Google Analytics schickt immer Daten in die USA

analytics-daten-usa

Jetzt ist es offiziell

Google gibt neuerdings selbst unmissverständlich zu, dass die Analytics-Daten immer in den USA verarbeitet werden. Zusätzlich findet eine Datenverarbeitung weltweit statt.

Google Analytics ist noch das populärste Webseiten-Tool, um das Verhalten von Nutzern auszuspionieren.

Vor wenigen Tagen kam das überraschende Eingeständnis von Google. Seitdem ist unbestreitbar, dass alle mit Google Analytics auf einer Webseite erfassten Daten immer in die USA geschickt und dort verarbeitet werden.

Warum hat Google das zugegeben?

Auslöser war eine Beschwerde der Datenschutzorganisation noyb gegen Google bei der österreichischen Aufsichtsbehörde. Die Behörde stellte daraufhin über 20 Fragen an Google.

Google antwortete auf die Fragen oft ausweichend, nicht selten ignorant und unvollständig. Dass Google für Google Analytics Daten die ausschließliche Datenhaltung in den USA proklamierte, ist halbwegs einfach zu erklären. Hierfür muss ich etwas ausholen.

Wie ist die Rechtslage?

Seit dem EuGH Urteil zum Privacy Shield, auch als „Schrems II“ Urteil bezeichnet, gelten die USA als unsicheres Drittland. Ein Transfer personenbezogener Daten in die USA bedarf einer Einwilligung.

Auf Webseiten findet immer ein Transfer personenbezogener Daten statt, weil die Netzwerkadresse des Nutzers, die IP-Adresse, laut höchstrichterlicher Entscheidung personenbezogen ist.

Die USA gelten als unsicheres Drittland, weil dort Rechtsmittel existieren, die es amerikanischen Behörden wie Geheimdiensten erlauben, auf Daten amerikanischer Unternehmen zuzugreifen. Hat ein Unternehmen aus Amerika als Kundendaten von Deutschen gespeichert, kann Amerika darauf zugreifen.

Die Rechtsmittel, die Geheimdienste zum heimlichen Datenzugriff legitimieren, sind insbesondere das FISA-Gesetz sowie die Executive Order EO12333. Für beide Vorschriften stellte Google in seiner Antwort an die Aufsichtsbehörde klar, dass diese lediglich den Zugriff auf Daten erlauben, die außerhalb der USA gespeichert werden.

Die Logik von Google ist also: Wir speichern alle Daten in den USA, also kann aufgrund von FISA und EO12333 kein Zugriff erfolgen. Demnach sind die Daten bei uns sicher.

Das stimmt so allerdings nicht, ist aber wohl der bestmögliche Einwand, den Google vorbringen kann. Wahrscheinlich korreliert die Kreativität dieser Stellungnahme von Google irgendwie mit den Gehältern der Google-Anwälte. Nichtsdestotrotz hat Google damit zugegeben, was vielen schon klar war, aber nicht bewiesen werden konnte.

Sind die Daten in den USA sicher?

Die bessere Frage ist, ob Daten, die von Google Analytics in die USA geschickt und dort gespeichert werden, sicher sind.

Offensichtlich entstehen Analyse-Daten in Europa, wenn ein Europäer eine Webseite öffnet, die Google Analytics einbindet. Google sammelt diese Daten über einen sogenannte Kollektor ein.

Ein Kollektor ist ein Server, der nach Möglichkeit in der geographischen Nähe des Nutzers steht und die Daten vom Endpunkt entgegennimmt. Anschließend werden die Daten in die USA geschickt.

Somit findet eine weltweite Datenerhebung statt. Die NSA als amerikanischer Geheimdienst hat aufgrund von FISA und EO12333 die Möglichkeit, eine sogenannte Upstream Collection durchzuführen. Dabei wird ein Transatlantikkabel angezapft, durch das Daten von anderswo in die USA hineinfließen.

Dies ist offensichtlich ohne Einwilligung an sich erst einmal rechtswidrig, könnte man ironisch anmerken. Abgesehen davon müssten betroffene Personen hierüber aufgeklärt werden, was wohl nicht stattfindet. Außerdem muss jede betroffene Person laut DSGVO unter anderem ein Widerspruchsrecht haben. Auch diesen Begriff kennt die NSA wahrscheinlich nicht.

Einwilligungserfordernis für Google Analytics

Alleine wegen der weltweiten Datenerfassung und der Datentransfers in die USA müsste also eine Einwilligung für Google Analytics abgefragt werden, bevor das Tool geladen wird.

In der aktuellen Standardkonfiguration verwendet Google (Universal) Analytics Cookies. Dies ist laut § 15 Abs. 3 TMG einwilligungspflichtig. Begründung:

  • Die Cookies werden von Google Analytics gesetzt und ausgelesen
  • Die Werte der Cookies werden zu Google Servern geschickt
  • Die Cookies sind technisch nicht notwendig. Beweis: Google Analytics kann auch ohne Cookies betrieben werden
  • Die ePrivacy Richtlinie fordert in Art. 5 Abs. 3 hierfür eine Einwilligung. Es ist irrelevant, welche Daten in den Cookies gespeichert werden. Es müssen also nicht einmal personenbezogene Daten sein
  • Das TMG ist laut BGH-Urteil vom 28.05.2020 – I ZR 7/16 („Planet49“) gemäß der ePrivacy-Richtlinie auszulegen

Mit Google kann zudem möglicherweise kein wirksamer AVV abgeschlossen werden, weil die Unterauftragnehmer weltweit verteilt sind, weil Google Daten auf Anfrage „möglicherweise“ erst nach zwei Monaten löscht usw.

All dies reicht aus, um von einer generellen Einwilligungspflicht für Google Analytics auszugehen, selbst, wenn keine Cookies Verwendung finden sollten.

Angaben zu Google Analytics

Wer sich einmal die Datenschutzhinweise von Google und das Vertragswerk zu Google Analytics angesehen hat, ist wahrscheinlich genauso schlau wie vorher. Die Angaben von Google sind derart verschachtelt, auf diverse Dokumente verteilt, vage und mehrdeutig, dass eine transparente Angabe hierzu nicht möglich erscheint.

Gemäß Artikel 12 DSGVO muss aber eine transparente, verständliche Information über Datenverarbeitungen mit Google Analytics erfolgen.

Fazit

Eine wirksame Einwilligung für Google Analytics einzuholen scheint schwierig. Diese sogenannten Cookie Popups auf Webseiten nerven nicht nur, sie sind meistens auch in der Praxis rechtswidrig.

Ohne Einwilligung wiederum könnte Google Analytics nur betrieben werden, wenn auf Cookies verzichtet wird. Die Datenqualität ist dann allerdings fraglich, weil Google Analytics für diese Betriebsart nicht optimiert ist.

Eine datenschutzfreundliche Analyse von Webseiten-Besuchern ist mit Tools wie Trackboxx möglich. Ohne Cookies und ohne nennenswertes Fingerprinting bedarf es keiner Einwilligungsabfrage. Der Fokus liegt hier auf einer einfachen Bedienung, was bei Google Analytics sicher nicht der Fall ist. Wer sich einmal das Google Analytics Dashboard angesehen hat, wird selbst nach Stunden noch nicht alles verstanden haben.

Zudem finde ich, dass wir deutsche Anbieter bevorzugen und mit den kostenfreien Datenlieferungen an Google schnellstmöglich aufhören sollten.

Wer einmal einen Support-Fall oder eine allgemeine Frage an einen Konzern hatte, wird das Gefühl kennen, keine richtige Antwort erhalten zu haben. Meine Erfahrung ist, dass einheimische Anbieter deutlich kundenfreundlicher sind und den Dienstleister-Gedanken besser verinnerlicht haben.

Wusstest Du, dass …

… Tracking (also die Webanalyse) auch ohne Cookies möglich ist? Die Trackboxx erzeugt statt Cookies einen Hash. Personenbezogene Daten werden nicht gespeichert. Damit kannst Du - unter gewissen Voraussetzungen - sogar auf das Consent-Banner verzichten. Klingt gut? Dann teste die Trackboxx vollkommen kostenlos und unverbindlich.

Über den Autor:

dr-klaus.meffert-150x150

Dr. Klaus Meffert ist Diplom-Informatiker und Geschäftsführer der IT Logic GmbH. Er veröffentlicht als Dr. DSGVO regelmäßig Beiträge zum digitalen Datenschutz und betrachtet dabei technische und rechtliche Aspekte gleichermaßen.

Sei der erste der diesen Artikel teilt:

Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.