Warum machen die Dienste von Google einen Mehraufwand beim Datenschutz nötig?
Google hat zwar weltweit Rechenzentren eingerichtet, die Speicherung bei der Übermittlung von Daten erfolgt jedoch weiterhin häufig in den USA und somit in einem Drittstaat. Die Übermittlung von Daten in einen Drittstaat ist jedoch nur unter Berücksichtigung eines angemessenen Datenschutzniveaus möglich.
Nach dem Kippen des Privacy Shields stehen hierbei nun die Standardvertragsklauseln im Fokus. Alle Informationen hierzu stehen in diesem Artikel „Datentransfer in Drittländer – Schrems II und die Standardvertragsklauseln“. Laut Google müssen keine Anpassungen mehr vorgenommen werden, da die Verträge digital und automatisch generiert werden und direkt die entsprechenden Standardvertragsklauseln enthalten. „Google bezieht diese Standardvertragsklauseln auch in Verträge mit Kunden ein, welche Google-Dienste für Geschäftskunden nutzen, darunter Google Workspace, die Google Cloud Platform, Google Ads und weitere Werbe- und Analyseprodukte. Weitere Informationen finden Sie unter privacy.google.com/businesses.“
Auch wenn Dienste wie Google Drive zur Datenablage genutzt werden, handelt es sich um eine Auftragsverarbeitung und ein AV-Vertrag mit Google ist unumgänglich.
Part I: Google Analytics
Was muss bei der Nutzung von Google Analytics beachtet werden?
Google Analytics wird von vielen Unternehmen eingesetzt, um das Verhalten der Besucher auf ihrer Webseite nachvollziehen und entsprechend reagieren zu können. So kann neben den besuchten Seiten auch die Verweildauer wie auch die Erfolge sogenannter Call-to-Actions (z.B. Nutzung angebotener Downloads oder Newsletter-Anmeldungen) nachvollzogen werden.
Häufig kam es zu Zusammenstößen mit den Vertretern des Datenschutzes, insbesondere nach Wegfall des Privacy Shields. Länder wie Österreich, Frankreich oder Italien haben aufgrund einer Einschätzung ihrer Datenschutzbehörden die Nutzung von Google (Analytics) für unzulässig erklärt. Auch die 2021 verabschiedeten und bis Dezember 2022 umzusetzenden neuen Standardvertragsklauseln reichen als Rechtsgrundlage nicht aus.
Welche Daten werden von Google Analytics übertragen?
Bei der Kritik der Datenschützer geht es primär um die Übertragung von IP-Adressen, die eine eindeutige Identifizierung der Nutzer möglich macht. Auch wenn die seit geraumer Zeit mögliche Anonymisierung der Daten genutzt wird, werden so viele weitere Daten erhoben (z.B. Version des genutzten Browsers, Größe des Bildschirms oder Zeitzone und Sprache), so dass Nutzer immer noch rekonstruiert werden können.
Was bedeutet GA 3 und GA4?
GA3 ist die veraltete Version Universal Analytics, während GA4 die aktuelle Version Google Analytics 4 bezeichnet. Da bei GA3 der Datenschutz weit weniger beachtet wurde, muss das Programm aktualisiert werden. GA3 wird zudem Mitte des Jahres 2023 eingestellt. Vorteil von GA4 ist unter die Speicherung der IP-Adressen auf Servern in der EU.
Wie schließe ich einen AV-Vertrag mit Google?
Während die Verträge früher noch auf dem Postweg durch die Welt geschickt wurden, kann der AV-Vertrag mit Google heute elektronisch abgeschlossen werden. Hierzu können im Google Analytics Konto unter dem Punkt „Verwaltung“ die Kontoeinstellungen aufgerufen werden. Wenn der Inhaber des GA Kontos nun nach unten scrollt, kann er die Google Bedingungen nachvollziehen und über die Checkbox zustimmen. Speichern nicht vergessen!
Fazit
Weiterhin ist der Einsatz von Google Analytics in Deutschland nicht verboten, es sollten aber einige Punkte beachtet werden:
- Prüfen, ob bereits Google Analytics 4 genutzt wird, ggf. updaten
- IP-Anonymisierung (durch Einbindung des Trackingcodes von GA4 gegeben)
- Cookie-Banner / Consent Tool auf der Webseite einbinden (nur nach der aktiven Bestätigung der Datenübertragung, bzw. -speicherung von Cookies) darf GA genutzt werden
- Datenschutzerklärung stets aktuell halten
- Ein Vertrag zur Auftragsdatenverarbeitung muss mit Google geschlossen werden
- Werden Daten in Drittländer übermittelt, muss eine Risikobewertung durchgeführt werden (Transfer Impact Assessment)
Part II: Weitere Google Dienste
Google Maps
Zahlreiche Unternehmer binden auf ihrer Webseite Google Maps ein – sieht der Nutzer doch direkt, wohin sein Weg ihn führen wird. Doch hier heißt es aufgepasst: Bevor die Karte geladen und somit die Daten des Nutzers übertragen werden, muss die Einwilligung über einen Klick eingeholt werden. Auch in der Datenschutzerklärung muss nach Art. 13 der Informationspflicht nachgekommen und auf die Nutzung von Google Maps hingewiesen werden.
Da die Einbindung von Googles Maps nicht technisch notwendig ist, muss der entsprechende Haken im Cookie Banner manuell gesetzt werden. Alternativ kann eine separate Zwei-Klick-Lösung integriert werden. Dabei wird zunächst nur eine Grafik der Landkarte angezeigt und erst nach Einwilligung kommt Google Maps inklusive Datenübertragung ins Spiel. Deutsche Anbieter sind hier Shariff Wrapper und Embetty.
Wer seine Webseite mit WordPress gebaut hat, kann auch auf Plugins zurückgreifen, die die Aufgabe der Zwei-Klick-Lösung übernehmen. Als Beispiel sei hier Borlab Cookie genannt, das Plugin erkennt zudem auch, ob Analytics oder Matomo eingesetzt werden und bietet hier Hinweise inklusive oOptin-Lösung an.
Google Drive
Mit Google Drive bietet Google seinen Nutzern einen Cloud-Speicher an, in dem Fotos und Dateien abgelegt werden können. Es ist nicht bekannt, wo die Rechenzentren lokalisiert sind, in denen die Daten gespeichert werden. Ein Vorteil ist die Verschlüsselung der Daten beim Upload (AES 256 Bit) und die standardmäßige Nutzung der etablierten SSL Verschlüsselung inklusive Perfect Forward Secrecy (PFS). Dadurch kann der generierte SSL-Schlüssel kein zweites Mal für eine vergangene Sitzung genutzt werden. Wer seine Daten wieder aus dem Cloudspeicher löscht, kann nicht nachvollziehen, ob selbige wie von Google versprochen nach 180 Tagen aus deren System gelöscht werden. Für Google Docs, Google Sheets etc. gelten die gleichen Voraussetzungen wie für Google Drive, da die Dokumente automatisch hier gespeichert werden.
Google Fonts
Die datenschutzkonforme Nutzung von Google Font wurde in diesem Beitrag bereits ausführlich behandelt.
Google Forms
Mit der Hilfe von Google Forms können Unternehmen Umfragen erstellen und auswerten und zusätzlich Veranstaltungs-Anmeldungen verwalten. Auf jeden Fall muss beim Einsatz von Google Forms in der Datenschutzerklärung darauf hingewiesen werden. Werden personenbezogene Daten erhoben, zum Beispiel bei einer Anmeldung, wird die Nutzung datenschutzrechtlich relevant. Um Verstöße gegen die DSGVO zu vermeiden, sollten die Nutzer durch den Cookie Banner über den Einsatz von Google Forms aufgeklärt werden.
Das Abschließen des AV-Vertrages mit Google ist dank der Erhebung personenbezogener Daten ebenso unabdingbar wie die Standard-Vertragsklauseln und die Ergänzung der Datenschutzerklärung.
Google Tag Manager
Der Google Tag Manager setzt lediglich Tags, die ein Auslesen von Daten von dritten Diensten ermöglicht, erfasst (laut Google) jedoch keine personenbezogenen Daten. Von daher ist streng genommen eine Aufnahme in die Datenschutzerklärung nicht erforderlich. Wie bei vielen Sachverhalten die DSGVO und Google betreffend findet sich auch hier keine finale Freisprechung.
Was passiert, wenn ein Datenschutzverstoß entdeckt wird?
Wer sich bei der Nutzung von Google Analytics auf die alte Version verlässt oder veraltete Cookie-Banner einsetzt, riskiert eine Abmahnung oder auch ein Bußgeld. Wer einen Datenschutzverstoß entdeckt, sollte selbigen der zuständigen Datenschutzbehörde melden – diese muss den Vorwürfen nachgehen. Wer die DSGVO berücksichtigt und Google Analytics nur unter Beachtung der empfohlenen Maßnahmen nutzt, kann das Risiko einer Abmahnung nicht ausschließen, aber deutlich minimieren. Wer sich nach einer Alternative umsehen möchte, wird bei Programmen wie Matomo oder eTracker fündig.