Um es kurz zu machen: Nein, Google Analytics ist im Vereinigten Königreich nicht illegal. Die jüngsten rechtlichen Probleme von Google Analytics rühren daher, dass die europäischen Behörden entschieden haben, dass die Verwendung von Google Analytics einen Verstoß gegen die GDPR-Bestimmungen zur außereuropäischen Datenübermittlung darstellt. Das Vereinigte Königreich ist hiervon nicht betroffen, da es nicht länger ein Mitgliedstaat der Europäischen Union oder des Europäischen Wirtschaftsraums ist.
Da jedoch mehrere EU-Mitgliedstaaten die Verwendung von Google Analytics für rechtswidrig erklärt haben, lohnt es sich, hier etwas tiefer zu graben und die sich verändernde Landschaft zu erkunden.
- Welche Regeln gelten für Google Analytics im Vereinigten Königreich?
- Kann ich personenbezogene Daten aus Europa in das Vereinigte Königreich übermitteln?
- Worum geht es bei der ganzen Aufregung um Google Analytics?
- Datenschutzgesetzgebung im Vereinigten Königreich, allgemein
- Abschließende Überlegungen
Lassen Sie uns eintauchen!
Welche Regeln gelten für Google Analytics im Vereinigten Königreich?
Die Cookie-Regeln sind genau dieselben wie in der EU und ziemlich streng. Nach den Datenschutzbestimmungen für elektronische Kommunikation (Privacy and Electronic Communications Regulations, PECR) ist für Cookies immer die ausdrückliche Zustimmung des Nutzers erforderlich, wobei es nur sehr enge Ausnahmen gibt, die nicht für Marketing- und Webanalyse-Cookies gelten. Google Analytics erfordert also im Vereinigten Königreich genauso wie in der EU definitiv eine Zustimmung.
Kann ich personenbezogene Daten aus Europa in das Vereinigte Königreich übermitteln?
Die Europäische Kommission hat im Jahr 2021 einen Angemessenheitsbeschluss für das Vereinigte Königreich erlassen, der das Land im Wesentlichen zu einem sicheren Ziel für Datenübermittlungen erklärt. Aufgrund dieses Beschlusses werden Datenübermittlungen an ein Unternehmen im Vereinigten Königreich genauso behandelt wie z. B. Übermittlungen an ein slowenisches oder niederländisches Unternehmen. Auf diese Weise können Sie Daten übermitteln, ohne dass Sie den Aufwand für die Einhaltung der Vorschriften betreiben müssen, der normalerweise bei Datenübermittlungen in Drittländer anfällt.
Bitte beachten Sie, dass die Kommission die Angemessenheitsbeschlüsse in regelmäßigen Abständen überprüft. Wenn Sie sich auf einen Angemessenheitsbeschluss berufen wollen, stellen Sie sicher, dass er noch gültig ist.
Worum geht es bei der ganzen Aufregung um Google Analytics?
Der jüngste Trend zu Entscheidungen gegen Google Analytics ist Teil eines größeren rechtlichen Rätsels über Datenübertragungen zwischen dem EWR und den USA. Das Problem betrifft das Vereinigte Königreich nicht direkt, aber es betrifft Websites im Vereinigten Königreich, die Google Analytics verwenden, sofern sie auf den europäischen Markt und das europäische Publikum ausgerichtet sind. Wir haben in unserem Blog ausführlich darüber geschrieben, deshalb hier eine Kurzfassung.
Das Kernproblem ist die staatliche Überwachung. Nach der Datenschutz-Grundverordnung können europäische personenbezogene Daten nur sicher außerhalb des EWR übertragen werden. Bei Datenübertragungen in die USA ist dies schwierig, da der US-Rechtsrahmen eine umfassende und invasive Überwachung der Daten ausländischer Bürger erlaubt. Angenommen, ein Unternehmen aus dem Vereinigten Königreich sammelt mit Google Analytics personenbezogene Daten von Nutzern in der EU. In diesem Fall werden die Daten in die USA übermittelt, damit Google sie verarbeiten kann, was das Risiko birgt, dass die Daten von US-Behörden überwacht werden.
Zwei verschiedene Datenübertragungsrahmen (Safe Harbor und Privacy Shield) zwischen der EU und den USA ermöglichten in der Vergangenheit GDPR-konforme Datenübertragungen, aber beide Rahmen wurden vom EU-Gerichtshof in den Fällen Schrems I und II für ungültig erklärt. Ein dritter Rahmen ist auf dem Weg, wird aber zweifellos rechtlich angefochten werden. Angesichts des sich bereits abzeichnenden Schrems-III-Urteils bleibt die Zukunft des Datenverkehrs zwischen der EU und den USA ungewiss.
In der Zwischenzeit müssen Unternehmen auf verschiedene rechtliche Instrumente (in der Regel Standardvertragsklauseln) zurückgreifen, um Daten gemäß der Datenschutz-Grundverordnung rechtmäßig in die USA zu übermitteln. Das Problem bei diesen Instrumenten ist jedoch, dass sie keinen Schutz gegen staatliche Überwachung bieten. Aus diesem Grund hat der Gerichtshof in der Rechtssache Schrems II klargestellt, dass sie durch zusätzliche Maßnahmen zum Schutz der Privatsphäre ergänzt werden müssen, wenn Daten in "unsichere" Länder übermittelt werden. Dies ist bei den Übermittlungen, die für bestimmte Cloud-basierte Dienste wie Google Analytics erforderlich sind, schwierig und völlig unmöglich (wir haben hier darüber geschrieben).
Nach dem Schrems-II-Urteil im Jahr 2020 haben die meisten Unternehmen wie gewohnt mit in den USA ansässigen Dienstleistern zusammengearbeitet. In der Zwischenzeit koordinierten die Datenschutzbehörden ihr Vorgehen bei Datenübermittlungen auf europäischer Ebene. So haben die österreichische, die französische, die italienische und die ungarische Datenschutzbehörde in ähnlichen Entscheidungen die Verwendung von Google Analytics untersagt. Auch die dänische Datenschutzbehörde nahm in einer Pressemitteilung eine strikte Haltung ein. Alle Entscheidungen laufen praktisch auf ein landesweites Verbot hinaus, wie wir hier erläutert haben. Andere Datenschutzbehörden werden wahrscheinlich dem Beispiel folgen und eine strengere Haltung gegenüber Google Analytics einnehmen.
Datenschutzgesetzgebung im Vereinigten Königreich, allgemein
Das Vereinigte Königreich ist nicht länger ein EU-Mitgliedstaat. Die britische Datenschutz-Grundverordnung (GDPR) und die PECR (die die Datenschutzrichtlinie für elektronische Kommunikation umsetzt) sind jedoch weiterhin in Kraft. Folglich ist der britische Datenschutzrahmen fast identisch mit dem europäischen.
Das Information Commissioner's Office (ICO) ist die Datenschutzbehörde des Vereinigten Königreichs, die ähnliche Befugnisse wie ihre europäischen Kollegen ausübt. Der derzeitige Kommissar ist der Neuseeländer John Edwards.
( Die Website des ICO ist übrigens eine hervorragende Informationsquelle zum Datenschutzrecht mit vielen genauen, detaillierten und leicht zugänglichen Erklärungen, von denen die meisten auch für die DSGVO und das EU-Datenschutzrecht gelten).
Abschließende Überlegungen
Unabhängig davon, ob Google Analytics im Vereinigten Königreich illegal ist oder nicht, ist es definitiv nicht datenschutzfreundlich für Ihre Website-Besucher. In einer Welt, in der staatliche Überwachung und monopolistisches Fehlverhalten offensichtlicher denn je sind, streben wir nach einem unabhängigen Internet.
Mit Simple Analytics können Sie dennoch Einblicke gewinnen und Möglichkeiten aus Ihren Website-Analysen entdecken, ohne Cookies zu verwenden oder persönliche Daten zu sammeln. Möchten Sie sehen, wie das aussieht? Werfen Sie hier einen Blick auf unser Live-Dashboard.
Wenn Sie sich angesprochen fühlen, probieren Sie uns aus. Es ist kostenlos.