Sollten Sie eine DPIA für Google Analytics durchführen?

, ,

Geschrieben von Tatjana Hein, Karolina Lubowicka

Veröffentlicht Mai 06, 2020

Sollten Sie eine DPIA für Google Analytics durchführen?

Berichten zufolge ist Google Analytics (GA) auf mehr als der Hälfte aller Websites installiert. Diese Popularität ist keine Überraschung – es wurde von einer der bekanntesten Marken der Welt entwickelt, es ist einfach zu bedienen und es ist “kostenlos”. Aber das Tool ist nicht nur für Websitebetreiber nützlich, denn es ist zudem auch eine leistungsstarke Informationsquelle für Google selbst.

In der Vor-DSGVO-Ära schien dies vor allem Befürworter des Datenschutzes zu alarmieren. Dann wurde die DSGVO eingeführt, und jetzt müssen alle Websitebetreiber, die in Europa tätig sind, sorgfältig prüfen, ob die Software es ihnen ermöglicht, den neuen gesetzlichen Standards gerecht zu werden und die Privatsphäre der User zu respektieren. Satte 200 000 Klagen gegen Unternehmen, die Google Analytics deutschlandweit einsetzen, scheinen dagegen zu sprechen.

In dieser Situation werden Sie sich als Nutzer von Google Analytics vielleicht fragen, ob es eine Möglichkeit gibt, das Tool zu “desinfizieren” und hohen Geldstrafen zu entgehen.

Eine Möglichkeit, Probleme zu vermeiden, besteht darin, das Sammeln von Daten auf eine explizite Zustimmung und nicht auf ein legitimes Interesse zu stützen. Eine andere, weniger bekannte Möglichkeit ist die Durchführung einer Datenverarbeitungs-Folgenabschätzung (DPIA) für Google Analytics.

 In diesem Artikel erfahren Sie, warum und wie Sie diese Art von Analyse durchführen sollten.

Wo liegt das Problem mit Google Analytics?

Es gibt verschiedene Risiken bei der Nutzung von Google Analytics, insbesondere im Zusammenhang mit der Einhaltung von Datenschutzgesetzen.

1) Datenaufenthalt

Wenn Sie GA verwenden, werden Ihre Daten in einer zufällig ausgewählten Public Cloud in den USA, der EU oder Asien gespeichert. Bei der Freemium-Version der Software können Sie nicht wirklich wählen, wo Ihre Daten gespeichert werden sollen.

Nehmen wir an, Google beschließt, Ihre Daten auf Servern in den USA zu speichern. Um die Sicherheit zu gewährleisten, wendet Google Analytics den Framework Privacy Shield an – ein weithin bekannter Datenschutzstandard für den Datentransfer zwischen Europa und den Vereinigten Staaten.

Hier ist ein direktes Zitat aus den Auftragsdatenverarbeitungsbedingungen für Google Werbeprodukte:

10.2 Datenübermittlungen. Google wird sicherstellen, dass:

(a) die Muttergesellschaft der Google-Konzerngruppe, die Google LLC, gemäß den Privacy-Shield-Grundsätzen zertifiziert bleibt; und
(b) der Umfang der Privacy-Shield-Zertifizierung der Google LLC die personenbezogenen Daten des Kunden erfasst.

Obwohl die DSGVO Ihnen nicht verbietet, Daten außerhalb der EU zu speichern, schreibt sie sehr hohe Sicherheitsstandards für Offshore-Datenbanken vor. Das Privacy Shield wiederum wurde seit seiner Einführung kritisiert, und viele renommierte Organisationen, darunter das Europäische Parlament, warnen, dass es kein angemessenes Schutzniveau bietet. 

Trotz der Zweifel, die in Bezug auf das Privacy Shield geäußert wurden, gibt Google Ihnen keine Kontrolle über den Speicherort Ihrer Daten.

2) Wiederverwendung Ihrer Daten im Google-Werbenetzwerk

Es gibt auch ein Problem mit dem Dateneigentum, oder genauer gesagt, dem Mangel daran. Google verwendet Ihre Analytics-Daten, um seine Services zu verbessern. Die von Ihnen in Ihrem Tool erfassten Informationen werden dann an Kunden anderer Google-Produkte weitergegeben, darunter:

  • Double Click
  • Google-Anzeigen
  • YouTube
  • und weitere Google-Produkte

Wie in Googles Datenschutz- und Nutzungsbedingungen nachzulesen ist:

Auf vielen Websites und in vielen Apps werden Google-Dienste eingesetzt, um die Inhalte zu verbessern und auf Dauer eine kostenlose Nutzung zu ermöglichen. Durch die Integration unserer Dienste werden über diese Websites und Apps Daten an Google übermittelt.

Wenn Sie eine Website besuchen, auf der Werbedienste wie AdSense oder Analysetools wie Google Analytics verwendet werden oder Videoinhalte von YouTube eingebettet sind, sendet Ihr Webbrowser automatisch bestimmte Informationen an Google. Hierzu gehören auch die URL der besuchten Seite und Ihre IP-Adresse. Unter Umständen setzen wir auch Cookies in Ihrem Browser oder lesen die bereits vorhandenen Cookies. Auch durch Apps, in denen Werbedienste von Google zum Einsatz kommen, werden Daten an Google übermittelt, zum Beispiel der Name der App und eine spezifische Kennziffer für Werbezwecke.

Dies ermöglicht Google die Erstellung von Nutzerprofilen. Mit Daten aus verschiedenen Quellen ist der Tech-Gigant in der Lage, solche Usermerkmale wie Geschlecht oder Standort zu bestimmen und diese Daten dann in Ihren Reports zur Verfügung zu stellen.

Da Sie über einen GA-Code auf Ihrer Website verfügen, lernen die Inserenten in Google Ads die Präferenzen Ihrer User auf der Grundlage des von ihnen konsumierten Contents kennen. Das ermöglicht es ihnen, diese User mit Werbung gezielt anzusprechen.

Als Websitebetreiber stimmen Sie dem standardmäßig in den GA-Datenfreigabeeinstellungen zu. Für jemanden, der vollständigen Datenschutz benötigt, sollte das alarmierend sein. Je mehr Parteien Zugang zu Ihren Daten haben, desto größer ist die Chance, dass ihre Privatsphäre und Sicherheit gefährdet werden.

Und ehrlich gesagt, ist dies nur die Spitze des Eisbergs. In Brave’s Inside the black box: Ein Blick auf Googles interne Daten – kostenlos – finden Sie eine noch längere (und erschreckendere) Liste von Möglichkeiten, wie Google Daten über Ihre User verwendet.

3) Sammeln von eindeutigen Identifikatoren, die persönliche Daten sind

Dieser Punkt betrifft persönliche Daten. In seinen Verarbeitungsbedingungen verbietet Google seinen Nutzern, alle Arten von personenbezogenen Daten zu sammeln, außer

Online-Identifikatoren, einschließlich Cookie-IDs, Internet-Protokolladressen und Geräte-IDs; Client-ID.

Denken Sie jedoch daran, dass PII und personenbezogene Daten nicht dasselbe sind, da der Geltungsbereich des letzteren viel breiter ist. Im Sinne der DSGVO sammelt GA immer noch persönliche Daten in Form von Online-Identifikatoren der User, die in einem Cookie gespeichert werden. 

Das bedeutet, dass Sie nach wie vor gültige Einwilligungen von Ihren Usern einholen müssen, um Daten mit eindeutigen Identifikatoren zu verarbeiten, auch wenn Sie keine anderen Arten personenbezogener Daten (z.B. E-Mail-Adressen oder Namen Ihrer Kunden) erfassen.

4) Die Kopplung von GA-Daten mit First Party-Daten erfordert zusätzliche Zustimmung

Eine andere Sache ist die Kombination von Google Analytics-Daten mit den von Ihnen erfassten First Party-Daten, z. B. Informationen aus CRM, Offline-Datenbanken oder Zahlungssystemen. 

Um gesetzeskonform zu handeln, müssen Sie Ihre Website-User fragen, ob sie Ihnen dies gestatten. Gemäß der DSGVO erfordert jeder neue Zweck für die Verarbeitung von Analytics-Daten eine separate Einwilligung des Users, die in einer Einverständniserklärung (Consent-Formular) angegeben wird.

Web Analytics Anbieter-Vergleich

Vergleichen Sie die verschiedenen Features der führenden Analytics-Anbieter

Warum die Datenschutzbehörden bei Google Alarm schlagen

Aus diesen und anderen Gründen ist Googles Ansatz zum Datenschutz unter den europäischen Datenschutzbehörden breit diskutiert worden. Am 14. November 2019 gaben sieben deutsche Datenschutzbehörden Stellungnahmen zu den Third Party-Trackingmechanismen ab.

Sie kamen überein, dass die Zustimmung erforderlich ist, wenn Third Parties personenbezogene Daten für eigene Zwecke verwenden (was Google Analytics macht). Wie wir in einer Pressemitteilung des Hamburger Beauftragten für Datenschutz und Informationsfreiheit lesen können:

Viele Website-Betreibende berufen sich bei der Einbindung von Google Analytics auf alte, längst überholte und zurückgezogene Veröffentlichungen wie die „Hinweise des HmbBfDI zum Einsatz von Google Analytics“. Das Produkt Google Analytics wurde in den vergangenen Jahren so fortentwickelt, dass es in der aktuellen Gestaltung keine Auftragsverarbeitung mehr darstellt. Vielmehr räumt sich Google als Anbieter das Recht ein, die Daten auch zu eigenen Zwecken zu verwenden. Die Einbindung von Google Analytics erfordert daher eine Einwilligung, die den Anforderungen der Datenschutzgrundverordnung genügt.

Die Datenschutzbehörden kündigten an, dass sie Website-Inspektionen einleiten würden und forderten die für die Datenverarbeitung Verantwortlichen auf, die auf ihren Websites installierten Third Party-Tracker unverzüglich zu überprüfen, um Geldstrafen zu vermeiden.

Nun sind die deutschen Datenschutzbehörden (DSK) unter einem Berg von Beschwerden – rund 200.000 – über Websites begraben, die Google Analytics verwenden.

Wie man Geldstrafen vermeidet

Die erste und naheliegende Möglichkeit, sich vor den Folgen der Verwendung von Google Analytics zu schützen, ist die Anwendung von Consent-Mechanismen auf Ihrer Website. Wenn Sie mehr darüber erfahren möchten, besuchen Sie unbedingt unsere Website Consent Manager und lesen Sie unseren praktischen Leitfaden für professionelles Consent Management in Zeiten der DSGVO

Der Consent ist jedoch nur eines der Dinge, die Sie tun sollten, um die Verwendung des Tools zu desinfizieren. Nach Klagen gegen Google Analytics-Nutzer schlägt die deutsche DSK vor, einen Schritt weiter zu gehen und eine Folgenabschätzung zur Datenverarbeitung durchzuführen. 

Wenn Ihr Unternehmen eine DPIA durchführt, können Sie den Behörden gegenüber nachweisen, dass Sie das zugrunde liegende Datenverarbeitungskonzept für Clickstream-Daten verstehen und dass Sie Ihren Teil dazu beigetragen haben, die Auswirkungen auf die Privatsphäre der User Ihrer Website abzuwägen.

Auf diese Weise können Sie auch entscheiden, ob Sie bereit sind, die mit einer Partnerschaft mit Google verbundenen Verpflichtungen zu übernehmen.

Was ist eine DPIA?

Eine DPIA ist ein Prozess, der geschaffen wurde, um Sie bei der Analyse, Identifizierung und Minimierung der Datenschutzrisiken eines Projekts zu unterstützen. Wenn sie ordnungsgemäß durchgeführt wird, hilft sie Ihnen dabei, zu bewerten und nachzuweisen, wie Sie Ihren Verpflichtungen gemäß der DSGVO nachkommen.

Die Durchführung einer DPIA ist für jede Art von Verarbeitung gesetzlich vorgeschrieben, insbesondere für Verarbeitungen, die eine Bedrohung für die Rechte und Freiheiten der Menschen darstellen könnten. Sie muss nicht alle Risiken ausschalten, aber sie sollte Ihnen helfen, sie zu minimieren und festzustellen, ob sie in einem bestimmten Kontext akzeptabel sind.

Die Durchführung einer DPIA muss nicht immer schwierig oder zeitaufwändig sein, aber sie muss zeigen, welchen Aufwand Sie in die Bewertung investiert haben. Außerdem gibt es keine Regeln, an die Sie sich bei der Erstellung Ihrer DPIA halten müssen. Wir empfehlen Ihnen, sich an den besten und zuverlässigsten Beispielen zu orientieren. Nutzen Sie eine von ICO vorbereitete DPIA-Vorlage

Informieren Sie sich in diesem hilfreichen Leitfaden der ICO über die Vor- und Nachteile der DPIA.

Was sind Ihre anderen Optionen?

Wenn Sie nach der Durchführung einer DPIA zu dem Schluss kommen, dass das mit der Verwendung von Google Analytics verbundene Risiko zu groß ist, denken Sie daran, dass es andere Möglichkeiten gibt. Tools, mit denen Sie die volle Kontrolle und das Eigentum an den von Ihnen gesammelten Daten erhalten. Zum Beispiel Piwik PRO, das Sie auf Ihrer eigenen Infrastruktur und zertifizierten Cloud-Servern an einem Ort Ihrer Wahl betreiben können.

Wenn Sie mehr darüber erfahren möchten, wie Piwik PRO Ihnen helfen kann, im Einklang mit der DSGVO und anderen Datenschutzgesetzen zu arbeiten, besuchen Sie unsere Seite zur Datenschutz Compliance.

Fazit

Wir hoffen, dass die Informationen, die wir Ihnen hier gegeben haben, dabei helfen, festzustellen, ob die Vorteile einer Zusammenarbeit mit Google Analytics die potenziellen Gefahren für die Privatsphäre der Nutzer überwiegen. Sie sollten sich also grundsätzlich mit den Risiken, vor allem beim Thema Datenschutz der Nutzung von GA auseinandersetzen und im Zweifel darüber nachdenken auf ein alternatives Tool zurückzugreifen.