbetreiber durchgeführt und dadurch der Personenbezug nicht entfernt werden können, ist es empfehlenswert, auf Anbieter innerhalb der EU umzusteigen.
Anbietervergleich - Alternativen zu Google Analytics:
Wichtig ist auch, dass die Datenschutzbehörde sich nur mit dem internationalen Transfer personenbezogener Daten in die USA beschäftigt hat: Es ist keine Entscheidung über die Zulässigkeit von Einwilligungen zur Setzung von Cookies, die Gestaltung des Cookie-Banners oder der Daten-schutzerklärung getroffen worden! Diese Entscheidungen sind weiterhin ausständig.
Die Europäische Kommission und die USA sind an der Wiederherstellung eines funktionierenden rechtlichen Mechanismus für die Übermittlung personenbezogener Daten zwischen den USA und Europa durchaus interessiert und planen daher, sich auf einen neuen transatlantischen Datenschutzrahmen zu einigen. Charkow: „Es soll in Zukunft also wieder einen Nachfolger des Privacy Shield-Abkommens zwischen der EU und den USA geben. Wann ist aber unklar.“
