Google Analytics vs. DSGVO: Warum Ihre Daten bei Google nicht sicher sind

Googles bisheriges kostenloses Universal Analytics (UA) soll 2023 auslaufen und wird durch den Standard Google Analytics 4 (GA4) mit Premiumangeboten ersetzt.

Da datengesteuerte Unternehmen auf die Daten der bis zu 13 letzten Monaten angewiesen sind, um ihre Entscheidungsträger zu unterstützen, müssen Analyseteams schnell handeln, um den Datenverlust und damit die Gefahr der Betriebsunterbrechung zu vermeiden.

Für die Google-Kunden kommt diese Migration zu einem ungünstigen Zeitpunkt, da das Unternehmen wegen des Verstoßes seiner Datenschutzbestimmungen bereits weltweit in der Kritik steht.

Um zu entscheiden, ob die Migration zu GA4 oder die Wahl eines neuen Anbieters sinnvoll ist, müssen die Stakeholder auch die Datenschutzlandschaft verstehen und wissen, wieso und warum Google unter diesen Bedingungen als nicht konform gilt.

Während Datenschutzbestimmungen von Land zu Land aufgestellt und durchgesetzt werden, hat die DSGVO den Rahmen für den internationalen Datenschutz geschaffen – und dient als Maßstab für Compliance-Pflichten, die Unternehmen jeder Größe erfüllen müssen.

In diesem Artikel werden wir die Mängel der Analytics-Lösungen von Google hinsichtlich der EU-Datenschutzstandards aufschlüsseln und den Tech-Riesen genauer betrachten.

Warum Google Analytics nicht DSGVO-konform ist

In den letzten Jahren hat Google, der zu den Big Tech Hauptakteuren gehört, gegen Datenschutzbestimmungen sowie europäische Datenschutzgesetze verstoßen, weswegen diverse Regulierungsbehörden und Datenschützer wiederholt Beschwerden bei verschiedenen Datenschutzbehörden eingereicht haben.

Die Lage spitzte sich im Jahr 2020 zu, als der Europäische Gerichtshof das EU-US-Datenübertragungsabkommen „Privacy Shield“ für ungültig erklärte, da er die Vereinigten Staaten nicht mehr als ein Land anerkannte, das ein ausreichendes Schutzniveau für personenbezogene Daten bietet. Dies bedeutet, dass die Übermittlung personenbezogener Daten aus Ländern, die unter dem Schutz der DSGVO stehen, in die USA nun verboten ist.

Zusammengefasst:

  • Google Analytics und damit auch seine Produkte UA und GA4 sind nach der Außerkraftsetzung des Privacy Shield 2020 NICHT DSGVO-konform
  • Websites in EU-Mitgliedsländern wie Frankreich, die UA oder GA4 verwenden, um personenbezogene Daten von EU-Bürgern zu sammeln, gelten als Verstoß gegen die DSGVO
  • Die vorgeschlagene Aktualisierung des Privacy Shield (Transatlantic Data Privacy Framework), die einen sicheren und gesetzeskonformen Datenaustausch zwischen der EU und den USA ermöglichen würde, ist noch nicht ausgearbeitet, und es wird diesbezüglich bis zum Jahr 2023, also bis zum Auslauf des Google-Programms, keine endgültige Entscheidung erwartet

Globale Implikationen:

Anfang 2022 wurde die Verwendung von Google Analytics von den österreichischen, französischen und italienischen Datenschutzbehörden offiziell als illegal eingestuft. Ihre Entscheidung wurde damit begründet, dass Google nicht gewährleistet, dass die europäischen Daten im Einklang mit den Anforderungen der DSGVO gespeichert bleiben. Diese Tendenz zur Bestrafung von Google verbreitet sich in der gesamten EU und wird sich voraussichtlich auf den Rest der Welt ausdehnen, da andere Länder mit dem Datenschutz in der EU gleichziehen.

Wie Google Analytics gegen die DSGVO verstößt

Der Beschluss der österreichischen, französischen und italienischen Datenschutzbehörden, dass Google Analytics nicht DSGVO-konform ist, gilt sowohl für UA als auch für GA4. Dies wirkt sich daher direkt auf alle Nutzer von UA und diejenigen aus, die 2023 zu GA4 umsteigen.

Persönlich identifizierbare Informationen

Nach der DSGVO sind personenbezogene Daten wie folgt definiert: „Alle Informationen, die sich auf eine (direkt oder indirekt) identifizierte oder identifizierbare Person beziehen, insbesondere durch Bezugnahme auf eine Online-Kennung.“

Dazu gehören alle pseudonymen Informationen wie z.B.:

  • IP-Adressen
  • Jede Online-Kennung: Cookies, mobile IDs, Werbe-IDs und sogar Fingerprinting
  • Jedes Informationsbündel, das zur Identifizierung einer einzelnen Person führen kann, wie beispielsweise Navigation, Verhalten oder andere demografische Daten

Google weicht von der strengen Definition in der DSGVO ab und betrachtet die folgenden Daten nicht als personenbezogene Daten:

  • Pseudonyme Cookie-IDs
  • Pseudonyme Werbe-IDs
  • IP-Adressen
  • Andere pseudonyme Erkennungen der Endnutzer

Das bedeutet, dass Google jede IP-Anfrage, die mit einer Anzeigenanfrage gesendet wird (was fast alle Anzeigenanfragen einschließt), nicht als Übermittlung von persönlich identifizierbaren Informationen im Sinne der DSGVO betrachtet – eine Entscheidung, die in direktem Widerspruch zur DSGVO steht und für jeden, der UA oder GA4 verwendet, Schwierigkeiten mit den Aufsichtsbehörden bedeuten könnte.

Sammlung und Verwendung von Daten

Die DSGVO gibt vor, dass „[personenbezogene] Daten auf rechtmäßige Weise, nach Treu und Glauben, und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden müssen.“ Mit anderen Worten, alle Website- und App-Anbieter, die personenbezogene Daten sammeln, müssen genau darlegen, wie diese Informationen gesammelt und verwendet werden.

Google versäumt es jedoch, die für die Einhaltung der DSGVO erforderliche Transparenz bereitzustellen. Dies wurde durch die im Jahr 2019 von der französischen Datenschutzbehörde CNIL verhängte Geldstrafe in Höhe von 50 Mio. EUR deutlich, in der festgestellt wurde, dass Google „mangelnde Transparenz, unzureichende Informationen und das Fehlen einer gültigen Zustimmung zur Personalisierung von Werbung“ aufweist.

Datenspeicherung

Für die Datenübermittlung aus der EU in die USA gelten strenge Anforderungen. Diese bestehen aus:

und

  • Verbindlichen Unternehmensregeln (BCR)
  • Bereitstellung von zusätzlichen Schutzmaßnahmen (Pseudonymisierung und Verschlüsselung)
  • Vollständiger Transparenz im Hinblick auf den Datenzugriff und deren Verwendung
  • Verbesserung der Prüfverfahren des Datenimporteurs, um die Einhaltung der Vorschriften zu gewährleisten
  • Vollständiger Einhaltung der strengen Sicherheits- und Datenschutzbestimmungen auf der Grundlage von EU-Zertifizierungen/Verhaltenskodizes und der ISO-Norm

Nach der DSGVO ist die Übermittlung personenbezogener Daten an Nicht-EU-Länder möglich, wenn geeignete Schutzmaßnahmen getroffen werden. Zu diesen Maßnahmen gehören die Gewährleistung eines angemessenen Schutzniveaus sowie die Information der Besucher über die Übermittlung ihrer Daten und die Wahrung ihrer Datenschutzrechte.

Google erfüllt jedoch nicht die Anforderungen für die Übermittlung/Speicherung von Daten zwischen der EU und den USA:

  • Die Rechenzentren von Google sind weltweit verteilt
  • Google garantiert nicht, dass europäische Daten in der EU gespeichert bleiben
  • Die Überwachungsgesetze der US-Regierung verlangen von US-Anbietern wie Google oder Facebook ausdrücklich, dass sie den US-Behörden die personenbezogenen Daten von Internetnutzern zur Verfügung stellen
  • Nach Ansicht der französischen Datenschutzbehörde CNIL besteht die Gefahr, dass amerikanische Geheimdienste auf personenbezogene Daten zugreifen, die in die USA übermittelt werden, wenn die Übermittlung nicht ordnungsgemäß geregelt ist

Worauf sollten Unternehmen bei einer Alternative für Analytics achten?

Bei der Suche nach einer Alternative zu UA und GA4 geht es um Risikomanagement und darum, welche Garantien Ihr Analytics-Anbieter zum Schutz Ihrer Daten geben kann.

Unternehmen sollten sich daher nach Anbietern umsehen, die eine allgemein zugängliche Datenschutzvereinbarung haben, in der ausdrücklich angegeben wird:

  • Wer ist für die Datennutzung verantwortlich und wer informiert wen?
  • Welche personenbezogenen Daten werden genau verarbeitet, wie und zu welchem Zweck?
  • Wo werden die Daten und die damit verbundenen Garantien verarbeitet und gespeichert?

Unternehmen sollten auch sicherstellen, dass in der Datenschutzvereinbarung ihres Analytics-Anbieters klar wiedergegeben wird, wie er im Rahmen der von der DSGVO festgelegten Parameter vorgeht. Er sollte leicht zugängliche Unterstützung bieten, einschließlich eines speziellen Ansprechpartners für den Datenschutz, z.B. eines Datenschutzbeauftragten (DSB), damit Sie sich keine Gedanken darüber machen müssen, ob Sie die strengen Schutzvorschriften einhalten oder nicht.

Piano Analytics ist Privacy-by-Design

Im Gegensatz zu Google Analytics ist Piano Analytics eine Privacy-by-Design-Lösung, die das Verständnis aufbringt und die gemeinsame Nutzung von Daten zwischen verschiedenen Abteilungen einfach und gesetzeskonform ermöglicht, ohne dass man sich Sorgen machen muss, gegen die Datenschutzbestimmungen zu verstoßen.

Piano hält sich strikt an die DSGVO und andere Datenschutzbestimmungen und verfügt über ein eigenes Expertenteam, das unsere Lösung bei Bedarf anpasst und aktualisiert.

Unsere Experten stehen auf Abruf bereit, um Kunden dabei zu helfen, ihre Daten und das regulatorische Umfeld, in dem sie tätig sind, zu verstehen. Auf diese Weise stellen wir sicher, dass unsere Kunden ihre Kapitalrendite maximieren, indem sie das Nutzerverhalten verstehen und gleichzeitig die Vorschriften einhalten.

Was ist bei Piano Analytics anders?

  • Strenge Einhaltung von DSGVO und ePrivacy: Piano Analytics erfüllt die gesetzlichen Anforderungen, die in der DSGVO und anderen Datenschutzvorschriften wie dem kalifornischen CCPA festgelegt sind. Unser Cloud-Anbieter hält sich an den europäischen Verhaltenskodex und ist von der französischen Datenschutzbehörde CNIL und dem Europäischen Datenschutzausschuss zugelassen, so dass unsere Kunden sicher sein können, dass wir stets die richtigen Maßnahmen zur Einhaltung der Datenschutzstandards verwenden.
  • Strenge Richtlinien für die Datennutzung: Wir sammeln nur die Daten, die für die Ziele unserer Kunden unbedingt erforderlich sind und denen der Endnutzer ausdrücklich zugestimmt hat. Der Zweck ist auf die strikte Messung der Zielgruppe beschränkt und die Daten gehören immer zu 100 % unseren Kunden.
  • In-House Daten-Expertise: Piano verfügt über einen internen Datenschutzbeauftragten, der dafür sorgt, dass Piano stets die sich ändernden Vorschriften einhält. Unser Team hilft den Kunden auch dabei, ihre Daten unter Einhaltung strenger Datenschutzstandards einzusetzen.
  • Konfliktfreie Daten: Niemals verwenden, verkaufen oder übertragen wir Daten und führen auch keine Aktivitäten durch, die gegen die DSGVO oder lokale Vorschriften verstoßen würden. Unsere Lösung dient einem Zweck: die Erhebung, Verarbeitung und Speicherung pseudonymisierter Besuchs-, Navigations- und Verhaltensdaten im Namen unserer Kunden. Wir bieten eine Reihe zusätzlicher technischer Maßnahmen wie Anonymisierung und Verschlüsselung an, um konforme Daten zu gewährleisten.

Eine leistungsstarke und DSGVO-konforme Analytics-Lösung, bei der der Datenschutz an erster Stelle steht

Piano hat es sich zur Aufgabe gemacht, seine Kunden fachkundig zu unterstützen, sodass die Datenschutzbestimmungen gemäß den neuesten Entwicklungen im Bereich des Datenschutzes von ihnen eingehalten werden.

Durch die Entscheidung für Piano Analytics profitieren Sie von einer fortschrittlichen Analytics-Plattform, die es Ihnen ermöglicht, qualitativ hochwertige Daten teamübergreifend auszutauschen – und das alles mit der Gewissheit, dass der Datenschutz bei Ihrer Analytics-Lösung an erster Stelle steht.

Wir sind seit Langem auf dem Analytics-Markt als DSGVO-freundliche Lösung bekannt und bieten vollständige Transparenz bei Datenspeicherung und Datenschutz. Dadurch wissen Sie immer, wo Ihre Daten verarbeitet und gespeichert werden.

Gemeinsam können wir an der Einhaltung der Datenschutzbestimmungen auf Ihrer Website arbeiten und Ihrer Zielgruppe zeigen, wie wichtig Ihnen ihre Datenschutzrechte sind.