Der Verein Noyb und hier vor allem der Datenschützer Max Schrems hat einmal mehr einen Sieg in Sachen Datenschutz in Österreich errungen. Schrems hatte eine Musterbeschwerde bezüglich der Verletzung der DSGVO eingereicht und diesbezüglich in der vergangenen Woche von der Österreichischen Datenschutzbehörde Recht bekommen. Diese erließ in diesem Zusammenhang einen Bescheid gegen ein österreichisches Unternehmen, welches den Dienst implementiert hat, wies aber andererseits eine Beschwerde gegen Google zurück.
Bemängelt wurde in diesem Zusammenhang, dass die IP-Adresse und andere personenbezogene und -beziehbare Daten wie Online-ID in die Vereinigten Staaten übermittelt wurden. Zwar bietet Google die Möglichkeit, die Daten dort auf dem Server zu anonymisieren, doch ist dies im Sinne der DSGVO nicht ausreichend (was auch technisch einleuchtet). Denn wenn ein Datensatz erst einmal dort hingelangt, ist es in juristischer Hinsicht unerheblich, wie schnell Google diesen anonymisiert – und zudem eine Glaubensfrage und ein Vertrauensthema.
„Ganz überraschend kommt das nicht“, erklärt Thomas Tauchner, Founder und Co-CEO von Jentis, einer Plattform, die Website-Betreibern eine Lösung für First-Party-Tracking anbietet, die mit diesem neuen Bescheid konform ginge. „Die Datenschutzbehörden hatten sich bereits 2020 EU-weit dazu entschlossen, sich zu koordinieren. Wahrscheinlich ist, dass das jetzt in weiteren Ländern zum Thema für Websitebetreiber und Unternehmen jedweder Größe und Branche wird.“ Schon 2021 sei klar gewesen, was eine unsichere Datenbehandlung darstellt und die Strategie, die Daten ohne vorherige Anonymisierung in die USA zu transferieren, fällt nicht darunter.
Das größte Problem beim herkömmlichen Tracking ist der damit verbundene Automatismus und die Unabwendbarkeit der Datenübertragung. All das bedeutet nicht nur für österreichische Unternehmen, dass sie handeln müssen, um rechtskonform zu agieren, es könnte in ähnlicher Form auch für deutsche Unternehmen gelten. Denn eine ähnlich lautende Entscheidung hatte die Hochschule Rhein-Main im Dezember erhalten. Sie darf auf ihrer Website keinen Cookie-Dienst nutzen, der die vollständige IP-Adresse der Endnutzer auf Servern eines Unternehmens, dessen Unternehmenszentrale sich in den USA befinde, speichert oder dorthin weitergibt. Das entschied das VG Wiesbaden im Rahmen eines Eilverfahrens und einer einstweiligen Anordnung.
Auch die niederländische Behörde für persönliche Daten (AP) warnt bereits davor, dass die Verwendung von Google Analytics möglicherweise bald nicht mehr erlaubt sei. Und es ist damit zu rechnen, dass auch andere EU-Datenschutzbehörden vergleichbare Entscheidungen fällen werden, da ähnliche Musterklagen wie die in Österreich in nahezu allen EU-Staaten angestrengt werden.
Serverseitiges Tracking kann für Rechtssicherheit sorgen
Alternative Lösungsansätze dazu gibt es in der Tat einige. Serverseitiges Tracking ist dabei der kleinste gemeinsame Nenner. „Ich entkoppele Google und den Besucher meiner Website“, erklärt Tauchner, „indem ich mich als Mittelsmann dazwischen stelle und sowohl mit Google Analytics als auch mit dem Besucher kommuniziere, ohne dass diese in direkten Kontakt kommen.“ Der Websitebetreiber wird damit zum First-Party-Daten-Owner und ermöglicht dadurch eine DSGVO-konforme Verarbeitung. Ein zweiter Schritt kann der Einsatz eines Compliance-Tools sein, das nicht von Google selbst kommen sollte, sondern die Verschlüsselung personenbezogener Daten bereits auf europäischem Boden, also vor der Übertragung an Google oder ein anderes Analytics-Tool, ermöglicht. Denn anonymisieren oder verschlüsseln kann der Websitebetreiber nur, wenn er hierüber die Hoheit hat.
Dabei bietet Jentis eine Hybrid-Tracking-Lösung, die weiter geht als reines Serverside-Tracking und die das Unternehmen als eine Art Datenkatalysator versteht. Es geht dabei auch um Unternehmen nach europäischem Datenschutzverständnis, bei denen viel über Third-Party-Cookies getrackt wird. Der Site-Betreiber entscheidet dabei anhand von Einstellungen, welche Daten er wohin schicken will und ob er diese anonymisiert. All das ist auch im Rahmen der schon seit einigen Jahren anhaltenden Diskussion um die Zukunft der Third-Party-Cookies relevant. Unternehmen und Werbetreibende sind aufgrund möglicherweise anstehender EU-Gesetze und vor allem angesichts der Entscheidungen der Browser-Hersteller gezwungen, ihre Cookie-Verwaltung im Rahmen des Online-Marketing zu überdenken. Tauchner rät dazu, gerade den aktuellen Anlass einmal mehr dazu zu nutzen, die eigene Strategie hier auf den Prüfstand zu stellen.
Dabei mache es keinen Sinn, die Schuld für die Misere bei Google zu suchen: „Google bietet die Analyse- und Werbetools an, die Werbetreibende selbst wollen und bereitwillig nutzen. Nun ist es jetzt auch an ihnen, zu entscheiden, welche Kundendaten sie Google und anderen Werbenetzwerken zur Verfügung stellen und welche nicht.“ Und diese Verantwortung, so viel haben die Ereignisse in Österreich und anderswo erneut gezeugt, kann und wird den Unternehmen und Werbern niemand abnehmen.
Eine Branche in Zugzwang – mehr denn je
Auch wenn aktuell noch nicht zu erwarten ist, dass großflächig sämtliche Site-Betreiber datenschutzrechtlich zur Verantwortung gezogen werden, betrifft es diese doch „mit unterschiedlicher Dringlichkeit“ und sie sollten es nicht ausblenden, glaubt Tauchner. Das Tückische daran ist, dass es – anders als bei Inkrafttreten der DSGVO – kein fixes Datum gibt, zu dem all das umgesetzt sein muss, dass aber insbesondere Safari ohnehin schon keine Third-Party-Cookies mehr unterstützt und auch Google Chrome und Firefox demnächst nachziehen. „Im Endeffekt kann ich heute nur rund ein Drittel der Nutzer mit Third-Party-Cookies überhaupt noch erreichen – Tendenz sinkend.“
Und ähnlich fließend ist umgekehrt auch der Übergang bei den Unternehmen: Viele Dienstleister raten dazu, so lange es sinnvoll scheint, an Technologien auf Basis von Third-Party-Cookies festzuhalten, dann aber, wenn sichergestellt ist, dass man eine ähnliche Conversion und Treffsicherheit auch mit neueren Lösungen erreicht, umzusteigen. Auch wenn Online-Marketer und Datenanalysten also befürchten, dass diese Entscheidung der österreichischen Behörde das Ende von Google Analytics in der bewährten Form einläuten könnte, ist das wohl übertrieben. Klar ist aber, dass vor allem der Transfer personenbezogener Daten zwischen der EU und den USA (dabei vor allem durch US-Unternehmen) dringend neu und rechtssicher geklärt werden muss.
Neu ist die ganze Diskussion also nicht – dafür aber jetzt um ein Argument reicher.
Der Schlüssel zu deinem Unternehmenserfolg ist, deine Kund:innen zu verstehen. Lerne in unserem Guide, wie du mit Customer Insights erfolgreicher wirst!
Jetzt lesen!
Die personenbezogene Datenübertragung in die USA ist mit SCHREMS I und SCHREMS II nicht möglich. Punkt.
Immer wenn ich von persönlichen bzw. personenbezogenen Daten in Zusammenhang mit der IP-Adresse lese, muss ich schmunzeln. Es wäre toll, wenn jede Person eine eigene IP-Adresse hätte, aber da diese beschränkt sind, funktioniert das leider nicht. Die IP beim surfen ändert sich, für viele, mehrmals täglich. Und sie gehört auch nicht dem Nutzer, sondern dem Dienstanbieter, über welchen ich mich im Netz anmelde.
Man merkt, dass es ein Werbeartikel für Jentis ist, wenn als alternative (und ebenso legale Lösung) nicht einmal Matomo zum selbsthosten erwähnt wird.
Hört endlich auf alles auszulagern und beschäftigt lokal Fachkundiges Personal, dann gibt es solche Probleme künftig nicht mehr.
Das war genau mein Gedanke! Und wer es selbst machen will wird bei YouTube fündig: https://youtu.be/Bh2UIh741EE !
Wir haben doch bei Google Analytics ( über anonymizeIp) schon lange die Möglichkeit, den letzten Block der IP Adresse zu entfernen und so die IP Adresse zu anonymisieren. Auf diese Weise ist Google Analytics doch DSGVO gerecht zu nutzen. Ich verstehe nicht, warum das in dem Artikel kein Thema ist, nicht mal am Rande? Oder übersehe ich hier etwas?
Ein wirklich gelungene Analyse*!
*Anzeige
,,Eine“