Kein Grund zur Panik wegen des kürzlich von Datenschützer Max Schrems publizierten und nicht rechtskräftigen Urteils. Nutzung des Analysetools ist per se kein Verstoß gegen die EU-Datenschutzgrundverordnung. Arbeitsgruppe Public Affairs rät zur Überprüfung und Anpassung der Einstellungen im Consent Management.
Das nicht rechtskräftige Urteil in der Klage von Datenschützer Max Schrems wirbelte einigen Staub auf und sorgte für missverständliche Berichterstattung in einigen Medien. Die Beschwerde des Datenschützers stammt aus dem August 2020, wo unter anderem die Anonymisierungsfunktion noch nicht implementiert war. Vertragspartner für die kostenfreie Google-Analytics-Version war zu diesem Zeitpunkt noch Google LLC in den Vereinigten Staaten und nicht die nunmehrige Google Ireland Ltd. mit Sitz in der Europäischen Union. Im konkreten Fall wurde das Analysetool durch den Websitebetreiber mangelhaft eingebunden und noch keine (ausreichende) Einwilligung der User zur Datenverarbeitung eingeholt, wie sie heute Standard im Consent Management ist.
Im Regelfall wird die Zustimmung der User über Consent Banner explizit abgefragt und das Einverständnis zur weiteren Verarbeitung der Daten oder Übertragung in die USA ausdrücklich eingeholt. In der Arbeitsgruppe Public Affairs der größten Interessenvertretung der heimischen Digitalwirtschaft geht man zudem davon aus, dass es zum Instanzenzug kommen wird und das Bundesverwaltungsgericht erneut über die Causa zu entscheiden hat. Ebenso bleibt die Adaption der österreichischen Entscheidung durch andere Datenschutzbehörden im EU-Raum abzuwarten. Die Aussage von Schrems, dass europäische Unternehmen keine US-Cloud-Dienste mehr nutzen dürften, werten die Public-Affairs-Experten als massiv übertrieben und im Zusammenhang mit der konkreten Entscheidung für nicht gerechtfertigt. Letztlich wird dadurch die gesamte Digitalbranche mit den von ihr eingesetzten notwendigen Analyse-Tools angegriffen und Ängste bei den Usern verbreitet.
Europa abgekoppelt von der weltweiten Entwicklung?
Offensichtlich werden auch die Folgen solch weitgehender Behauptungen nicht bedacht. Durch ein komplettes Verbot von US-Cloud-Diensten würde sich Europa von der technologischen (Welt-) Entwicklung abkoppeln. Weiters gibt es nicht ausreichend (Personal-) Ressourcen, um mögliche europäische Alternativen schnell zu implementieren – ein Punkt, der vor allem Klein- und Mittelunternehmen trifft. Hier ist zu hoffen, dass die europäischen Datenschutzbehörden sich ihrer Verantwortung für den (Digital-) Standort bewusst sind.
Daher braucht es einen pragmatischen Zugang: Nicht die generelle Nutzung von Google Analytics stellt ein Problem da. Websitebetreiber und Werbetreibende stehen jedoch in der Verantwortung die rechtlichen Grundlagen zu prüfen und etwa die Zustimmung der User im Rahmen des Consent Managements einzuholen.
„Der aktuelle Fall ist ein Weckruf. Firmen sind gut beraten, ihre Hausaufgaben zu machen und die Einstellungen auf Einklang mit der EU-Datenschutzgrundverordnung zu überprüfen und aktiv zu aktualisieren“, empfiehlt Markus Fallenböck (Own360), Leiter der Arbeitsgruppe Public Affairs im interactive advertising bureau austria.
In einem Leitfaden für seine Mitglieder zur gesetzeskonformen Nutzung von Google Analytics weist das iab austria darauf hin, dass Daten zu anonymisieren sind, womit weiterhin aufschlussreiche Informationen über Anzahl und Verhalten der User gewonnen werden. Die Speicherung der IP-Adresse oder des Device Fingerprints wertet die Datenschutzbehörde bereits als Verarbeitung personenbezogener Daten, da einzelne Nutzer gezielt identifiziert werden können.
„Betreiberinnen und Betreiber von Websites müssen sich bewusst sein, dass die Datenschutzbehörde ausschließlich sie selbst für die weitere Verarbeitung der Daten durch Dritte verantwortlich macht und nicht beispielsweise den Anbieter des Analysetools. Rechtssicherheit lässt sich durch eine Überprüfung und eventuelle Aktualisierung des Consent Managements herstellen. Das sollte allerdings nicht auf die lange Bank geschoben werden“, so Fallenböck abschließend.