News

Tracking: Schwere Zeiten für Google Analytics

Google Analytics ist seit langer Zeit ein Dorn im Auge von Datenschützern. Jetzt lassen eine Entscheidung der österreichischen sowie eine Äußerung der niederländischen Datenschutzbehörde darauf schließen, dass die diese den Einsatz des Dienstes zukünftig gänzlich untersagen könnten. In Deutschland müssen Anwender seit dem 1. Dezember 2021 zudem die Vorgaben des neuen TTDSG beachten. Auf europäischer Ebene droht der Digital Service Act nach dem Beschluss des Europaparlaments, das Tracking von Nutzern im Internet massiv zu erschweren.

Fangen nun schwere Zeiten für Google Analytics & Co an?

Google Analytics ist ein Dienst, mit dem Webseitenbetreiber analysieren können, welche Besucher wie auf ihrer Webseite agieren. Mithilfe seiner Hilfe kann er z. B. ermitteln, von welchen Webseiten ein User auf die Eigene gelangte, wie lange der Nutzer verweilt sowie die durchgeführten Aktionen. Der Betreiber kann die Ergebnisse in einem Dashboard als Bericht einsehen. Die Ergebnisse sollen ihm helfen, seine Homepage anzupassen und für seine Zielgruppe attraktiver zu gestalten. Über diese Funktion kann auch erkannt werden, ob eine Werbekampagne, die mit dem Anzeigendienst von Google durchgeführt wurde, wirksam ist oder nicht.

Damit der Dienst auf einer Homepage funktioniert, muss der Betreiber einen Programmcode in den Quelltext einpflegen. Diesen Programmcode stellt der Dienst bereit. Der Programmcode verweist auf eine Datei, die auf das Gerät des Besuchers heruntergeladen wurde (sog. Cookie). Wird die Homepage vom User eines Browsers aufgerufen, wird der Quelltext einschließlich des Programmcodes und des Cookies ausgeführt. Damit startet das Tracking und überträgt Informationen auf den Server. Hierzu zählen Informationen zur HTTP-Anfrage des Nutzers, zu den Systeminformationen sowie zu First-Party Cookies. Die Informationen umfassen u. a. Browsertyp, Browsereinstellung, Sprache, Farbtiefe, Bildschirmauflösung und IP-Adresse.

Allerdings profitiert nicht nur der Webseitenbetreiber von den Informationen, die der Dienst bereitstellt. Google selbst nutzt die Informationen ebenfalls. Allerdings hat der Konzern zusätzlich die technische Möglichkeit, die Information mit einem Google-Konto zu verknüpfen, wenn der Besucher einer Homepage zum Zeitpunkt des Besuchs in seinem Konto eingeloggt ist.

Gesammelte Daten können zugeordnet werden

Google Analytics ist aus Sicht der Faktenschützer problematisch, weil die gesammelten Informationen nicht nur allgemein sind, sondern einer bestimmten Person – dem Nutzer – zugeordnet werden können. Der Dienst weist jedem User eine eindeutige Kennnummer zu, die aus den verschiedenen gesammelten Parametern errechnet wird. Das Unternehmen ist so in der Lage, ein bestimmtes Gerät zu identifizieren. Heutzutage liegt es nahe, dass dies stets nur von einer Person verwendet wird. Jedenfalls bei einer Vielzahl von Geräten ist dies regelmäßig der Fall. So ist es über mehrere Webseiten hinweg erkennbar, welche Seiten ein Nutzer ansteuert. Diese Informationen geben Aufschluss über die Vorlieben des Besuchers und lassen sich damit für gezielte Werbung (targeted advertising) nutzen.

Damit handelt es sich um personenbezogene Details im Sinne der DSGVO, denn die Informationen können einem bestimmbaren Anwender zugeordnet werden. Wichtig ist, dass ein Anwender bereits dann als identifiziert im Sinne des Datenschutzgesetzes anzusehen ist, wenn er von Anderen unterschieden und damit individualisiert werden kann. Es ist nicht notwendig, dass unmittelbar identifizierende Informationen wie der Name oder ein Bild des Gesichts vorliegen.

User muss über Tracking informiert werden

Der Tracking-Dienst des Suchmaschinenanbieters steht aufgrund seiner Verbreitung besonders im Fokus.
copyright: Envato / stokkete

Diese umfassenden Nutzerprofile sind aus rechtlicher Sicht bedenklich. Das Tracking ist in der Vergangenheit bereits mehrfach kritisiert worden. Erteilt der Nutzer allerdings eine wirksame Einwilligung, ist das Erstellen der Profile zulässig. Eine wirksame Einwilligung hat jedoch hohe Anforderungen, die in der Praxis regelmäßig nicht eingehalten werden. Unter anderem muss der Besucher umfassend darüber informiert werden, wie seine personenbezogenen Informationen verarbeitet werden. Zudem muss seine Einwilligung freiwillig erfolgen.

Kritisch ist zudem der häufig verwendete Ansatz, die Cookie Consent Manager (CMP) so auszugestalten, dass der User dazu verführt wird, alle Cookies zu akzeptieren, denn das Auswählen einzelner oder das Ablehnen ist komplizierter gestaltet. Mit diesen sogenannten „Dark Patterns“ will man den Besucher dazu verleiten, der Verwendung zuzustimmen. Ob eine solche Einwilligung wirksam ist, ist gerichtlich noch nicht entschieden. Allerdings kommen erste Signale aus Brüssel, dass auf Ebene der Europäischen Union solche Praktiken wohl untersagt werden.

Internationaler Transfer von Fakten kritisch

Auch wenn die umfassende Faktensammlung kritisch zu sehen ist, stützt sich die aktuelle Entscheidung aus Österreich auf einen anderen Punkt: den Umstand, dass Google ein US-Unternehmen ist und in den Vereinigten Staaten sitzt. Wird Google Analytics auf einer deutschen Homepage eingesetzt, erfolgt die Übermittlung personenbezogene Informationen in die USA. Der Transfer in die USA ist aus schutzrechtlicher Sicht kritisch.

In mehreren Gerichtsurteilen hat der Datenschutzaktivist Max Schrems erreicht, dass der Europäische Gerichtshof die Gesetzesgrundlagen für den Transfer in die Vereinigten Staaten für unwirksam erklärt hat. Begründet hat der EuGH seine Entscheidungen u. a. damit, dass die Geheim- und Sicherheitsdienste der USA zu weitreichende Zugriffsrechte auf die Informationen von europäischen Nutzern haben. Die europäischen User können sich gegen einen solchen Zugriff zudem nicht verteidigen, da ihnen keine wirksamen Mittel zur Verfügung stehen. Wie hoch dieses Risiko ist, zeigt ein kürzlich von der Datenschutzkonferenz (DSK) veröffentlichtes Rechtsgutachten.

Damit personenbezogene Informationen aus der Europäischen Union in ein Drittland übermittelt werden dürfen, müssen geeignete Garantien vorliegen, die gewährleisten, dass das EU-Sicherheitsniveau für die personenbezogenen Fakten durch die Übermittlung in ein Drittland nicht unterlaufen wird. Eine solche Übermittlung können die sogenannte Standardvertragsklauseln sein, die auch in dem vorliegenden Fall zwischen Google und dem Webseitenbetreiber vereinbart sind.

Problematisch ist aber, dass die Behörden in den USA nicht an die Standardvertragsklauseln gebunden sind, da sie nicht Vertragspartei sind. Aus diesem Grund hat der EuGH verlangt, dass der Verantwortliche zusätzliche Maßnahmen (z. B. Verschlüsselung) ergreift, um das ausreichende Schutzniveau im Empfängerland zu gewährleisten. Solche Maßnahmen konnten der Webseitenbetreiber und der US-Konzern in dem Verfahren nicht überzeugend nachweisen. Aus diesem Grund hat die österreichische Datenschutzbehörde den Einsatz für rechtswidrig erklärt.

Neue Gesetze sollen helfen

Datenschutzregelungen sollen das Sammeln von personenbezogenen Daten verhindern.
copyright: Envato / rawf8

Mit dieser Entscheidung steht die österreichische Behörde nicht allein da. Als Reaktion hat das niederländische Gegenstück auf ihrer Homepage ebenfalls darauf hingewiesen, dass der Einsatz von Google Analytics wohl nicht gestattet sei. Doch auch in Deutschland führen derartige Übermittlungen dazu, dass der Einsatz entsprechender Tools untersagt wird. So hat das VG Wiesbaden entschieden, dass der Einsatz des sogenannten „Cookiebot“ gegen das aktuelle Recht verstößt, weil bei seiner Verwendung die Übermittlung von IP-Adressen auf Server in den USA erfolgt.

Der korrekte Einsatz von Tracking Tools wird aber auch aus anderen Gründen immer schwerer. Zum 1. Dezember 2021 ist das TTDSG in Kraft getreten. Das Gesetz sieht vor, dass Cookies und vergleichbare Technologien nur eingesetzt werden dürfen, wenn der Betroffene zuvor eingewilligt hat. Eine Ausnahme von dem Einwilligungserfordernis gilt nur, wenn die Cookies technisch zwingend erforderlich sind.

Diese Ausnahme ist eng zu verstehen und erfasst wohl nur solche, die man etwa verwendet, um einen Einkaufskorb vorzusehen oder die Spracheinstellungen zu speichern. Tracking und Analyse-Cookies fallen in jedem Fall nicht darunter. Allerdings ist vieles an der Regelung noch unklar. Zudem könnte die Regelung bald obsolet werden, wenn die E-Privacy-Verordnung der EU erlassen wird. Ursprünglich sollte dies gemeinsam mit der DSGVO erfolgen. Doch auch weitere Gesetzesinitiativen zielen darauf ab, den Einsatz derartiger Tools zu unterbinden oder jedenfalls einzuschränken.

Hierzu zählt insbesondere der Digital Services Act, mit dem die EU die großen Tech-Giganten, insbesondere aus den USA, zähmen will. Doch auch außerhalb der EU gibt es Gesetzesinitiativen, die gezielte Werbung verbieten oder zumindest einschränken wollen. In den USA haben die Demokraten den „Banning Surveillance Advertising Act“ vorgestellt und in die Debatte eingebracht, der in die gleiche Richtung zielt.

Reaktionen von Google

Das US-Unternehmen reagiert auf den Gegenwind, der aus Europa kommt, erstaunlicherweise nicht (nur) mit Gerichtsverfahren, sondern auch mit dem Beschluss, Cookies einzuschränken. Das Unternehmen plant, zukünftig nicht mehr auf Drittanbieter-Cookies zuzugreifen. Der Chrome-Browser soll diese blockieren. Da es sich bei dem Browser um den aktuell meistverwendeten Browser handelt, hätte diese Entscheidung weitreichende Folgen. Deshalb wehrt sich die Medien- und Werbebranche auch gegen dieses Vorhaben, fürchtet sie doch Einnahmeausfälle.

Google versucht zudem, durch neue Technologien eine Art datenschutzfreundlichere Individualisierung im Internet zu erreichen, um Werbung zielgenau zu platzieren. Nachdem der US-Konzern das Ende von Google FloCs verkündet hat, setzt der Konzern nun auf „Topics“. Dabei handelt es sich um semantisches Targeting. Google ermittelt die Interessen dabei anhand von vorgegebenen Kategorien und dem Kontext einer Homepage. Damit steht Werbung für Angler zukünftig auf Webseiten, die sich mit dem Angeln befassen.

[box type=“info“ align=““ class=““ width=““]Gastautor: Christian Kuss,
Rechtsanwalt, Partner, IP/IT,
Luther Rechtsanwaltsgesellschaft mbH[/box]

Bildquellen

  • Der Tracking-Dienst des Suchmaschinenanbieters steht aufgrund seiner Verbreitung besonders im Fokus.: copyright: Envato / stokkete
  • Datenschutzregelungen sollen das Sammeln von personenbezogenen Daten verhindern.: copyright: Envato / rawf8
  • Mithilfe von Google Analytics können Betreiber von Internetseiten Bewegungen von Besucher auf ihrer Homepage verfolgen.: copyright: Envato / kroshka__nastya
Teilen
Published by
Redaktion

Weitere Beiträge

Partnerschaft für Innovation

Startups stehen meist für Kreativität und innovative Lösungen. Sie betrachten Dinge häufig aus einer anderen…

18. November 2024

Deutschlands Firmen suchen Nachfolger

Firmenverkäufe sind zwar nichts Ungewöhnliches, bedürfen jedoch der sehr sorgfältigen Planung und Vorbereitung einer spezialisierten…

13. November 2024

Besondere Ehre für Vera Peters

Was für Schauspieler der Oscar und für Musikschaffende der Grammy, ist für Unternehmer der Stevie…

11. November 2024

Ressourcen optimal nutzen: So schaffen Unternehmen neue Liquidität

Unternehmen sind heute vor dem Hintergrund steigender wirtschaftlicher Unsicherheiten und wachsender Anforderungen hinsichtlich Flexibilität und…

11. November 2024

Bankgarantien im Handelsgeschäft

Oftmals besteht für die Vertragsparteien von großvolumigen oder internationalen Handelsgeschäften ein gesteigertes Interesse an der…

11. November 2024

Unternehmen im Fluss – der Rhein verbindet

Wir leben in bewegten Zeiten – in Zeiten, die im Fluss sind. Und genau darum…

9. November 2024

Mit der Nutzung unseres Online-Angebotes erklären Sie sich damit einverstanden, dass wir Cookies verwenden. Informationen zum Datenschutz finden Sie auf unserem Impressum und in der Datenschutzerklärung.