Wird Google Analytics in der EU bald verboten sein?

Seit Februar 2022 ist es in Österreich leider Gewissheit, dass der Einsatz von Google Analytics nicht der DSGVO entspricht. Andere europäische Länder werden voraussichtlich ähnliche Entscheidungen treffen. In den letzten Wochen haben wir daher die Situation rund um die Entscheidung der österreichischen Datenschutzbehörde analysiert und bewertet.

Aktuell ist die Lage noch sehr undurchschaubar – trotzdem ist die Entscheidung der österreichischen Datenschutzbehörde, Google Analytics als unzulässiges Analyse-Tool einzustufen für viele Website-Betreiber eine große Herausforderung.

Kurz vorab zusammengefasst: Der Einsatz von Google Analytics sollte ab sofort dringend hinterfragt und genau analysiert werden.

Seit Mai 2018 gilt in der EU die europäische Datenschutzverordnung (DSGVO) und seit damals ist das beliebte Website-Tracking-Tool “Google Analytics” von Datenschutzbehörden immer wieder genau unter die Lupe genommen worden.

Es wurde also geprüft, ob Google Analytics den Bestimmungen der DSGVO entspricht.

Das war bis jetzt zwar auch im Grunde immer eine gewisse Grauzone, man hoffte jedoch mit zumindest diesen 3 Punkten die Bestimmungen für den Einsatz von Google Analytics zu erfüllen:

• IP Anonymisierung
• Einwilligung durch einen Cookie-Banner
• Ausführliche Hinweise in der Datenschutzerklärung

Nun hat die österreichische Datenschutzbehörde jedoch entschieden, dass die Nutzung von Google Analytics grundsätzlich zu unterlassen ist, da Daten (auch bei einer erfolgten Zustimmung durch den Website-Besucher) von Europa in die USA übertragen werden (Google betreibt die Server in den USA).

Diese Datenübertragung von personenbezogenen Daten (IP-Adresse – trotz IP-Anonymisierung, Profildaten, etc.) ist nicht datenschutzkonform, da es aktuell keine gültige Vereinbarung zwischen den EU-Ländern und der USA gibt, was die Sicherheit dieser Daten betrifft. So wäre es z.B. möglich, dass US-Behörden die Daten von Google abfragen können. Ein EU-Privatkunde könnte dagegen nicht einmal einen Einspruch erheben.

Derzeit gibt es eigentlich nur 3 Szenarien, die ein sicheres Tracking garantieren würden:

• Google betreibt zukünftig die Server für Google Analytics innerhalb der EU. Somit entfällt der Datentransfer in die USA. Dies wäre die idealste Lösung. Leider ist bis jetzt nicht absehbar, ob Google dies in Zukunft anbieten wird.
• Man nutzt Analyse-Tools, die innerhalb der EU betrieben werden (z.B. eTracker). Dies ist zwar grundsätzlich eine tolle Sache, hat jedoch auch einen Nachteil: Das perfekte Zusammenspiel von Google Analytics und Google Ads (Werbeanzeigen) wäre nicht mehr möglich und die Optimierung von Google Ads defakto ausgesetzt.
• Man betreibt auf einem eigenen Server ein Tracking Tool (z.B. Matomo). Dies ist mit Sicherheit die sauberste DSGVO-Lösung, da keine Daten an Dritte weitergegeben werden. Matomo unterstützt sogar Cookie-Less Tracking – somit entfällt sogar der abschreckende Cookie-Banner (Consent). Matomo ist ein sehr übersichtliches und einfach zu bedienendes Analyse-Tool, das im Grunde sehr ähnlich wie Google Analytics aufgebaut ist.
• Man verzichtet vollständig auf Tracking (nur wenn man keine Statistiken benötigt)

Das kostenlose und datenschutzkonforme Analyse-Tool “Matomo” kann direkt auf Ihrem Webhost (Webserver) oder optional gerne auch auf einem unserer Webserver betrieben werden. Die technischen Voraussetzungen dafür sind eher minimal und das System ist in weniger als 3 Stunden in der Grundkonfiguration eingerichtet.

Nach dem Setup können Sie z.B. herausfinden

• wie viele Nutzer die Webseite an einem bestimmten Tag bzw. Zeitraum aufgerufen haben
• welche Seiten und Unterseiten der Webseite wie oft aufgerufen wurden
• von welchen Endgeräten aus die Aufrufe erfolgen (PC, iPhone, Android)
• welche Ziele erreicht wurden (z.B. Abschicken eines Anfrageformulars)
• von wo die Aufrufe erfolgen (aus einer bestimmten Region)

Möglichkeit 1: Betrieb auf Ihrem eigenen Webhost
Bei dieser Variante installieren wir Matomo auf Ihren eigenen Webhosting-Account. Dies ist in der Regel innerhalb 2-3 Stunden inkl. aller notwendigen Konfigurationen und Anpassungen erledigt. Für WordPress gibt es auch ein Plugin, das kostenlos installiert werden kann.

Möglichkeit 2: Betrieb mit Powerflash Matomo
Hier wird keine eigene Matomo Installation auf Ihrem Webhost durchgeführt, sondern Sie nutzen ganz einfach unseren allgemeinen Matomo Account kostenlos mit. Sie erhalten von uns nur noch die notwendigen Zugangsdaten für den Login in das Matomo-Tool. Der Aufwand für das Setup liegt hier bei maximal 1 Stunde.
Wichtig: Eine mögliche spätere Übertragung der Statistik-Daten in einen eigenen Matomo-Account ist nicht möglich.

Die Analyse von Besuchern auf der eigenen Website ist wichtig. Das ist unumstritten. Durch die Datenschutzgrundverordnung werden hier leider Möglichkeiten eliminiert, die früher als Standard angesehen wurden.

Grundsätzlich empfehlen wir zum aktuellen Zeitpunkt auf Google Analytics zu verzichten und stattdessen das Tool “Matomo” zu verwenden. Zumindest solange, bis es eine datenschutzkonforme Lösung für Google Analytics geben wird. Wann das sein wird, kann man aktuell leider nicht sagen – wir können nur hoffen, dass es so bald wie möglich sein wird.

Sollten Sie Google-Analytics derzeit immer noch ohne Zustimmung des Besuchers ausführen (also ohne einen aktuell gesetzlich gültigen Cookie-Banner inkl. OPTIN), raten wir Ihnen dringend dazu, Google-Analytics von Ihrer Website zu entfernen. Zur Zeit gibt es bereits Abmahnungen zu diesem Thema, die an die Website-Betreiber geschickt werden. Nehmen Sie diese bitte grundsätzlich ernst!

Übrigens: Auch wenn Sie den klassischen Facebook-Pixel auf Ihrer Website eingebunden haben, raten wir aktuell noch von einer Verwendung ab – denn auch Facebook verarbeitet die Daten auf Server in den USA.

Gerne stellen wir Ihnen nachfolgende Links zur Verfügung, um weitere Informationen zu diesem Thema einzuholen.

• Bekanntmachung der österreichischen Datenschutzbehörde
• Blogbeitrag zum Thema Google Analytics von unserem Partner Stephan Waltl (Microgast)
• Dr. DSGVO – Blogbeitrag zu Matomo vs. Google Analytics
• Bericht im Standard