Eine Entscheidung der österreichischen Datenschutzbehörde sorgt aktuell für Aufsehen – der Einsatz von Google Analytics sei nicht mit der Datenschutzgrundverordnung (DSGVO) vereinbar. Da die Datenschutzorganisation NOYB zahlreiche Musterbeschwerden angestrengt hat, kann man damit rechnen, dass weitere Beschlüsse dieser Art folgen werden.

NOYB führt einen ausgedehnten Kampf gegen die Übertragung von personenbezogenen Daten aus der EU in die USA, da die Organisation das Datenschutzniveau in den USA als unzureichend ansieht. Die ausführliche Version kann man direkt bei NOYB nachlesen.

Stein des Anstoßes war in diesem Fall insbesondere auch der Einsatz von Google Analytics ohne Zustimmung des Nutzers – sprich ohne richtig konfiguriertes Consent-Management/Cookie-Banner. Eine Nutzung von Google Analytics scheint nach wie vor mit dem Datenschutz vereinbar, wenn man es denn richtig umsetzt. Insbesondere da Google den Betrieb von Diensten in der EU mittlerweile in seine irische Tochterfirma ausgelagert hat.

Abseits von Analytics

Problematisch wird es, wenn man der Argumentation der Datenschützer folgt und weiter denkt. Die übertragenen Daten, die in der Entscheidung im Falle von Analytics angeführt werden, sind:
– Nutzer-Identifikations-Nummern (zur Wiedererkennung von Websitebesuchern)
– IP-Adresse
– Browserparameter

Das sind im Prinzip Daten, die bei jedem Aufruf einer URL entstehen. Die IP-Adresse sowie Daten zum verwendeten Browser landen bei jedem HTTP-Request auf dem Server, der die URL bereit stellt. Eine Nutzer-Identifikation kann schon durch diese Daten erfolgen – ist bereits ein Cookie der entsprechenden Domain vorhanden, wird dieser beim Aufruf auch mit übertragen.

Viele Webseiten nutzen externe Dienste und rufen damit URLs auf, die mit jedem Aufruf Daten der Webseitenbesucher erhalten. Häufig sind sich die Betreiber darüber nicht im Klaren. Ein Bespiel ist die Verwendung von Schriften oder Javascript-Bibliotheken. Wer eine Vorlage für seine Webseite (Theme für WordPress, Joomla, Typo oder ein anderes CMS) verwendet, achtet nur selten darauf, welche Ressourcen bereits eingebunden sind. So entstehen Aufrufe an beispielsweise Google Fonts, Font Awesome, cdnjs und viele weitere.

Hinter vielen dieser Anbieter stehen US-Firmen – also könnte man das auch als Datenübertragung in die USA interpretieren…

Auch der beliebte und viel genutzte Google Tag Manager ist ein externer Dienst – allerdings läuft das Angebot mittlerweile auch über die Google Ireland Limited, also nicht über den US-Hauptsitz.

Fraglich ist auch, wie die Nutzung eines Webhostingdienstes mit Sitz in den USA zu bewerten ist? Wenn eine Webseite bei einem solchen Anbieter oder in der Cloud betrieben wird, landen alle Zugriffe und die verbundenen Daten ja auch bei einem US-Unternehmen.

Auf Nummer sicher gehen?

Der Optimalfall ist wahrscheinlich eine Webseite, die keinerlei externe Dienste einbindet, bei einem europäischen Hoster in einem europäischen Rechenzentrum liegt und möglichst wenig Daten sammelt. Für eine Web-Visitenkarten mag das machbar sein, aber schon beim Betrieb eines kleinen OnlineShops will man Einblicke in Nutzerstruktur und Verhalten erlangen, Mehrwert (beispielsweise durch Newsletter) schaffen und vielleicht auch etwas Marketing betreiben. All das ist ohne den Einsatz von Drittanbietertools kaum möglich.

Bei der Auswahl der entsprechenden Dienstleister sollte man nach Möglichkeit auf EU-Firmen zurückgreifen und bei der Einbindung die Zustimmung des Nutzers einholen – bevor externe Aufrufe gestartet werden.

Für einige Anforderungen gibt es auch OpenSource Alternativen, die auf dem eigenen Server installiert werden können – so werden keinerlei Daten an Dritte übertragen. Allerdings sollte man Installation, Einrichtung und Wartung nicht unterschätzen. Eine Alternative zu Google Analytics stellt beispielsweise Matomo dar – abhängig von den Anforderungen an ein Analysewerkzeug.

Auch das regelmäßige „Ausmisten“ der Webseite sollte auf dem Plan stehen – manchmal wird ein Dienst testweise eingebunden und bleibt eingebaut, obwohl er nicht genutzt wird. Ziel sollte es sein, möglichst wenig Aufrufe an Drittanbieter zu generieren.

Weniger ist mehr

Nicht nur im Bezug aufs Thema Datenschutz ist es sinnvoll, möglichst wenig Aufrufe an externe Quellen zu generieren. Die Einbindung von Zusatzdiensten kann Webseiten langsamer machen und damit die Nutzererfahrung beeinträchtigen. Insofern sollte man nur die Dienste integrieren, die man auch wirklich braucht.

Ich berate Sie gerne bei der Auswahl und Selektion der für Sie notwendigen und sinnvollen Erweiterungen.