Google Analytics fällt als “electronic communication service provider” unter das 702 FISA Gesetz (50 USC § 1881a). Indem Sie das Programm nutzen, werden Ihre gesammelten, personenbezogenen Daten in die USA gesendet. Dadurch werden sie möglicher Gegenstand zur Untersuchung und Beobachtung durch US-amerikanische Kontrollorgane.
Da der Privacy Shield am 16 Juli 2020 aufgehoben wurde, ist das Nutzen der Plattform zwar nicht unrechtens, aber der Transfer persönlicher Daten in die Vereinigten Staaten schon. In Folge dessen, rieseln Abmahnungen ein. Darunter fallen auch Unternehmen aus Deutschland, Österreich und der Schweiz, die Google Analytics oder Facebook Connect nutzen.
Max Schrems, Ehrenvorsitzender von noyb, kommentiert: “Der EuGH hat ausdrücklich erklärt, dass man die Standardvertragsklauseln nicht verwenden kann, wenn der Empfänger in den USA unter diese Überwachungsgesetze fällt. Es scheint, dass US-Unternehmen immer noch versuchen, ihre EU-Kunden vom Gegenteil zu überzeugen. Das ist mehr als unlauter Wettbewerb.”
Google Analytics überschreibt seinen Kunden die Verantwortung Daten zu sichern und zur Übertragung in die USA vorzubereiten. Was das genau heißt und wie Sie sich gegen Abmahnungen und zusätzliche Kosten wehren können finden Sie in diesem Artikel.
Google Analytics wälzt die Verantwortung auf Sie ab
Google nutzt alle Daten aus Google Analytics um seine Services zu verbessern und Bedürfnisse Ihrer Kunden zu erkennen. Klingt eigentlich ganz logisch, da Sie GA doch aus dem gleichen Grund nutzen.
Nur gibt Google Analytics Ihnen keine Kontrolle über den Speicherort personenbezogener Daten und transferiert diese in die USA. Die dortigen Behörden berufen sich auf den USA Patriot Act und USA Freedom Act, die ihnen ermöglichen diese Daten einzusehen. Dies verstößt aber gegen die europäische DSGVO und muss unterbunden werden.
Als Daten verarbeitende Partei, sind Sie gemäß der DSGVO dazu verpflichtet den Transfer von personenbezogenen Daten in die USA zu unterbinden. Sollten Sie dem nicht nachkommen, ist es die Pflicht der Datenschutzbehörde des jeweiligen Landes dagegen vorzugehen.
Da Google Analytics die Verantwortung der Verschlüsselung auf Ihr Unternehmen überträgt, heißt es für Sie:
- IP-Adressen anonymisieren
- Andere Identifikatoren mit dem Minimum der Hashing-Anforderung von SHA256 zu verschlüsseln
Nur reicht die alleinige Verhashung laut DSGVO nicht aus. Gehashte Daten werden trotzdem als personenbezogene Daten angesehen. Sie benötigen einen aktiven und geltenden User-Consent zum Sammeln und Verarbeiten der Daten. Google Analytics bietet keinen Mechanismus an, der dies für Sie übernimmt.
Natürlich könnten Sie argumentieren, dass Sie ein Produkt nutzen und keinen Einfluss auf dessen Politik im Umgang mit Daten haben. Wenn Sie aber in eine der für Österreich beschriebenen Beschwerden hineinschauen, wird schnell klar, dass dieses Argument keinen Bestand hat:
“Gemäß den Nutzungsbedingungen für Google Analytics ist Google LCC, 1600 Amphitheatre Parkway Mountain View, CA 94043, USA („Google”) der Vertragspartner des Verantwortlichen. Gemäß Punkt 5.1.1(b) der Auftragsdatenverarbeitungsbedingungen für Google Werbeprodukte […] verarbeitet Google personenbezogene Daten im Auftrag des Verantwortlichen und ist daher als Auftragsverarbeiter des Verantwortlichen gemäß Artikel 4(8) DSGVO zu qualifizieren.“ [Quelle]
Der richtige Weg Verantwortung zu übernehmen
Es gibt Mittel und Wege die Verantwortung des Datenschutzes zu übernehmen. Dazu ist es wichtig folgendes zu beachten:
Besitzen Sie Ihre Daten komplett
Am einfachsten unterbinden Sie den Datentransfer in die USA, wenn Sie genau wissen, wo sich Ihre Daten befinden. Speichern Sie Ihre gesammelten Daten zum Beispiel in Deutschland ab. Somit werden diese nicht von amerikanischen Behörden eingesehen.
Mit Piwik PRO haben Sie folgendes zur Auswahl, um Daten unter Ihrer Kontrolle zu behalten:
- Cloud – Speichern Sie Ihre gesammelten Daten auf einer Cloud ab, die sich in Europa (DE, NL, SE, FR), in der Vereinigten Staaten oder in Hong-Kong befindet.
- Private Cloud – 60+ Azure-Regionen sowie Elastx in europäischem Besitz.
Sammeln Sie Consents
Um persönliche Daten verarbeiten zu dürfen, benötigen Sie eine Einwilligung der betroffenen Person. Zusätzlich ist es notwendig Ihren Kunden die Möglichkeit zu garantieren, den Consent zurückziehen zu dürfen.
Eine DSGVO-konforme Google Analytics Alternative beinhaltet einen integrierten Consent Manager, die die Verordnung respektiert. Somit tracken Sie keine personenbezogenen Daten ohne ausdrücklicher Einwilligung.
Opt-In-Tracking
Mit dem Opt-In-Tracking erhalten Sie 100 % der Daten Ihrer User. Kunden entscheiden sich freiwillig dafür, dass Sie ihre Daten sammeln und verarbeiten dürfen. User bewilligen Ihnen somit:
- First-Party Cookies für einen Zeitraum von 13 Monaten zu setzen.
- Die Fingerprint-Erkennung zu aktivieren.
- Die Geolocation anhand der IP-Adresse ihrer User zu erlauben.
- Personenbezogene Daten in Form von Online-Identifikatoren in einer Datenbank zu speichern.
DSGVO-konformes Tracken bringt aber auch seine Tücken mit sich. Die typische Opt-In Rate liegt bei 30 % – 50 %. Das heißt aber nicht, dass Sie auf die restlichen Daten verzichten müssen.
Sammeln Sie bis zu 70 % mehr Daten
Die meisten Kunden erteilen ihr Einverständnis zur Sammlung und Verarbeitung ihrer Daten nicht. Trotzdem ist es möglich die restlichen 50 % – 70 % der Daten zu erhalten. Diese sind zwar nicht so vollständig wie personenbezogene Daten, bieten aber eine sehr gute Basis, um die Performance der Website zu kontrollieren und die Customer Journey der User zu verfolgen.
Piwik PRO bietet Ihnen dazu zwei Tracking-Methoden an. In beiden Fällen werden keine Informationen über den Besucher gesammelt, außer die Einwilligung dazu wurde gegeben:
Anonymous Tracking | Zero-Identity Tracking | |
---|---|---|
Unikale Besucher | ||
Wiederkehrende Besucher | ||
Sessions | ||
Durchschn. Zeit der Session | ||
Seiten per Session | ||
Bounce Rate | ||
Page Views | ||
Conversions | ||
Durchschn. Zeit auf der Seite | ||
Geolocation | ||
Information über Geräte | ||
Browser-Information | ||
Traffic-Quellen | ||
Einstiegsseiten | ||
Ausstiegsseiten | ||
User Flow | ||
Funnel |
Anonymes Tracking
Das anonyme Tracking kann in den Einstellungen der Piwik PRO Analytics Suite eingeschaltet werden. Es tritt in Kraft, sobald ein Besucher den Consent Banner ignoriert, oder die Aufforderung zur Datenverarbeitung ablehnt.
Das bedeutet:
- Die Fingerprinterkennung wird deaktiviert.
- Die Geolocation basiert auf anonymisierten IP-Adressen, oder ist deaktiviert.
- Ein Session-Cookie wird gesetzt, der nach 30 Minuten seine Lebenszeit verliert.
- Personalisierte Daten werden nicht in der Datenbank gespeichert.
- Besucher erscheinen als einmalige Besucher.
Diese Methode ermöglicht Ihnen das Tracken von Sessions und Events, ohne die Privatsphäre Ihrer Kunden zu verletzen. Sie erhalten Informationen, wie Ihre Seite performt und von wo Ihre Besucher kommen (Organische Suche, Werbekampagne, etc.). In den meisten Fällen können Sie die Aktionen sogar einem einzelnen nicht wiederkehrendem Besucher zuordnen.
Zero-Identity-Tracking
Sollten Sie Daten ohne Identität sammeln wollen, gibt es in Piwik PRO das Zero-Identity-Tracking. Diese Daten sind keinen Sessionen und Personen zugeordnet. Das heißt:
- Die Fingerprinterkennung ist deaktiviert.
- Die Geolocation basiert auf anonymisierten IP-Adressen, oder ist deaktiviert.
- Die Session- oder Besuchererkennung ist deaktiviert.
- Es werden keine Daten des Besuchers gespeichert und keine Sessionen aufgezeichnet.
Die Daten werden aber in den Event-Statistiken angezeigt. Da keine Besucher und Sessionen aufgezeichnet werden, werden folgende Daten nicht getrackt:
- Die Zeit auf der Website
- Bounce rate
- User Flows und Funnels
- Kanal-Attribution
Whitepaper
4 Schritte-Guide für Analysten und Marketer zur Datenschutz-Compliance
Lesen Sie, welche Art von Daten Sie für Analytics und Marketing sammeln dürfen und wie Sie Bewilligungen datenschutzkonform einholen.
Datenschutzbehörden erhöhen Druck auf Google Analytics User
Google Analytics bietet Ihnen keine Tools zur datenschutzkonformen Datenverarbeitung an. Das heißt, dass nach dem Sturz des Privacy Shields die ganze Verantwortung bei Ihrer Organisation liegt, sich an die europäischen Gesetze zu halten. Sie müssen sicherstellen, dass keine personenbezogenen Daten an die USA weitergegeben werden.
Datenschutzbehörden selbst beginnen langsam nach Verstößen zu suchen, um den Datentransfer in die USA zu unterbinden. Sollte Ihre Organisation eine Abmahnung erhalten, steht Ihnen ein kurzer Hieb auf Ihre Finger oder sogar eine Geldbuße von bis zu EUR 20 Mio. bevor. Die Höhe der Strafe wird anhand verschiedener Faktoren bestimmt. Darunter fallen zum Beispiel:
- Art, Schwere und Dauer des Verstoßes
- Zahl der von der Verarbeitung betroffenen Personen und deren erlittener Schaden
- Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes.
Natürlich werden auch Maßnahmen zur Schadensminderung miteinbezogen. Nur müssen diese Ihrerseits bewiesen werden. Sollten Sie GA nutzen, müssen Sie sicherstellen, dass Sie einerseits Consents von Ihren Besuchern erhalten, andererseits den Datentransfer eigenhändig unterbinden.
Wäre es da nicht profitabler eine einheitliche Plattform zu wählen, die Ihnen die nötigen Tools und mehr zur Verfügung stellt.
Einfacher Wechsel auf eine Google Analytics Alternative
Der Wechsel auf eine andere Plattform zieht natürlich einige Tücken mit sich und muss gut überlegt werden. Daher ist es notwendig, dass Sie alle Risiken abwägen und den besten Ausweg für Ihr Unternehmen wählen.
Bei Piwik PRO zum Beispiel ist es möglich alle Ihre Tags, die Sie über eine Zeit hinweg in Google Analytics erstellt haben, zu übertragen. Die Migration selbst muss manuell durchgeführt werden. Der Schweregrad wird durch die Anzahl und Komplexität Ihrer Tags bestimmt. Aber genau dazu hat Piwik PRO ein dediziertes Team an Spezialisten, die Ihnen genau dabei helfen können und die Migration für Sie durchführen.
Fazit
Google Analytics bietet Ihnen keine Tools an, um sich vor Abmahnungen zu schützen und gleichzeitig Daten über Ihre Kunden zu erhalten. Die Verantwortung des Datenschutzes wird einfach auf die Nutzer abgewälzt. Sie müssen somit mehrere Hürden überwinden und zusätzliche Kosten mit einrechnen, um nur einen Bruchteil der Daten zu erhalten.
Mit einem integrierten Consent Manager, unikalen und DSGVO-konformen Tracking Methoden, sowie einem Team, dass Sie bei jeder Herausforderung berät und tatkräftig zu Seite steht, nimmt Piwik PRO ein großes Stück der Verantwortung von Ihren Schultern und bietet Ihnen einen Mehrwert an Daten.
Sollten Sie Fragen zu diesem Thema haben, stehen wir Ihnen gerne zur Verfügung. Am besten Sie schauen sich das Produkt selbst live bei einer Demo an.