HomeNewsGoogle Analytics und Datenschutz in Europa

Google Analytics und Datenschutz in Europa

14.03.2022

Viele Website-Betreiber in Europa sind verunsichert: Ist der Einsatz von Google Analytics illegal? Das lassen die jüngsten Entscheidungen und Stellungnahmen der europäischen Datenschutzbehörden zumindest vermuten, manche sagen es sogar direkt. Bei näherer Betrachtung ist die Situation weniger schwarz-weiss. David Rosenthal, Partner der Anwaltskanzlei VISCHER und renommierter Datenschutzexperte, hat sich genauer mit der Thematik befasst und einen Blogeintrag geschreiben, wie und warum seiner Ansicht nach Google Analytics in Übereinstimmung mti der DSGVO verwendet werden kann.

In seinem Blogbeitrag, der auf der VISCHER-Website (in Englisch) nachzulesen ist, geht David Rosenthal u.a. darauf ein, welche Schritte bei der Implementierung von Google Analytics beachtet werden sollten:

  1. Stellen Sie sicher, dass das Tracking erst dann erfolgt, wenn die betroffene Person (i) darüber informiert wurde, dass ihre Daten an den Importeur in den USA übermittelt werden, wo sie möglicherweise einem lokalen gesetzeskonformen Zugriff unterliegen und dass sie ihre Einwilligung jederzeit zurückziehen kann, und (ii) einer solchen Nutzung und Übermittlung zugestimmt und diese nicht widerrufen hat. Es sollte darüber informiert werden, dass Tracking-IDs, gegebenenfalls IP-Adressen und Geräteinformationen an Google in den USA weitergegeben werden. Bei korrekter Umsetzung ist diese Massnahme im Prinzip ausreichend, um die Nutzung von Google Analytics zuzulassen. Die weiteren Schritte sind als zusätzlicher Schutz über die Einwilligung hinaus gedacht.
  2. Stellen Sie sicher, dass der Vertrag zur Nutzung von Google Analytics ( inklusive der Datenverarbeitungsvereinbarung) mit Google Ireland Limited und nicht mit Google LLC abgeschlossen wird. Tatsächlich werden alle neuen Google Analytics-Verträge in der EMEA-Region (sowohl die kostenlose als auch die kostenpflichtige Version) mit Google Ireland Limited abgeschlossen. Einige ältere Verträge müssen möglicherweise aktualisiert werden.
  3. Stellen Sie sicher, dass die IP-Anonymisierung aktiviert und richtig implementiert ist.
  4. Stellen Sie sicher, dass die Option «Datenfreigabe» («Data sharing») in Google Analytics deaktiviert ist. Die Option «Datenfreigabe» ist normalerweise standardmässig deaktiviert.
  5. Stellen Sie sicher, dass die Option «Signale» («Signals») in Google Analytics nicht aktiviert ist.
  6. Wenn Sie proprietäre User-IDs verwenden, stellen Sie sicher, dass diese keine Benutzeridentifikation zulassen (z. B. keine E-Mail-Adressen im Klartext).
  7. Überprüfen Sie die TIA-Einschätzung für die Datenübermittlung zwischen Google Ireland Limited und Google LLC und entscheiden Sie als für die Verarbeitung Verantwortliche:r, ob Sie zu selben Schluss wie Google Ireland Limited kommen, dass es keinen Grund zu der Annahme gibt, dass personenbezogene Daten, die von Ihren Nutzern mithilfe von Google Analytics erhoben wurden, dem gesetzeskonformen Zugriff von US-Geheimdiensten unterliegen werden.

Um den Gesamtzusammenhang zu verstehen, empfiehlt Swissfundraising ausdrücklich, den Blogeintrag «How to legally use Google Anlaytics in Europe» von David Rosenthal nachzulesen. Ausserdem handelt es sich bei diesem Artikel um eine Übersetzung aus dem Englischen, für deren Richtigkeit keine Haftung übernommen wird.


Disclaimer: Der Blogeintrag (und damit auch dieser übersetzte Auszug) gibt die persönliche Meinung des Verfassers wider und spiegelt nicht unbedingt die Meinung eines Kunden (oder gar von Google). David Rosenthal möchte mit diesem Artikel seine Ansichten und Empfehlungen mit der Öffentlichkeit teilen; sie und die damit verbundenen TIA stellen jedoch keine Rechtsberatung dar, sondern dienen nur zu Informationszwecken und sind auf eigene Gefahr zu verwenden.