Drücke „Enter”, um zum Inhalt zu springen.
Ausprobieren
Online Webseiten-Check
Ergebnis in wenigen Sekunden sehen
Auf meiner Webseite sind externe Links mit dem Symbol gekennzeichnet. Datenschutzhinweise · Wissensartikel

Google Analytics verarbeitet sämtliche Daten immer in den USA, gibt Google zu

2

Es ist offiziell: Google gibt zu, dass alle von Google Analytics erhobenen Daten auch in den USA verarbeitet werden. Nun steht gegen Google ein Verfahren an. Siegt jetzt der Datenschutz gegenüber der Profitgier?

Google Analytics ist das bekannteste und wohl auch leistungsstärkste, wahrscheinlich aber auch datenschutzfeindlichste Werkzeug, um der Verhalten von Nutzern auszukundschaften.

Seit dem EuGH Urteil vom 16.07.2020 (Az.: C-311/18) gilt, dass der Privacy Shield schon immer ungültig war. Der Privacy Shield war ein informelles Datenschutz-Abkommen zwischen Europa und den USA. Der Schutzschild sollte es EU-Bürgern garantieren, dass in den USA gleichwertige Datenschutzrechte beachtet werden wie in Europa.

Der Privacy Shield wurde für ungülig erklärt, weil es in den USA zahlreiche datenschutzfeindliche Gesetze gibt. Beispielsweise erlaubt es der Cloud Act, dass amerikanische Behörden auf Erlass des amerikanischen Präsidenten amerikanische Unternehmen zwingen können, Daten von europäischen Kunden herauszurücken. Dies passiert übrigens auch, wie eine Statistik von Google zeigt.

Nun hat die Datenschutzorganisation noyb eine Beschwerde gegen Google erlassen. Im Vorfeld musste Google einige unangenehme Fragen der österreichischen Datenschutzbehörde beantworten. Im Zuge dessen versuchte sich Google entweder herauszureden oder hat sich verplappert.

Denn Google gibt direkt zu (Zitat der offiziellen deutschen Übersetzung des mir vorliegenden englischen Originals):

„Alle durch Google Analytics erhobenen Daten […] werden in den USA gehostet (d. h. gespeichert und weiterverarbeitet).

Quelle: Antwort von Google auf das Ersuchen von noyb, siehe Stellungnahme von noyb (s. 7)

Die mit “[…]” gekennzeichnete Stelle enthält übrigens nur den Text “Siehe unsere Antort auf Frage #2”.

Im englischen Original heißt es:

All data collected through Google Analytics […] is hosted (i.e. stored and further processed) in the USA.

Quelle: Originalantwort von Google aufgrund der noyb-Eingabe

Was bedeutet das genau?

Aus den Aussagen von Google lassen sich zwingend und objektiv mehrere brisante Feststellungen ableiten:

Google verarbeitet Daten potentiell weltweit

Dies gilt zumindest für Google Analytics. In der Google-Stellungnahme heißt es nämlich “The Google Analytics pixel-request (including all the information sent with that request […]) will be first routed to the closest collector in the system and may then be transferred onward for storage and processing.” 

To collect data bedeutet übersetzt Erheben von Daten. Vgl. hierzu den englischen und deutschen Gesetzestext der DSGVO.

Das bedeutet konkret:

  • Google Analytics erhebt Daten oft in der geographischen Nähe eines Nutzers
  • Diese Daten werden dann entweder direkt oder indirekt in die USA geschickt
  • In den USA findet eine Datenverarbeitung statt, nämlich mindestens eine Datenerhebung, eine Datenhaltung und eine Weiterverarbeitung

Die Datenerhebung ist die frühestmögliche Datenverarbeitungstätigkeit, wie man Art. 4 Nr. 2 DSGVO, dem Titel des Art. 13 DSGVO und meiner Untersuchung zum Begriff der Datenerhebung entnehmen kann.

Die Datenerhebung ist bereits die faktisch mögliche Kenntnisnahme personenbezogener Daten, die automatisiert verarbeitet werden sollen und aufgrund eines Angebots hereinkamen. Das Angebot ist in diesem Fall jede besuchte Webseite, die Google Analytics einbindet.

Google verarbeitet Daten immer in den USA

Dies gilt definitiv und nun (bis auf Weiteres) umumstritten für Google Analytics, weil Google es selbst so behauptet. Damit ist jede Nutzung von Google Analytics ein Verstoß gegen Art. 44 DSGVO, sofern keine Einwilligung eingeholt wurde. Dies gilt auch für die cookielose Variante von Google Analytics.

Google Analytics, auch ohne Cookies, bedarf immer einer Einwilligung.

Beweis: Datentransfer in die USA und Datenverarbeitung in den USA findet immer statt, wie Google selbst behauptet.

Eine Einwilligung als Rechtsgrundlage ist gemäß Art. 6 Abs. 1 a DSGVO zulässig. Diese muss allerdings zahlreichen Vorschriften genügen. Ich gehe davon aus, dass es niemandem gelingen wird, die maximale Intransparenz der Datenverarbeitung von Google derart zu entwirren, dass daraus eine saubere Einwilligungsabfrage (sog. User Consent) eingeholt werden kann.

Jedenfalls gibt Google selbst zu, dass Webseitenbetreiber mit Google LLC (USA) in Standardvertragsklauseln eintreten. Auch gibt Google zu, dass Google LLC ein Auftragsverarbeiter für Google Ireland ist. Die USA sind bekanntermaßen nicht der beste Ort für persönliche Daten.

Wer eine Einwilligung für Google Analytics einholt, kann besser ganz genau erklären, was mit den Daten bei Google passiert und wer die Datenempfänger sind. Siehe etwa Art. 13 DSGVO, wo die Informationspflichten des Verantwortlichen definiert sind. Ansonsten wird es sehr eng vor Gericht, falls man eine erhaltene Abmahnung überhaupt ernsthaft versucht zu widerlegen.

Weitere Kosequenzen

Werden Nutzerdaten von einem Webseitenbetreiber der Gefahr unbefugter Zugriffe ausgesetzt, so liegt darin eine Verletzung der Vertraulichkeit gemäß Art. 32 Abs. 1 b DSGVO. Als Nutzerdaten gelten bereits die Netzwerkadressen der Nutzer, die zwangsweise an Google transferiert werden, wenn eine Webseite Google Analytics einbindet.

Potentiell könnte jedes Google Tool, wie etwa Google reCAPTCHA oder Google Fonts, Daten immer in die USA funken. Ich tippe mal, dass Google dies irgendwann zugeben wird.

Alle Webseitenbetreiber, die noch Google Tools ohne Einwilligung einsetzen, sollten einmal in sich gehen und dies schnellstmöglich abstellen.

Wer es ganz richtig machen will, sollte Google Tools auf Webseiten am besten gar nicht mehr einsetzen. Merkwürdigerweise gelingt mir das auf zahlreichen Webseiten, die funktional so einiges zu bieten haben. Ich brauche die Tools von Google auf meinen Webseiten einfach nicht.

Es gibt sicher nur wenige deutsche Webseiten (prozentual gesehen), die so relevant sind, dass sie aus wirtschaftlichen Gesichtspunkten erhebliche rechtliche Risiken in Kauf nehmen wollen. Wer mit seiner Webseite überwiegend deswegen Geld verdient, weil Google und andere Internetkonzerne illegale Geschäftspraktiken unterstützen, hat jedenfalls mein Mitleid nicht verdient, wenn er sich bald eine neue Beschäftigung suchen muss.

Hier ein paar Anregungen für den Datenschutz au Webseiten:

  • Externe Google Fonts: Durch lokale Google Schriften ersetzen
  • Google Maps: Entfernen, weil nutzlos. Falls ausnahmsweise doch ein Nutzen da sein sollte: meine datenschutzfreundliche Karte nehmen
  • Google reCAPTCHA: andere Lösung nehmen oder weglassen (wurde das Tool nur eingebaut, weil es jeder macht?)
  • Google Analytics: Matomo, etracker oder Trackboxx nehmen, oder weglassen (wie oft schauen Sie auf die Analyse-Daten? Was machen Sie dann damit?)

Auf Dr. DSGVO sind zahlreiche Informationen zu datenschutzfreundlichen Alternativen zu finden.

Für ganz besonders weit entwickelte Personen und Firmen hier ein Prof-Tipp: Nutzen Sie auf gar keinen Fall eines der bekannteren Consent Tools, denn Ihre Webseite wird dadurch noch falscher. Beweis: Siehe meine zahlreichen Untersuchungen inklusive objektiver Schwächen sogenannter Cookie-Lösungen.

Hintergrundwissen

In den USA gibt es mindestens drei Rechtsvorschriften, die amerikanische Behörden bemächtigen, an Daten europäischer Bürger heranzukommen, wenn diese im Zugriff amerikanischer Unternehmen sind. Die amerikanischen Unternehmen können sich also entscheiden, ob sie gegen nationale Gesetze verstoßen oder gegen die DSGVO. Dann doch lieber gegen die DSGVO, vermute ich mal.

Aufgrund des Komplexität kann ich hier nur auszugsweise auf die Rechtslage eingehen und kennzeichne meine folgenden Angaben als vorläufig und nicht belastbar.

Cloud Act

Cloud Act ist eine Abkürzung und steht für Clarifying Lawful Overseas Use of Data Act. Wie diese Bezeichnung erkennen lässt, geht um die Auslandsüberwachung. Der Cloud Act erlaubt den Zugriff auf Informationen, die außerhalb den USA gespeichert werden. Damit sind aber Daten innerhalb der USA nicht besser geschützt, sondern können durch einen Untersuchungsbeschluss zugegriffen werden.

Die Stellungnahme des european data protection board (edpb) zum Cloud Act zeigt, als wie brisant er angesehen wird. Zitat: “The US CLOUD Act therefore entails the possibility that such electronic communication or remote computer service providers are compelled to answer a request by US law
enforcement authorities for the disclosure of personal data that are subject to the
provisions of the GDPR.“

Der Gesetzestext kann hier abgerufen werden:

Zum Cloud Act hat hat sich der EuGH im Schrems II Urteil nicht geäußert, weil es ersteren erst seit 2018 gibt und die Klage von vor diesem Zeitpunkt ist.

US Executive Order 12333 (EO 12333)

Dies ist ein präsidialer Erlass, mit der die Befugnisse der amerikanischen Geheimdienste ausgeweitet wurden. Laut Wikipedia sieht die NSA dies als Rechtsgrundlage für die globale Überwachung von Mobiltelefonen. Auch wird damit die Überwachung von Datenzentren amerikanischer Internetfirmen wie Google gerechtfertigt.

Title 50 United States Code (U.S.C.) § 1881a (FISA 702)

Eher unter dem Kürzel FISA bekannt. FISA ist eine Abkürzung für Foreign Intelligence Surveillance Act.

Das Gesetz rechtfertigt Auslandsüberwachungen und Maßnahmen zur Spionageabwehr durch die USA.

Wie der EuGH im Urteil (Schrems II) feststellte, genügen weder FISA noch EO 12333 den Anforderungen der DSGVO.

Folglich ist davon auszugehen, dass weder Section 702 des FISA noch die E.O. 12333 in Verbindung mit der PPD-28 den im Unionsrecht nach dem Grundsatz der Verhältnismäßigkeit bestehenden Mindestanforderungen genügen…

EuGH Urteil vom 16.07.2020 – C‑311/18, Rn. 184 (“Schrems II”)

Weitere Ausführungen hierzu und zu anderen amerikanischen Gesetzen und Rechtsvorschriften, die Datenschutzprobleme mit sich bringen, hat der Wissenschaftliche Dienst des Bundestags angefertigt.

Die NSA hat die Möglichkeit, Daten, die in die USA fließen, bereits im Atlantik über das Unterseekabel abzugreifen. Dies wird als Upstream collection bezeichnet und gehört zum PRISM-Programm, welches damals von Edward Snowden aufgedeckt wurde. Gemäß Wikipedia können Daten im zur USA eingehenden Datenstrom aufgrund von den oben genannnten Authorisationen FISA und EO12333 abgehört werden.

Auch besteht bei den genannten US-Rechtsmitteln das Problem, dass EU-Bürgern ihre Rechte gemäß DSGVO nicht zustehen.

Wer schreibt hier?
Mein Name ist Klaus Meffert. Ich bin promovierter Informatiker und beschäftige mich seit über 30 Jahren professionell und praxisbezogen mit Informationstechnologie. Im Jahr 2017 bin ich zum Datenschutz gekommen. Mir sind juristische Gegebenheiten nicht fremd. Ich versuche, meine Ergebnisse durch Betrachtung von Technik und Recht zu gewinnen. Das scheint mir jedenfalls absolut notwendig, wenn es um digitalen Datenschutz geht. Ich würde mich freuen, wenn Sie meinen Newsletter abonnieren.
Bitte nutzen Sie bei Verwendung meiner Ergebnissen die Quellenangabe oder verlinken Sie gut wahrnehmbar auf diesen Artikel:
Einen Kurzlink oder eine Bestätigung für Ihre Quellenangabe erhalten Sie kurzfristig auf Anfrage. Ein Teilen oder Verteilen dieses Beitrags ist natürlich ohne weiteres möglich und gewünscht.
  1. Peter Mischa Marxbauer

    Dass Google Daten in USA verarbeitet, welche Überraschung, handelt es sich doch um ein amerikanisches Unternehmen. Nur Berufsempörte und Spinner haben etwas anderes erwartet.
    Wenn ich mir den Stand der Digitalisierung in Deutschland ansehe und dazu noch welche Leuchten dafür verantwortlich sein sollen, dann wünsche ich mir, dass unsere gesamte IT in USA gehostet wird, so schlecht können die es gar nicht machen.

    • Dr. DSGVO

      Sicher haben es sich viele schon gedacht, dass die Daten in den USA verarbeitet werden, nur beweisen konnte man es bis vor kurzem nicht direkt.

      Dass es um die Digitalisierung in Deutschland so schlecht bestellt ist, liegt u.a. auch an Google. Wir liefern immer mehr Daten dahin, und zwar unaufgefordert und kostenfrei. Sobald “Lösungen” von Google u.ä. nicht mehr nutzbar sind, weil sie als rechtliche Gefahr gesehen werden müssen, geht es in Deutschland bergauf. Das ist meine Überzeugung. Liegt dann aber nicht an der Regierung, sondern der Privatwirtschaft.

Schreiben Sie einen Kommentar

Ihre Mail-Adresse wird nicht veröffentlicht.

Nächster Beitrag

Google Tag Manager: Ist das Tool DSGVO-konform und was muss in die Datenschutzerklärung?