Datenschutz und Google Analytics: was gibt es neues?
Das Thema Datenschutz wird immer relevanter für Digital Marketing und besonders für das Data Tracking. Es gibt wichtige Neuigkeiten, die in den letzten Wochen aufgekommen sind. Die sind meistenteils nicht positiv, denn sie stellen die ´Gesetzmäßigkeit der Nutzung von Google Analytics in EU in Frage. Diese Neuigkeit haben insbesondere mit den Entscheidungen von den Datenschutzbehörde in Österreich und, letztens, in Italien.
Am 22.12.2021 hat die österreichische Datenschutzbehörde eine Entscheidung über die Anwendung von Google Analytics aufgrund einer Beschwerde von der NYOB getroffen, die diese Anwendung von GA als nicht konform mit den Vorgaben des Kapitel V der DSGVO ausgesprochen hat.
Am 22.05.2022 hat die italienische Datenschutzbehörde (Garante della Privacy) eine sehr ähnliche Entscheidung getroffen, die aber die angeklagte Firma bis zu 90 Tagen gibt, bevor sie die Anwendung des Tools in Einklang mit dem DSGVO führen kann.
Es gab auch eine Rückmeldung von Google, die versucht hat zu erklären, welche Maßnahmen die Konzerne in Bewegung zieht, um das DSGVO zu respektieren. Hiermit hat Google aber den wichtigsten Punkt nicht ausgeräumt, und zwar dass Die Daten von GA in die USA übermittelt werden. Das wurde eher bestätigt und das war die Hauptanklage, die sowohl die österreichische DSB als auch die italienische gegen GA bewegt haben.
Beide haben bestätigt, dass die Übermittlung von Daten von der Google Ireland zu der Google LLC weder mit dem Art. 45 DSGVO (Angemessenheitsbeschluss) noch mit den Recommendations 01/2020 der EU konform ist. Der Grund davon ist hauptsächlich durch die Überwachungsaktivitäten durch US-Nachrichtendienste gemäß 50 U.S. Code § 1881a („FISA 702”) motiviert. Auch die technische Implementierung, die Google zur Verfügung stellt, IP-Adressen zu anonymisieren, reicht nicht aus, um die Konformität zu gewährleisten.
Die rechtlichen Folgen
Die Folgen für die Entscheidung in Österreich sind erstmal harmlos, da momentan keine Strafe vorgesehen wurde. Die italienische Entscheidung hat 90 Tagen Zeit der angeklagten Firma gelassen, um sich anzupassen und Date durch GA an Google LLC nicht mehr zu übertragen.
Beide Datenschutzbehörde weisen darauf hin, dass das EuGH-Urteil vom 16. Juli 2020, C-311/18 Rz. 201 f, das sogenannte “Schrems II”-Urteil, den EU-US Angemessenheitsbeschluss („Privacy Shield“) ungültig gemacht hat und daher eine Leerstelle entstanden ist. Diesbezüglich hat die Europäische Kommission angekündigt, dass ein neuer Beschluss mit den US-Autoritäten erreicht wurde: Details fehlen noch.
Die Folgen für den Google Tag Manager
Die oben genannten Entscheidungen betreffen explizit nur Google Analytics, die sagen erstmal nichts über die Nutzung von Tools von anderen Konzernen (Facebook, Twitter usw.) und nichts über weitere Tools von Google. Insbesondere betreffen diese Entscheidung nicht direkt die Nutzung von Google Tag Manager. Wir können uns aber nicht so einfach und zu früh freuen. In der Tat gelten die oben genannten Problemen, die zu den Entscheidungen geführt haben, auch für den Google Tag Manager (wie hier detailliert dargestellt): die “einfache” Anwendung von den Google Tag Manager Pixel (unabhängig von den weiteren Tags, die dadurch ausgelöst werden) setzt Google Cookies ein und lässt die Möglichkeit offen, persönlichbezogene Daten (IP-Adressen) an Google LLC zu übertragen. Auch Google Tag Manager kann durchaus aus den oben genannten Datenschutzrichtlinien problematisch werden, obwohl die Art und Weise wie Daten von der “einfache” Anwendung des GTM Pixel momentan nicht weiter geklärt ist (weder von Google selbst noch von Datenschutzbehörden).