Nach Österreich jetzt auch noch Frankreich – die Nutzung von Google Analytics wurde jetzt auch von der französischen Datenschutzbehörde CNIL für nicht DSGVO-konform eingestuft. Also – welches Land ist das nächste, das sich gegen das beliebte WebAnalyse-Tool stellt? Und vor allem – wer gerät als nächstes ins Visier der Datenschützer?
Weitere Entscheidung sind in jedem Fall zu erwarten, immerhin hat die Datenschutz-NGO NOYB unter Max Schrems satte 101 Beschwerden in 30 EU-Staaten zum Thema Google Analytics und auch Facebook Connect eingereicht.
Hoffen auf Privacy Shield Reloaded…
Nach dem Scheitern von Privacy Shield und dem Vorgänger Safe Harbor ist die Rechtslage bei der Übertragung von personenbezogenen Daten in die USA – sagen wir mal – schwierig.
Jetzt kann man natürlich argumentieren, was denn US-Geheimdienste mit den IP-Adressen deutscher Nutzer und deren Surf-Verhalten anfangen wollen – aber über den Punkt ist die Diskussion wohl schon hinaus.
Wer weiter auf Google Analytics setzen will, sollte auf einen Nachfolger des Privacy Shield hoffen, der dann hoffentlich nicht nach wenigen Jahren wieder pulverisiert wird. Naja, 4 Jahre hat es ja gehalten, da könnte man sich dann auf jeden Fall wieder etwas zurücklehnen…
Wirklich absehbar ist der Nachfolger aber aktuell nicht, insofern sollte man vielleicht doch auf ein anderes Pferd setzen.
Was ist mit anderen Diensten?
Folgt man der Logik die beim Thema Google Analytics von den Datenschützern angelegt wird, so sind wohl alle externen Dienste mit einem Betreiber in den USA problematisch. Auch der beliebte Google Tag Manager würde wahrscheinlich nicht anders bewertet, insbesondere da die beiden Dienste eng miteinander verwoben sind.
Kritisch sind demzufolge auch alle Tracking-Tags die von Anbietern mit US-Sitz stammen – Conversion und Retargeting Tags finden sich auf vielen Seiten, ebenso Tags zum Ausspielen von Werbung. Aber mal Hand aufs Herz – wieviele Tags auf Ihrer Webseite können Sie zweifelsfrei einem Anbieter und einem Firmensitz zuordnen? Insbesondere, da beim Thema Werbung und Retargeting häufig auch Drittanbieter nachgeladen werden, die im ursprünglichen Tag gar nicht erkennbar sind.
Weiter gehts mit Schriften und Javascript – wer Schriftarten nicht lokal auf dem Webspace liegen hat, sondern über den Server eines Dritten einbindet, sollte darauf achten, wo dieser Dritte seinen Firmensitz hat. Ebenso bei Javascript-Bibliotheken, die häufig über CDNs eingebunden sind – wo hat der Betreiber denn nun seinen Firmensitz?
Hosting und Cloud-Dienste
Wenn es datenschutzrechtlich nicht in Ordnung ist, einen Drittanbieter mit Sitz in USA auf seiner Webseite einzubinden, was bedeutet das für das Hosting der eigenen Webseite? Beim Aufruf einer Webseite laufen ja die selben Daten auf, wie beim Aufruf eines Drittanbieters. Folgt man der Logik, muss man sich also ernsthaft Gedanken machen, wenn man für das Hosting seiner Webseite einen Anbieter mit Sitz in den USA nutzt. Dabei sitzen viele der großen Player mit den einfachen Baukastensystemen genau dort – müssen jetzt zigtausende kleine Webseiten umziehen um datenschutzkonform zu werden?
Aber auch große Seiten sind betroffen – viele setzen auf Cloud-Lösungen um ihren Webauftritt skalierbar und weltweit schnell abrufbar zu gestalten. Nachdem das mit der europäischen Cloud noch nicht so ganz geklappt hat (oder hostet schon jemand auf Gaia-X?), setzen viele Firmen auf US-Anbieter.
Wer ist jetzt gefordert?
Datenschutz ist wichtig – keine Frage. Problematisch für viele Webseitenbetreiber ist, dass es zu den wenigsten Punkten klare Richtlinien gibt. Die DSGVO ist gefühlt ein Konstrukt, das sich laufend verändert, immer neue Beschlüsse hervorbringt und ständige Anpassungen erforderlich macht – ein bisschen fühlt man sich da an das Corona-Virus mit seinen Mutationen erinnert.
Je nachdem wen man zu einem Datenschutzthema fragt, kann die Antwort komplett unterschiedlich ausfallen – einfach weil die DSGVO sehr viel Interpretationsspielraum lässt. Ein Beschluss wie aktuell zu Google Analytics sorgt dann wieder für Aktionismus, löst aber das generelle Problem nicht.
Rechtsunsicherheit in Verbindung mit tendenziell hohen Geldbußen – das fasst die Lage wohl am besten zusammen. Klar gibt es Checklisten, die man abarbeiten kann – am besten alle paar Monate aufs neue. Aber auch diese Checklisten spiegeln nur den Wissensstand und die Einschätzung des Erstellers wieder – Rechtssicherheit sieht anders aus.
Entweder man schafft klare und verbindliche Regeln, oder man schafft zumindestens das Thema Geldstrafe und Abmahngefahr aus der Welt.
Fazit
Bis sich hier etwas bewegt wird es wohl noch dauern – als Betreiber einer Webseite versuche ich mittlerweile alles zu vermeiden, was außerhalb meines Servers stattfindet. Alternativen gibt es ja, beispielsweise mit Matomo für WebAnalyse und neuerdings auch für TagManagement. Schriften und Scripte lassen sich lokal einbinden, Tracking kann mittels Server2Server-Schnittstellen aufgesetzt werden.