Bereits die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates – besser bekannt als die Datenschutz-Grundverordnung, oder kurz “DSGVO” – hat in der Welt von Internet und Online Business für ordentlich Wirbel gesorgt. Viele Unternehmen sahen in den neuen EU-weiten Auflagen ein “teures, sperriges EU-Bürokratiemonster”, die sich auch fast 5 Jahre nach Inkrafttreten für viele kaum umsetzen ließe. Insbesondere Unternehmen aus dem Nicht-EU-Ausland, für die die EU ein nicht unbedeutender Absatzmarkt darstellt, hat die DSGVO bereits Bußen in Millionenhöhe eingefahren.
Ende letzten Jahres sind nun gleich zwei weitere Bürokratiemonster auf EU-Ebene in Kraft getreten: der Digital Markets Act (DMA) und der Digital Services Act (DSA). Ziel der Europäischen Kommission bei diesen Verordnungen ist es, “bestreitbare und faire Märkte im digitalen Sektor” sowie ein “sicheres, vorhersehbares und vertrauenswürdiges Online-Umfeld" zu gewährleisten. Die EU sagt damit vor allem Big Tech Riesen wie Google, Meta & Co. und all ihren Diensten den Kampf an. Für Online Marketer:innen steht dabei unter anderem Google Analytics im Fokus. In diesem Artikel beschäftigen wir uns mit den neuen EU-Auflagen und ob Google Analytics illegal wird – und welche Folgen das für das Online Marketing Business haben könnte.
Bereits vorher beschäftigten sich Datenschützer:innen mit der Frage, ob Dienste wie Google Analytics bereits gegen die geltenden Datenschutzrichtlinien der DSGVO verstoßen. Der erste ausschlaggebende Anlass, sich mit dieser Frage zu beschäftigen, war das Urteil “Schrems II” in der Rechtssache C-311/18 des Europäischen Gerichtshofs. In diesem Urteil erklärte der EuGH 2020 den sogenannten “Privacy Shield” der USA für ungültig, welcher regeln sollte, wie personenbezogene Daten aus der EU in den USA behandelt werden sollen. Der EuGH beschloss dabei, dass die USA nicht das gleiche Level an Datenschutz wie die EU garantieren können.
Von dem Urteil betroffen sind vor allem Tools wie Google Analytics, bei dem personenbezogene Daten von Nutzer:innen in der EU auf Server in den USA übermittelt werden. Erst kürzlich wurden in einer Abmahnwelle Google Analytics und Google Fonts Nutzer:innen abgestraft. Seit einem Beschluss der österreichischen Datenschutzbehörde flammt das Thema um Google Analytics erneut auf, da US-amerikanische Unternehmen wie Google so auf personenbezogene Daten von EU-Bürger:innen zugreifen könnten. Laut der Behörde könne Google Analytics DSGVO-konform nicht genutzt werden: Als Folge wurde Google Analytics (beziehungsweise Universal Analytics) neben Österreich auch bereits in Dänemark, Frankreich und Italien verboten – laut der dänischen Datenschutzbehörde sei auch die Nutzung von Google Analytics 4 problematisch.
Beide Verordnungen sind, wie auch die DSGVO, im Grunde genommen für alle Unternehmen von Relevanz, die im digitalen Umfeld innerhalb der Europäischen Union ihre Produkte oder Dienstleistungen anbieten. Im DMA ist vor allem von sogenannten “Torwächtern” (engl. gatekeeper) die Rede, welche eine gewisse Monopolstellung in ihrer jeweiligen Branche innehaben, wie zum Beispiel Google, Meta, Amazon, Apple oder Microsoft. Gemeinsam mit dem DSA will die EU so faire Wettbewerbsbedingungen im digitalen Binnenmarkt der EU garantieren.
Für Online Marketer:innen werden bei DMA und DSA vor allem die Auflagen über den Datenschutz interessant, da Datenschutz mit Tracking und Web Analytics im Marketing schon immer ein heikles Thema war. Konkret besagt dabei der DMA, dass Konzerne, die personenbezogene Daten auf mehreren Diensten sammeln, diese nur mit expliziter Zustimmung der Nutzer:innen miteinander kombinieren dürfen. Personenbezogene Daten, die beispielsweise auf Instagram über Dich gesammelt werden, dürfen dann nicht mehr auf andere Meta Dienste wie Facebook oder WhatsApp übertragen werden. Personenbezogene Daten von Minderjährigen dürfen laut DMA überhaupt nicht mehr für kommerzielle Zwecke verwendet werden, wie in etwa für Marketing oder personalisierte Werbung.
Weiterhin verschärfen DMA und DSA den Rechtsrahmen, was die Übermittlung personenbezogener Daten aus der EU heraus auf Server im Nicht-EU-Ausland angeht, wie er auch schon etwa in der DSGVO etabliert wurde. Auch hier stehen wieder Dienste wie Google Analytics oder die Verwendung personenbezogener Daten für kommerzielle Zwecke im Fokus. Durch Tracking und Web Analytics mit Google Analytics oder der Google Search Console werden personenbezogene Daten und das Nutzerverhalten für Marketing- und Personalisierungszwecke erhoben und verarbeitet. Wer als Websitebetreiber:in den Schutz der Daten seiner Nutzer:innen nicht gewährleisten kann oder wissentlich missachtet, hat bei Verstößen gegen die DSGVO oder – dies gilt dann fast nur für größere Unternehmen – gegen DMA und DSA mit empfindlichen Bußgeldern zu rechnen.
Da momentan alles darauf hindeutet, dass Google Analytics illegal oder zumindest als unrechtmäßig eingestuft wird, bereitet man sich im Online Marketing bereits auf eine Zäsur vor. Neben den oben genannten Ländern beschäftigt sich beispielsweise auch bereits die niederländische Datenschutzbehörde mit der Legitimität von Google Analytics. Daten über Nutzerverhalten oder personenbezogene Daten könnten dann nicht mehr von Online Marketer:innen getrackt und analysiert werden.
Ähnliches gilt auch für Websitebetreiber:innen, die auf ihren Websites Google Fonts verwenden. Auch hier kam es zu einer Abmahnwelle, da bei der Verwendung von Google Fonts personenbezogene Daten wie IP-Adressen auf die Google Server in den USA übertragen werden, von denen dann die Google Font abgerufen und angezeigt wird. In diesem Fall hätte Google ebenfalls die Möglichkeit, die Daten auf ihren eigenen Servern abzurufen – was laut dem Google Analytics Urteil (“Schrems II”) des EuGH nicht DSGVO-konform ist.
Bevor Du als Unternehmer:in oder als Marketer:in jedoch anfängst, in Panik auszubrechen, sollte nochmal gesagt werden: Noch ist Google Analytics nicht EU-weit und nicht in Deutschland verboten. Zunächst solltest Du Dich also erstmal kritisch mit dem Datenschutz in Deinem Unternehmen oder Deiner Agentur auseinandersetzen und prüfen, an welchen Stellen die Konformität mit DSGVO, DMA oder DSA infrage gestellt werden könnte. Aus rechtlicher Sicht ist es ratsam, eine sogenannte “Datenschutzfolgenabschätzung” (DSFA) durchzuführen. Sollte der Umgang mit personenbezogenen Daten ein hohes Risiko für Betroffene darstellen, ist diese laut DSGVO sogar verpflichtend.
Darüber hinaus besteht die Möglichkeit, auf andere Tools oder Methoden umzusteigen. Neben Google Analytics, Google Fonts oder Google Search Console gibt es auch alternative Webdesign- oder Tracking Tools, die DSGVO-konform genutzt werden können. Bei der Wahl eines Alternativtools solltest Du aber unbedingt darauf achten, dass keine Daten aus der EU in Drittländer übertragen werden. Als gängige Alternative zu Google Analytics bietet sich in etwa Matomo (ehemals Piwik PRO) an, mit dem Du sensible Nutzerdaten auf eigenen Servern speichern kannst, ohne dass sie an Dritte weitergegeben werden. In dem Fall ist die Nutzung sogar kostenlos. Auch kannst Du die Analytics Tools von HubSpot DSGVO-konform nutzen.
Wenn Du jedoch Google Analytics weiterhin verwenden möchtest (solange es noch erlaubt ist), kannst Du personenbezogene Daten mithilfe eines Reverse Proxy Servers pseudonymisieren. So werden Daten, mit denen eine Person identifiziert werden könnte, verschlüsselt oder sogar beseitigt, wodurch die Daten im schlimmsten Fall anonymisiert an Server in Drittländern übertragen werden.
Damit Du jedoch auf der sichersten Seite bleibst, empfehlen wir Dir, Google Analytics den Rücken zu kehren und auf ein alternatives Tool umzusteigen, das alle Auflagen von DSGVO, DMA und DSA erfüllt. Wir empfehlen dafür Matomo Analytics, welches bei Hosting auf eigenen Servern nicht nur kostenlos ist, sondern auch ein DSGVO-konformes Tracking durch Datenspeicherung auf eigenen Servern ermöglicht. Zusätzlich ist die Benutzeroberfläche von Matomo der Benutzeroberfläche von Google Analytics (ehemals Universal Analytics) sehr ähnlich, wodurch ein Umstieg und eine Umschulung von Google Analytics auf Matomo fast problemlos durchgeführt werden kann.
Abschließend müssen wir auch erwähnen, dass wir keine studierten Jurist:innen sind und Dir daher keine rechtliche Beratung oder ähnliches geben können. Damit Du also abgesichert bist, solltest Du Dich von einem/einer Datenschutz-Expert:in beraten lassen und Dir einen klaren Plan über Deinen Datenschutz entwerfen und gegebenenfalls eine DSFA durchführen.
Um zumindest den rechtlichen Problemen mit Google Fonts aus dem Weg zu gehen, empfehlen wir Dir, Google Fonts lokal einzubinden, damit keinerlei Daten auf US-Server übertragen werden müssen. Unser Webdesign Team hilft Dir dabei, Google Fonts lokal auf Deiner Website einzubinden, damit Du sie weiterhin DSGVO-konform nutzen kannst!
Du möchtest mehr über das Thema "Was ist professionelles Webdesign für B2B" erfahren? Dann schau auf unserer Pillar Page nach und erfahre alles rund um das Thema.