Um Geldstrafen zu vermeiden, sollten Sie jetzt prüfen, ob auf Ihrer Website Google Analytics oder andere US-Tools im Einsatz sind.
UM WAS GEHT ES?
Laut einer aktuellen Entscheidung der österreichischen Datenschutzbehörde kann Google Analytics nach dem aktuellen Stand NICHT datenschutzkonform eingesetzt werden. Die französische Aufsichtsbehörde ist dieser Einschätzung bereits gefolgt, es ist zu erwarten, dass weitere nachfolgen.
Basis ist eine Beschwerde der Non-Profit Organisation NOYB (My Privacy is non of your Business) von Max Schrems gegen einen österreichischen Website-Betreiber. Insgesamt hat NOYB 101 Beschwerden gegen unterschiedliche Website-Betreiber eingereicht.
WAS BEDEUTET DAS?
Bei der Entscheidung der Datenschutzbehörde geht es darum, dass in diesem konkreten Fall die Weitergabe von personenbezogenen Daten in die USA nicht DSGVO-konform ist.
Die USA gelten als unsicheres Drittland, weil durch den Cloud Act US Behörden Zugriff auf Daten von US Unternehmen und deren Tochtergesellschaften – auch im Ausland – haben. Wenn keine ausreichenden Sicherheitsmaßnahmen getroffen werden, um dies zu unterbinden, ist die Datenweitergabe nicht DSGVO-konform.
Es handelt sich hierbei um eine Entscheidung der Datenschutzbehörde, die auf Basis der bestehenden Gesetze gefällt wurde. Die Datenschutzbehörde kann bei Verstößen Geldstrafen verhängen.
Im Urteil geht es zwar um den Einsatz von Google Analytics, prinzipiell sind aber sämtliche Übertragungen von personenbezogenen Daten in die USA ohne entsprechende Sicherheitsmaßnahmen betroffen, z.B. weitere Google Dienste (Google Tag Manager, Google Fonts, Google Recaptcha, Einbindung von Google Maps auf der Website etc.) und natürlich auch andere US-Tools wie z.B. amerikanische Newsletter Tools oder Social Media Plugins etc.
WAS SOLLTEN SIE JETZT TUN?
- Umgehend prüfen, ob Google Analytics auf Ihrer Website im Einsatz ist und ggf. entfernen. Achtung: Auch wenn Sie Google Analytics nicht aktiv nutzen, ist es dennoch möglich, dass es vorhanden ist.
Falls ja, wäre abzuwiegen, ob der Einsatz von Google Analytics tatsächlich erforderlich ist, es für Ihre Zwecke ausreichende Alternativen gibt (Anbietervergleiche siehe Links unten) oder Sie ganz darauf verzichten können. Die Empfehlung der WKO lautet jedenfalls, Google Analytics schnellstmöglich aus der Website zu entfernen bzw. auf Alternativen umzusteigen.
Sollten Sie dennoch weiterhin Google Analytics einsetzen wollen, wären einige Sicherheitsmaßnahmen zu treffen (siehe unten). - Die Datenschutzerklärung auf Ihrer Website ggf. anpassen (ggf. Abschnitt zu Google Analytics entfernen bzw. durch Angaben zum neuen Anbieter ersetzen).
- Cookie Einstellungen und Cookie Hinweis prüfen.
Werden neben technisch erforderlichen auch nicht erforderliche Cookies gesetzt (z.B. für Marketing, Analyse etc.), muss der User vor dem Setzen der Cookies die Möglichkeit haben, dem zu widersprechen. In diesem Fall kann der Einsatz eines Cookie Consent Management Tools hilfreich sein (Anbietervergleiche siehe Links unten). - Außerdem sollte auch der Einsatz anderer Tools mit Datentransfer in die USA hinterfragt werden.
SIE MÖCHTEN WEITERE INFORMATIONEN?
- Entscheidung der österreichischen Datenschutzbehörde
- Webinar „Aus für Tracking mittels Google Analytics?“
- FAQ
- Frage 28: zu treffende Sicherheitsmaßnahmen, wenn Google Analytics weiterhin eingesetzt werden soll
- Bericht
- Videomitschnitt (Dauer ca. 80 Min)
- Webinar „Google Analytics – „Datenkrake“ im Dilemma“
- FAQ
- Präsentation
- Videomitschnitt (Dauer ca. 90 Min)
- Alternativen zu Google Analytics: Anbietervergleiche
- Cookie Consent Management Tools: Anbietervergleiche
Diese Information erhebt keinen Anspruch auf Vollständigkeit, gibt teilweise die Meinung/Einschätzung der Autoren wieder und kann keinesfalls eine (anwaltliche) Beratung im Einzelfall ersetzen. Der Inhalt wurde unter größtmöglicher Sorgfalt erstellt, ist jedoch ohne Gewähr. Eine Haftung ist ausgeschlossen.