Bozen – Als die ersten Medien meldeten „Google Analytics in Italien verboten“, schlug das bei Marketingexperten und Website-Betreibern ein wie eine Bombe. Das bequemste, beliebteste und größtenteils kostenlose Tool muss innerhalb von 90 Tagen von allen Webseiten entfernt werden? Bei einem Marktanteil von 89 Prozent in Italien.
Die Realität sieht – glücklicherweise – etwas weniger dramatisch aus. Nach Dänemark, Österreich und Frankreich ist Italien das vierte EU-Land, das sich mit diesem Thema beschäftigt hat.
Die Realität sieht – glücklicherweise – etwas weniger dramatisch aus. Nach Dänemark, Österreich und Frankreich ist Italien das vierte EU-Land, das sich mit diesem Thema beschäftigt hat. Die italienische Aufsichtsbehörde, der sogenannte Garante Privacy, hatte sich mit einem konkreten Fall befasst – diesmal aufgrund einer Klage gegen ein Medienunternehmen. Dieses hatte 2020 Universal Analytics (GA3) verwendet, welche „per default“ (standardmäßig) keine IP-Adressen anonymisiert hatte. Diese wurden praktisch ungekürzt auf die Google-Server in die USA verschickt. Denselben „Fehler“ hatte auch das angeklagte Unternehmen in Österreich gemacht.
Nur Augenauswischerei
Zwar ist es seit 2010 auf einfache Weise möglich IP-Adressen zu anonymisieren, doch hat auch die italienische Aufsichtsbehörde kommuniziert, dass dies eine Augenauswischerei bleibt. Denn Google kann aufgrund der gesammelten/verknüpfbaren Daten trotzdem den User problemlos rekonstruieren. Das Tool sendet zudem weitere Infos vom Websitebesucher wie Sprache, Browserversion und -Plugins, Bildschirmgröße, Zeitzone, Endgerät und viele mehr an Google, was die Rekonstruktion erleichtert.
Das Schrems-II-Urteil hat 2020 das Privacy Shield gekippt und den USA wurde das für die EU-DSGVO notwendige und angemessene Datenschutzniveau aberkannt.
Die Aufsichtsbehörde hat demnach erkannt, dass das Problem tiefgreifender ist und hat ganz im Sinne des Schrems-II-Urteils gehandelt. Dieses Urteil hat 2020 das Privacy Shield gekippt und den USA wurde das für die EU-Datenschutz-Grundverordnung (DSGVO) notwendige und angemessene Datenschutzniveau aberkannt.
Es ist also nicht Google Analytics per se verboten, es dürfen aber keine personenbezogenen Daten an Google USA verschickt werden, auch nicht in reduzierter Form.
Es ist also nicht Google Analytics per se verboten, es dürfen aber keine personenbezogenen Daten an Google USA verschickt werden, auch nicht in reduzierter Form. Mit der Version GA3 praktisch unmöglich. Das im Juni verwarnte Unternehmen hat 90 Tage Zeit, um sich anzupassen. Die Aufsichtsbehörde fordert zudem alle italienischen Unternehmen auf, diesen Anweisungen zu folgen und Google Analytics sowie „ähnliche Dienste“ datenschutzkonform anzupassen. Nach dieser Frist (21. September) sind Kontrollen angekündigt.
Gleich ist nicht gleich
Es ist in der Tat ein „Drama“, alle Websitebetreiber über einen Kamm zu scheren – ohne Differenzierung zwischen Kleinst- und Großunternehmen oder zwischen mehr oder weniger schützenswerten Daten. Bei einem Unternehmen, bei dem die Kontaktaufnahme Rückschlüsse auf Gesundheit, sexuelle Orientierung, soziale oder rechtliche Lage, Ethnie etc. zulässt, ist es verständlicher, wenn die Aufsichtsbehörde strengere Auflagen verlangt. Bereits jetzt gibt es für Arztpraxen, Kanzleien etc. strengere Privacyregeln, sodass deren Website Tracking Tools keine Daten an Google oder Werbenetzwerke weitergeben sollten. Die Möglichkeit, die Trafficdaten einer Website über Alternativtools auch selbst zu hosten, wäre für diese Kategorien sehr interessant.
Zeit zu wechseln
Wenn ab September die Kontrollen vonseiten des Garante Privacy tatsächlich verstärkt werden, was wären dann mögliche Lösungswege für Unternehmen – auch jene in Südtirol?
Als Europäer sollte es uns ein Anliegen sein, uns von der Abhängigkeit von einem großen amerikanischen Unternehmen zu lösen und europäische Unternehmen zu fördern. Ganz nach dem Fazit: Lieber in Europa mit Geld bezahlen statt in Amerika mit Daten.
Vorab ein Hinweis: Wer noch das alte Universal Analytics (GA3) verwendet, sollte dies nur noch für kurze Zeit tun, um den Auflagen der Aufsichtsbehörde gerecht zu werden. Da diese Version im Juni 2023 abgeschaltet wird, handelt es sich bloß um ein Vorverlegen dieser Aufgabe, die neun Monate später ohnehin fällig gewesen wäre.
Nun zu den möglichen Alternativen: Allen voran ist Google Analytics 4 (GA4) zu nennen. Google hat „etwas“ auf die Proteste reagiert und dieses komplett neue Tool entwickelt, das einigen Datenschutzbestimmungen entgegenkommt. IP-Adressen werden automatisch anonymisiert, und einige Verknüpfungen (Signals) zu anderen Google-Produkten wie Google Account, Youtube und Gmail können unterbunden werden. Der Server befindet sich in der EU.
Es ist immer noch viel Augenauswischerei dabei, und daher können sich die europäischen Aufsichtsbehörden auch mit dieser Version nicht anfreunden. Die französische CNIL urteilt, dass GA4 nur dann DSGVO-konform eingesetzt werden kann, wenn ein Proxy-Server dazwischengeschaltet wird. Praktisch werden alle Daten zuerst auf diesem EU-Server gespeichert, dann werden die IP-Adressen sowie auch alle anderen Daten „richtig“ anonymisiert und erst dann an Google weitergeschickt. So kann Google den Besucher nicht eindeutig identifizieren und verfolgen.
Diese Lösung funktioniert, doch ist sie kostspielig und für Kleinunternehmen nicht tragbar. Wenn diese wirklich bei GA4 bleiben möchten, dann sollten sie alle Signals deaktivieren und die Daten so sparsam wie möglich verwenden. Es bleibt das Problem des Datentransfers in die USA, auch wenn dieser indirekt ist (Cloud Act).
GA4 noch eine rechtliche Grauzone
Da sich die italienische Aufsichtsbehörde bisher noch nicht zu dieser Version geäußert hat, handelt ein Unternehmen mit GA4 in einer rechtlichen Grauzone. Ein weiterer Nachteil ist, dass GA4 keine Daten von der früheren Version GA3 übernehmen kann. Trotz aller Nachteile bleibt für Webshopbetreiber der essenzielle Vorteil, dass es für Google Analytics auf dem Markt eine Vielzahl an perfekten Anbindungen (API) an weitere Verkaufs- sowie Analysetools gibt.
Egal, ob GA3 oder GA4, für viele Marketingexperten ist es wichtig, eine solide Datenbasis für ihre Analysen zu haben. Aufgrund mehrerer transatlantischer Abkommen und deren Annullierungen mussten viele ihre Datenbasis permanent ändern, was die Vergleichbarkeit der Besucher einer Website über die Jahre hinweg erschwerte. Man musste sich auf andere Weise merken, wann der Opt-out eingeführt wurde, wann der Consent Manager, wann der gleichwertige Consent etc. Das Risiko, dass man einen Webshop aufgrund eingeschränkter Daten für die falsche Zielgruppe optimiert, ist hoch.
Es empfiehlt sich, als Betrieb nicht zu warten und zu hoffen, dass es zu einer Einigung zwischen EU und USA kommt oder dass GA4 oder GA5 DSGVO-konform wird, sondern zu überlegen, was man selbst tun kann, um das Problem zu lösen.
Dieser Umstand kann ein zusätzlicher Grund sein, sich nach Alternativen umzusehen, damit man nicht nur DSGVO-konform ist, sondern damit man langfristig dieselben Daten zur Verfügung hat. Deshalb empfiehlt es sich, als Betrieb nicht zu warten und zu hoffen, dass es zu einer Einigung zwischen EU und USA kommt oder dass GA4 oder GA5 DSGVO-konform wird, sondern zu überlegen, was man selbst tun kann, um das Problem zu lösen.
Bei den folgenden vier Lösungsmöglichkeiten handelt es sich um europäische Dienstleistungen, und als Europäern sollte es uns ein Anliegen sein, uns von der Abhängigkeit von einem großen amerikanischen Unternehmen zu lösen und eigene, auch kleine Firmen zu fördern. Ganz nach dem Fazit: Lieber in Europa mit Geld bezahlen als in Amerika mit Daten.
Abschied von der Gratismentalität
Matomo ist ein Open-Source-Freemium-Produkt und der bekannteste Analytics-Gegenspieler mit einem weltweiten Marktanteil von 1,8 Prozent und 16,6 Prozent in Deutschland. Das Tool ist dem „Original“ sehr ähnlich. Die limitierte kostenlose Version muss man selbst hosten (Daten bleiben auf dem eigenen Server). Alternativ gibt es eine bezahlbare Cloudversion mit allen Analysetools und Servern in Deutschland. Matomo ist zudem Teil der Komponenten der italienischen Plattform Web Analytics Italia, welche es der öffentlichen Verwaltung ermöglicht, Tracking Tools zu verwenden.
Piwik Pro hat dieselben Wurzeln wie Matomo, hat sich aber in Richtung Customer-Journey-Analyse entwickelt und orientiert sich an Enterprisegroßkunden. Es ist eine interessante Alternative zum kostspieligen GA 360°. Es ist eine eingeschränkte kostenlose Version verfügbar.
Plausible bezeichnet sich als Privacy-friendly und hat einen guten Kompromiss zwischen Datensparsamkeit und Auswertungsmöglichkeiten gefunden. Es handelt sich um Tracking ohne Cookies und ist somit DSGVO-konform. Kampagnen und Conversions sind möglich.
Simple Analytics geht noch einen Schritt weiter und bezeichnet sich als Privacy-first. Es werden noch weniger Daten gesammelt und schneller gelöscht. Wiederkehrende Besucher können weniger gut erfasst werden und Standortdaten sind weniger präzise, da die IP-Adresse tabu ist. Auch hier erfolgt das Tracking ohne Cookies und zudem sogar ohne Fingerprinting. Simple Analytics unterhält dazu ein eigenes Servernetzwerk (CDN) in Europa.
GA4 ist nur ein Tool von vielen, das europäische Daten auf amerikanischen Servern speichert. Bekommen wir – früher oder später – auch Rechtsunsicherheit bei Facebook Ads, Whatsapp etc.?
Während das erstgenannte Tool bereits etabliert ist, am Ende aber versucht, ähnlich groß und komplex wie Google Analytics zu sein, sind die beiden letztgenannten Neuentwicklungen, die alles „Überflüssige“ weglassen und eine strengere DSGVO-Richtlinie befolgen. Es sind kleine Unternehmen, die ausschließlich eine kostenpflichtige, aber flexible Dienstleistung anbieten und vor allem durch einen sehr schnellen, direkten und freundlichen Support hervorstechen.
Mehr als Nice to have
Ob man nun abwarten möchte oder die Chance nutzt, aufgrund der Garante-Privacy-Entscheidung im Juni neue Wege im Website Tracking zu gehen, hängt bei jedem Unternehmen von den individuellen Zielen und Wünschen ab. Ist das Tracking Tool ein Nice to have, das man sich einmal im Jahr ansieht, oder ist es ein Analyse- und Verkaufsinstrument, von dem der unternehmerische Erfolg abhängt? Oder irgendwas dazwischen?
Außerdem stellt sich durch den Fall Google Analytics längst auch eine andere Frage, die ebenso zahlreiche Unternehmen vor weitere Herausforderungen stellen würde: GA4 ist nur ein Tool, eine Dienstleistung von vielen, wo europäische Daten auf amerikanischen Servern gespeichert werden. Bekommen wir – früher oder später – auch Rechtsunsicherheit bei Facebook Ads, Whatsapp, Zoom, Google Ads, Adobe Cloud, Mailchimp, Cloudflare etc.?
Waldemar Kerschbaumer
DER AUTOR ist Inhaber der Werbe- und Webagentur adpassion in Bozen und betreut Kunden in unterschiedlichen Branchen, von der Wirtschaft über das Bildungswesen und Museen bis hin zu Privatkunden und Künstlern.
Info
Überblick und Test
Wichtige Urteile im Datenschutzrecht
- 2000: Safe Harbor – Das Abkommen ermöglicht EU-Unternehmen personenbezogene Daten in Übereinstimmung mit der europäischen Datenschutzrichtlinie in die USA zu übermitteln.
- 2015: Schrems-I-Urteil – Der Europäische Gerichtshof hat das Safe-Harbor-Abkommen gekippt. Facebook, Google, Amazon und Microsoft etc. dürfen europäische Nutzerdaten nun nicht mehr grundsätzlich in den USA speichern.
- 2016: Privacy Shield – Neuauflage der Absprachen zum Schutz personenbezogener Daten, die aus einem Mitgliedsstaat der Europäischen Union in die USA übertragen werden.
- 2018: Cloud Act – Das US-Gesetz verpflichtet amerikanische Firmen inklusive Tochterunternehmen, US-Behörden auch dann Zugriff auf gespeicherte Daten zu gewährleisten, wenn die Speicherung nicht in den USA erfolgt, z.B. in Irland.
- 2020: Schrems-II-Urteil – Der Europäische Gerichtshof hat das neue Abkommen für ungültig erklärt. Unternehmen sind nun angehalten, das fehlende US-Datenschutzniveau auf andere Weise zu gewährleisten oder die Nutzung von US-Diensten einzustellen.
Staunen Sie, wie einzigartig Sie sind!
Testen Sie auf amiunique.org selbst, was Browser-Fingerprinting alles über Sie weiß. Auch ohne Cookies geben Sie Vieles von sich preis und könnten auch ohne IP-Adresse über weitere Websites nachverfolgt werden.