Am 10. Februar hat die französische Datenschutzbehörde CNIL eine Erklärung abgegeben, in der sie einen französischen Website-Betreiber auffordert, die Datenschutz-Grundverordnung (DSGVO) einzuhalten und gegebenenfalls die Nutzung von Google Analytics in der derzeitigen Form einzustellen.
Viele unserer Kunden, Partner und Interessenten fragen sich nach den Auswirkungen dieser Entscheidung (und der von anderen europäischer Datenschutzbehörden) und sind gespannt auf Antworten. Deshalb veranstalteten wir gemeinsam mit der Unternehmens-SEO- und Datenplattform Oncrawl ein Webinar zu diesem Thema, indem wir einige Empfehlungen abgeben.
Moderiert wurde das Webinar von Clément Hochedez, Senior SEO Manager von Didomi, Thomas Adhumeau, Chief Privacy Officer von Didomi und Jérôme Salomon, Senior SEO Strategist von Oncrawl. Sehen Sie sich hier die Aufzeichnung an oder lesen Sie im folgenden Beitrag über die wichtigsten Eckpunkte.
Zusammenfassung
Web Analytics und Datenschutz
Webanalyse-Tools sind für jeden Marketer unverzichtbar, denn damit sammeln sie äußerst wertvolle Daten für Unternehmen:
-
Feststellung der Webseiten- und App-Leistung
-
Analyse von Kundentrends und -zufriedenheit
-
Kostensenkung durch aussagekräftige Erkenntnisse
Mit guten Analyseverfahren können Sie wertvolle Erkenntnisse gewinnen und so neue und verbesserte Produkte und Services für Ihre Kunden entwickeln. Die Nutzung dieser Analysetools wird jedoch aufgrund der weltweiten Vorschriften immer schwieriger.
Europaweit haben die E-Privacy-Richtlinie und GDPR (DSGVO) direkte Auswirkungen auf verschiedenste Branchen. Schließlich stützen sich Webanalyse-Tools in vielen Fällen auf Cookies oder Tracker und somit auf die Verarbeitung personenbezogener Daten. Dies ist gemäß europäischen Vorschriften möglicherweise rechtswidrig.
In den USA vertritt das kalifornische Gesetz zum Schutz der Privatsphäre von Verbrauchern (California Consumer Privacy Act, CCPA) einen etwas anderen Ansatz. Demzufolge müssen Betreiber einer Webseite die Schaltfläche „Meine Daten nicht verkaufen“ auf der Seite einfügen. Dieser Opt-out-Ansatz wirkt sich auf die Nutzung von Analysetools aus, denn damit sind Retargeting-Kampagnen nur begrenzt möglich.
Was ist am 10. Februar in Sachen Google Analytics und CNIL genau passiert?
Was ist der Grund für die Entscheidung zu Google Analytics?
Um die aktuellen Entscheidungen über Google Analytics zu verstehen, werfen wir zunächst einen Blick zurück auf einen anderen wegweisenden Entscheid: Das vom Europäischen Gerichtshof im Juli 2020 erlassene Schrems-II-Urteil.
Schrems II erklärte die Vereinbarung zu rechtskonformen Übermittlungen zwischen den USA und der EU (das sogenannte „Privacy Shield“) für ungültig. Die Folgen waren weitreichend und machten technisch gesehen jegliche Datenübermittlungen zwischen der EU und den USA unmöglich, außer wenn die Beteiligten, also die Datenexporteure und -importeure, Zusatzmaßnahmen ergriffen (die als solche aber nicht ausdrücklich festgelegt wurden).
Google ergriff daraufhin Maßnahmen zur Einhaltung der Vorschriften im Rahmen von Google Analytics. Diese wurden jedoch von den österreichischen, dänischen und französischen Datenschutzbehörden als ungenügend betrachtet. Sie kamen also zu dem Entschluss, dass die Übermittlungen zwischen der EU und den USA über Google Analytics nicht rechtskonform erfolgen.
Was können Sie als Nutzer von Google Analytics jetzt tun? Im Folgenden erhalten Sie Empfehlungen dazu.
|
Haftungsausschluss: Die französische Entscheidung besagt nicht, dass Google Analytics verboten ist. Sie gibt an, dass die Verwendung von Google Analytics in der derzeitig eingesetzten Form auf der geprüften Webseite nicht DSGVO-konform erfolgte. Diese Unterscheidung ist wichtig |
Empfehlungen zur besseren Vorschriftseinhaltung
1. Wägen Sie Alternativen ab
Die CNIL empfiehlt in ihrer Pressemitteilung, sich zunächst die Konkurrenz von Google Analytics anzusehen. Wir haben nachfolgend einige Anbieter aufgeführt.
Überprüfen Sie, ob eine Migration zu einem anderen Tool für Ihr Unternehmen möglich ist. Dokumentieren Sie diesen Prozess, um im Falle einer Prüfung durch eine Datenschutzbehörde vorbereitet zu sein.
Wenn Sie Google Analytics nach wie vor nutzen möchten, können Sie sofort weitere Maßnahmen ergreifen (kontaktieren Sie vorher Ihren Vertriebs- oder Ansprechpartner bei Google):
2. Nutzen Sie die von Google Analytics angebotene IP-Anonymisierungsfunktion
In Google Analytics können Sie IP-Adressen anonymisieren. Wir raten Ihnen dazu, die Funktion zu aktivieren, da sie direkt von der österreichischen Datenschutzbehörde empfohlen wurde.
3. Implementieren Sie ggf. weitere Datenschutzkontrollen
Google bietet auch zusätzliche Datenschutzkontrollen an, mit denen Sie die Datenerfassung einschränken können. Das reicht von der Abschaltung von Werbefunktionen bis zur vollständigen Deaktivierung der Datenerhebung.
Prüfen Sie Ihre Verwendung von Google Analytics zunächst intern und entscheiden Sie, ob einige oder sämtliche dieser Maßnahmen für Ihr Unternehmen infrage kommen.
4. Holen Sie Einwilligungen für die Nutzung von Google Analytics ein
Sie sollten dies angesichts der neuesten Empfehlungen der europäischen Datenschutzbehörden (z. B. die CNIL-Empfehlungen zu Cookies) ohnehin bereits machen. Wenn nicht, achten Sie bitte darauf, die Nutzerzustimmung zur Verwendung von Google Analytics einzuholen.
Im Hinblick auf diese Entscheidungen sollten Sie sich nicht auf das berechtigte Interesse berufen. Für den Einsatz von Google Analytics in seiner derzeitigen Form, und solange die betreffenden Daten nicht vollständig anonymisiert sind, müssen grundsätzlich Einwilligungen eingeholt werden.
5. Holen Sie auch die ausdrückliche Einwilligung für Übermittlungen in die USA ein
Diese Empfehlung beruht auf Artikel 49 der DSGVO:
|
“Falls kein Angemessenheitsbeschluss (...) oder entsprechendes Schutzniveau vorliegt (...), kann eine oder mehrere Übermittlungen von personenbezogenen Daten in ein Drittland (...) stattfinden (...), wenn die betroffene Person ausdrücklich der vorgeschlagenen Datenübermittlung zugestimmt hat, nachdem sie über die möglichen Risiken solcher Übermittlungen aufgrund des Fehlens eines Angemessenheitsbeschlusses und eines geeigneten Schutzes informiert worden ist.“ |
Aus Nutzersicht ist diese Lösung nicht ideal und kann daher vorerst nur als Möglichkeit und nicht als Empfehlung betrachtet werden.
|
Hinweis: Diese Entscheidungen wirken sich weitreichend aus und betreffen nicht nur Google Analytics. Alle von US-Unternehmen verwendeten und angebotenen Tools können davon ebenfalls betroffen sein. Stellen Sie sich darauf ein, dass im Jahr 2022 in dieser Hinsicht mehr geschehen wird. Denn die CNIL hat erklärt, dass sie im Jahr 2022 verstärkt Anbieter von Cloud-Diensten überprüfen wird. |
Welche Alternativen zu Google Analytics gibt es?
Die Folgen der Entscheidung gegen Google Analytics lassen sich nur schwer einschätzen. Doch wir haben einige Alternativen außerhalb der USA zusammengestellt, deren Daten möglicherweise (und theoretisch) nicht an die USA übermittelt werden können. Um das Ganze übersichtlich zu gestalten, fassen wir die Vor- und Nachteile, die Preisspanne und den Speicherort der Daten für jedes Tool zusammen.
Hierbei handelt es sich nur um Empfehlungen. Diese ersetzen nicht eine rechtliche Prüfung Ihrerseits.
Piwik Pro
Piwik Pro ist eine Cookie-basierte Lösung und bietet Ihnen eine ähnliche Integration wie Google Analytics.
Preisspanne: Core Plan kostenlos (bis 500.000 Besuche/Monat) / Enterprise Plan auf Anfrage
Daten werden gehostet in: EU (Elastix)
Hauptsitz: Polen, EU
Vorteile:
-
Tolle Benutzeroberfläche
-
Kein Data Sampling (Datenauswahl)
Nachteile:
-
Integration mit anderen Tools ist möglicherweise schwierig
-
Weniger Optionen verfügbar als bei Google Analytics
AT Internet
Das französische Unternehmen AT Internet wurde im Jahr 2021 von Piano Software Inc. übernommen.
Preisspanne: Ab 355 €/Monat
Daten werden gehostet in: EU (SFR & AWS)
Hauptsitz: EU, Frankreich
Vorteile:
-
Spezielle E-Commerce-Funktionen
Nachteile:
-
Online-Bewertungen zufolge ist das Tool u. U. schwierig zu bedienen
Fathom
Fathom ist eine cookielose Lösung, die nur auf Aufrufen basiert. Somit erledigt sich die Frage der Zustimmung und Datenverlässlichkeit. Die Daten sind daher leider auch nur auf hoher Ebene verfügbar (keine Kanäle, keine Quellen, nur Verweise).
Preisspanne: Ab 14 $/Monat (100.000 Seitenaufrufe)
Daten werden gehostet in: Deutschland (Hetzner)
Hauptsitz: Kanada
Vorteile:
-
Keine Einwilligungserklärung notwendig
-
Sehr kleine Skript-Größe, daher schnelle Ladezeit
Nachteile:
-
Nur High-Level Analysen möglich
-
Keine Aufzeichnung des Nutzerverhaltens
Plausible
Plausible ist eine weitere cookiefreie Lösung. Sie als Open Source verfügbar und kann auf Ihren eigenen Servern gehostet werden.
Preisspanne: Ab 9 €/Monat (10.000 Seitenaufrufe)
Daten werden gehostet in: Deutschland (Hetzner)
Hauptsitz: Estland
Vorteile:
-
Keine Einwilligungserklärung notwendig
-
Sehr kleine Skript-Größe, daher schnelle Ladezeit
-
Open Source
Nachteile:
-
Nur High-Level Analysen möglich
-
Keine Aufzeichnung des Nutzerverhaltens
Matomo
.png?width=2100&name=Matomo_Updated%20(1).png)
Matomo ist die Open-Source-Version von Piwik Pro. Sie können sie auf drei Arten integrieren: cookiefrei, cookiebasiert und mit serverseitigem Tracking.
Preisspanne: Kostenlos (auf eigenem Server gehostet) / Ab 13 € (Cloud-basiert)
Daten werden gehostet in: EU (der Vertrag läuft aber mit AWS New Zealand)
Hauptsitz: Neuseeland
Vorteile:
-
Zahlreiche Statistiken
-
Wichtige Webdaten
-
Kein Data Sampling (Datenauswahl)
-
Keine Einwilligungserklärung notwendig (hängt von Ihrer Konfiguration ab)
Nachteile:
-
Keine Integration mit Google Ads (keine PPC-Daten)
|
Hinweis: Adobe Analytics und andere US-Plattformen sind nützliche Alternativen, da sie aber in den USA ansässig sind, haben wir sie im Rahmen dieser Entscheidung nicht mit einbezogen. |
Fragen und Antworten
Können Sie die weitreichenden Folgen der Entscheidung genauer ausführen?
Ähnlich wie sich die Entscheidung der belgischen Behörde über das IAB Europe TCF auf die Adtech-Branche auswirkt, beeinflusst dieser Entscheid auch verschiedenste Branchen.
Das wirkt sich möglicherweise ebenso auf kürzlich entwickelte Lösungen wie kontextbezogene Werbung aus. Auch bei dieser werden die Daten auf gleiche Weise übertragen und auf IP-Adressen zugegriffen.
Die aktuellen Entscheidungen bremsen bzw. verhindern womöglich den freien Datenfluss zwischen den USA und der EU. Folglich wären viele täglich genutzte Dienste und Tools aus DSGVO- und E-Privacy-Sicht nicht mehr kompatibel oder einsetzbar.
Das ist also wirklich nicht zu unterschätzen.
Wissen Sie, wie Google auf dieses konkrete Problem mit der betroffenen E-Commerce-Webseite reagiert hat?
Google lieferte eine interessante Antwort.
Google ist mit dieser Entscheidung wohl nicht gänzlich einverstanden. Es wäre am besten für alle, wenn die USA und EU eine Vereinbarung über die Datenübermittlung treffen. Das würde bedeuten, dass die USA bei einigen ihrer Überwachungsgesetze und -vorschriften zurückstecken müssten. Das lässt sich nicht von heute auf morgen durchsetzen, aber es würde die Einhaltung der Vorschriften und die Arbeit für alle Beteiligten erleichtern.
Google scheint sich dafür einzusetzen. Das Unternehmen beteiligt sich an den Verhandlungen und arbeitet offenbar an zusätzlichen Funktionen und Kontrollen für seine Kunden.
Wie berechnen Sie die bestehende Einwilligungsquote für Ihre Webseite?
Die Einwilligungsquote Ihrer Webseite können Sie ganz einfach mit einer Consent Management Platform (CMP) berechnen.
Haben die Behörden eine Frist für die Aufbewahrung von Logdateien festgelegt? Wie würde sich diese Frist auf die Nutzerzahlen auswirken, die Daten berichtigen oder löschen lassen wollen?
Unseres Wissens nach gibt es dafür keine Richtlinien. Jeder Betreiber einer Webseite sollte das selbst bewerten. Die Speicherfrist sollte aber stets in einem ausgewogenen Verhältnis zu den jeweiligen Verarbeitungsvorgängen stehen. 5 Jahre sind vermutlich wenig sinnvoll, aber ein Tag reicht wohl auch nicht aus.
Ausschlaggebend ist immer die Frage, ob Sie jemanden anhand der Ihnen vorliegenden Informationen identifizieren können. Wenn ja, handelt es sich um personenbezogene Daten.
Oncrawl anonymisiert beispielsweise die Daten in Protokollen, um DSGVO-Konformität zu gewährleisten.
Sollen wir im E-Commerce neue Wege zur Einwilligungseinholung für das Tracking finden? Sollen Nutzer zum Beispiel aufgefordert werden, ein Konto zu erstellen und/oder sich einzuloggen, bevor sie die Webseite verwenden?
Es kommt weniger auf die Datensammlung, sondern auf die Weitergabe an. In einer Log-in-Umgebung lassen sich die Daten leichter auf konforme Weise erfassen. Allerdings haben Sie beim Weitergeben von Daten an andere Parteien nach wie vor dieselben Probleme.
Tools wie Mixpanel und Amplitude basieren nicht auf Cookies, sondern Nutzer-IDs. Sind das Alternativen zu Google Analytics?
Es ist zwar ein Pluspunkt, dass diese Tools nicht auf Cookies basieren, aber das Problem der Datenübermittlung in die USA besteht weiterhin. Jeder kann mit Hilfe von Benutzerkennungen einen User identifizieren. Somit gelten sie auch als personenbezogene Daten.
Wenn Sie eine serverseitige Integration haben und die Daten vor der Weitergabe an Google verschlüsseln oder sie in irgendeiner Weise anonymisieren, wäre das dann konform?
Ein Hauptproblem ist, dass Google auch über Google Analytics hinaus so viele Daten hat. Die Datenschutzbehörden befürchten also, dass Google die Nutzer über all diese Dienste hinweg nachverfolgen könnte.
Sofern Sie die Daten vor der Weitergabe neu aufbereiten, sodass Google sie nicht mit anderen vorhandenen Daten verknüpfen könnte, wäre es wahrscheinlich rechtskonform. Das muss noch geklärt werden.
Datenaufbewahrung in der EU löst nicht alle Probleme
Die Aufbewahrung der Daten in Europa hilft nicht unbedingt weiter, solange Sie mit einem US-Unternehmen zusammenarbeiten, das von der US-Regierung zur Datenweitergabe aufgefordert bzw. verpflichtet werden könnte. Selbst wenn die Daten in der EU gespeichert werden, könnten sie übertragen werden. Das kann wiederum ein Problem darstellen.
Buchen Sie eine Demo mit einem unserer Experten, um mehr über Didomi zu erfahren:
