Ist Google Analytics in Österreich illegal?

Image of Iron Brands

Veröffentlicht am 13. Jan. 2023 und bearbeitet am 3. Jan. 2024 von Iron Brands

Dieser Artikel wird automatisch übersetzt. Wechsle zur englischen Version, um das Original zu lesen.

Ja, Google Analytics ist Praktisch illegal in Österreich. Hier ist der Grund dafür.

Im Jahr 2018 reichte die Datenschutz-NGO noyb Beschwerden gegen drei österreichische Websites ein, die sich darüber beschwerten, dass die Verwendung von Google Analytics nicht GDPR-konform ist. Die erste Entscheidung der DSB (der österreichischen Datenschutzbehörde) kam im Dezember 2021. Die Behörde stimmte der NGO zu und verbot Google Analytics in Österreich praktisch.

> Das Urteil lautet in Kurzform wie folgt. Die Nutzung von Google Analytics erfordert eine Übermittlung der Daten in die USA, damit der Mutterkonzern Google die Daten verarbeiten kann. Die Schrems-II-Entscheidung hat die Datenübermittlung in die USA erschwert, indem sie einen Rahmen für die Datenübermittlung zwischen der EU und den USA (das Privacy Shield) für ungültig erklärte und wirksame Garantien für die Datenübermittlung verlangte. In der Praxis können solche Garantien für Google Analytics nicht umgesetzt werden.

Zur Klarstellung: Die DSB hat Google Analytics nicht per se für illegal erklärt. Die Behörde hat lediglich die Regeln der DSGVO und des Schrems-II-Urteils angewandt und festgestellt, dass eine Website keine wirksamen Garantien zum Schutz der personenbezogenen Daten ihrer Besucher vorsieht. Technisch gesehen ist das Urteil eine Einzelfallentscheidung, und die Verwendung von Google Analytics wurde nur für eine bestimmte Website für illegal erklärt. In der Praxis kann jedoch keine Website wirksame Sicherheitsvorkehrungen für Google Analytics treffen, so dass das Urteil einen Präzedenzfall schafft, der auf ein Gesamtverbot hinausläuft. Datenschützer sind sich dessen sehr wohl bewusst, und deshalb hat die Entscheidung ein großes Medienecho hervorgerufen.

> Österreich war nur der Anfang. Nach dem DSB haben drei weitere Behörden (die französische CNIL, die italienische GPDP und die ungarische NAIH) ebenfalls gegen Google Analytics entschieden, und die dänische Behörde (Datatilsynet) hat in einer Pressemitteilung dieselbe Position eingenommen. Die Behörden koordinieren ihr Vorgehen auf europäischer Ebene, so dass andere Länder wahrscheinlich folgen werden.

  1. Sollte ich mir über die GDPR in Österreich Sorgen machen?
  2. Was ist die österreichische Datenschutzgesetzgebung?
  3. Was soll die ganze Aufregung um die GDPR?
  4. Abschließende Überlegungen
Logo of the Government of the United KingdomThe UK Government chose Simple AnalyticsJoin them

> Lassen Sie uns eintauchen!

Sollte ich mir über die GDPR in Österreich Sorgen machen?

Österreich ist ein Mitgliedstaat der Europäischen Union, daher gilt die GDPR für alle Datenverarbeitungsaktivitäten von österreichischen Unternehmen.

Die GDPR gilt auch für jeden Dienst, der auf den österreichischen Markt abzielt. Wenn die Zielgruppe Ihrer Website Österreich umfasst und Sie Google Analytics verwenden, gilt sie auch für Sie.

Aber es gibt einen Haken - es gilt nur, wenn Sie personenbezogene Daten verarbeiten. Mit datenschutzfreundlichen Analysetools wie Simple Analytics erhalten Sie wertvolle Erkenntnisse, ohne personenbezogene Daten zu verarbeiten. Auf diese Weise müssen Sie die DSGVO nicht einhalten, weil sie für die Daten, die Sie verarbeiten, gar nicht gilt.

Was ist die österreichische Datenschutzgesetzgebung?

Der wichtigste Datenschutzrahmen ist die GDPR der Europäischen Union. Österreich hat auch seine eigenen Datenschutzgesetze, darunter das Datenschutzgsetz aus dem Jahr 2000. Dieses Gesetz wird von österreichischen Gerichten und der österreichischen Datenschutzbehörde (DSB) durchgesetzt.

Österreich unterliegt auch den Artikeln 7 und 8 der EU-Grundrechtecharta, die die Privatsphäre und den Datenschutz schützen.

Außerdem ist Österreich ein Mitgliedstaat des Europarates. Als solcher hat Österreich die Europäische Menschenrechtskonvention ratifiziert, die das Privatleben und den Schriftverkehr schützt. Österreich hat auch die Konvention 108 des Europarates ratifiziert, die das bisher einzige verbindliche internationale Abkommen zum Datenschutz ist.

Was soll die ganze Aufregung um die GDPR?

Der jüngste Trend von Entscheidungen gegen Google Analytics ist Teil eines größeren rechtlichen Rätsels über Datenübertragungen zwischen dem EWR und den USA. Es geht also um viel mehr als nur um einzelne Länder wie Österreich, und auch um Google Analytics. Wir haben in unserem Blog bereits ausführlich darüber geschrieben, daher hier eine Kurzfassung.

Das Kernproblem ist die Staatsüberwachung. Nach der GDPR können europäische personenbezogene Daten nur sicher außerhalb des EWR übertragen werden. Für US-Datentransfers ist das schwierig, weil der US-Rechtsrahmen eine weitreichende und invasive Überwachung der Daten ausländischer, auch österreichischer, Bürger erlaubt.

> Zwei Datenübermittlungsrahmen (Safe Harbor und Privacy Shield) zwischen der EU und den USA ermöglichten in der Vergangenheit GDPR-konforme Datenübermittlungen, aber beide Rahmen wurden vom EU-Gerichtshof in den Rechtssachen Schrems I und II invalidiert. Ein dritter Rahmen ist auf dem Weg, wird aber sicherlich rechtlich angefochten werden. Da ein Urteil in der Rechtssache Schrems III bereits in Sicht ist, bleibt die Zukunft des Datenverkehrs zwischen der EU und den USA ungewiss.

In der Zwischenzeit müssen österreichische Unternehmen und europäische Unternehmen im Allgemeinen auf verschiedene rechtliche Instrumente (typischerweise Standardvertragsklauseln) zurückgreifen, um Daten im Rahmen der Datenschutz-Grundverordnung rechtmäßig in die USA zu übertragen. Das Problem bei diesen Instrumenten ist jedoch, dass sie keinen Schutz gegen staatliche Überwachung bieten. Aus diesem Grund hat der Gerichtshof in der Rechtssache Schrems II klargestellt, dass sie durch zusätzliche Maßnahmen zum Schutz der Privatsphäre ergänzt werden müssen, wenn Daten in "unsichere" Länder übermittelt werden. Dies ist bei den Übermittlungen, die für bestimmte Cloud-basierte Dienste wie Google Analytics erforderlich sind, schwierig und völlig unmöglich (wir haben darüber hier geschrieben).

Nach dem Schrems-II-Urteil im Jahr 2020 machten die meisten Unternehmen weiter wie gewohnt Geschäfte mit US-amerikanischen Dienstleistern. In der Zwischenzeit reichte die NGO noyb 101 Beschwerden über Datenübertragungen gegen europäische Websites ein, die Google Analytics und Facebook Connect nutzen, um die Behörden zu einer strengeren Durchsetzung des Schrems-II-Urteils zu bewegen.

Wie bereits erwähnt, haben die Datenschutzbehörden ihre Vorgehensweise auf europäischer Ebene koordiniert, um die Beschwerden kohärent zu behandeln. So haben die Österreichische, Französische, Italienisch, Ungarisch und Dänisch haben sich die Datenschutzbehörden gegen die Datenübermittlung ausgesprochen. Mit der Koordinierung auf europäischer Ebene und den einflussreichen französischen und italienischen Behörden als Vorreiter werden andere Datenschutzbehörden wahrscheinlich dem Beispiel folgen und eine härtere Haltung gegenüber Google Analytics einnehmen.

Abschließende Überlegungen

Glücklicherweise gibt es Alternativen zu Google Analytics, die keine personenbezogenen Daten erfassen und zu 100 % GDPR-konform sind. Simple Analytics ist eine davon. Wir sind der Meinung, dass Sie keine Cookies verwenden oder persönliche Daten sammeln müssen, um Einblicke in die Leistung Ihrer Website zu erhalten.

Umsetzbare Erkenntnisse zu gewinnen und Chancen aus der Website-Analyse zu erkennen, ist es möglich, ohne einzelne Website-Besucher zu verfolgen. Möchten Sie sehen, wie das aussieht? Sehen Sie sich unser Live-Dashboard hier an.

Wir glauben daran, das Internet zu einem sichereren und besucherfreundlichen Ort zu machen. Wenn Ihnen das zusagt, können Sie uns gerne ausprobieren.

GA4 ist komplex. Versuchen Sie Simple Analytics

GA4 ist wie im Cockpit eines Flugzeugs zu sitzen, ohne einen Pilotenschein zu haben

14-Tage-Testversion starten