Wenn Sie sich in letzter Zeit mit den Tech-Nachrichten befasst haben, haben Sie es vielleicht schon gesehen: Es könnte der größte Tech-Aufruhr in Europa seit der Einführung der EU-weiten Datenschutz-Grundverordnung (DSGVO) sein.
Wir meinen natürlich die jüngste Entscheidung der österreichischen Datenschutzbehörde DSB, die besagt, dass die kontinuierliche Nutzung von Google Analytics durch österreichische Unternehmen gegen die DSGVO und damit gegen europäisches Recht verstößt.
Es wird erwartet, dass die Datenschutzbehörden in den anderen europäischen Staaten bald mit ähnlichen Urteilen folgen werden. In diesem kurzen Artikel erklären wir Ihnen, warum die Verwendung von Google Analytics nach der DSGVO als illegal gilt, erörtern die Auswirkungen und stellen Ihnen zwei Möglichkeiten vor, wie Sie sich anpassen können.
Warum Google Analytics illegal ist
Die österreichische DSB hat darauf hingewiesen, dass die kontinuierliche Nutzung von Google Analytics durch österreichische Unternehmen und Organisationen nach der DSGVO rechtswidrig ist, weil die US-Überwachungsgesetze von US-Anbietern wie Google oder Facebook verlangen, dass sie persönliche Daten an US-Behörden weitergeben, wenn sie dazu aufgefordert werden.
Diese DSB-Entscheidung kommt für einige überraschend, ist aber eigentlich eine Folge der Schrems II-Entscheidung von 2020. Dieses Urteil war ein weiterer wichtiger Wendepunkt im elektronischen Handel. Dort hatte der Gerichtshof der Europäischen Union ("CJEU") den “EU-US-Privacy Shield” aus einem ähnlichen Grund für ungültig erklärt: Die US-Überwachungsgesetze und -Programme wie PRISM und UPSTREAM bieten nicht das von der DSGVO garantierte Schutzniveau.
Nach Schrems II war es für Unternehmen keine Option mehr, einfach zusätzliche, strengere Vertragsklauseln in die Allgemeinen Geschäftsbedingungen aufzunehmen und sich so als DSGVO-konform zu bezeichnen.
DSGVO-Definition von personenbezogenen Daten (PII)
Der Begriff "personenbezogene Daten" ist von zentraler Bedeutung für die Anwendung der DSGVO. Die Datenschutz-Grundverordnung gilt nur, wenn Daten verarbeitet werden, die als personenbezogene Daten definiert werden können. Der Begriff ist in Artikel 4.1 (1) definiert:
“‘Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen”
Das klingt auf den ersten Blick logisch und einfach. Wenn wir Daten wie Telefonnummern, Kreditkartennummern, Bankkontonummern oder Autokennzeichen betrachten, passen sie natürlich in unsere Vorstellung von "personenbezogenen Daten".
Angesichts des breiteren Kontexts des Begriffs "alle Informationen", wie in Artikel 4.1 erwähnt und in der Rechtsprechung des Europäischen Gerichtshofs angedeutet, wird jedoch eine ganz neue Welt von personenbezogenen Daten Gegenstand dieser Definition. Man denke an Aufzeichnungen von Arbeitszeiten, schriftliche Prüfungsantworten und sogar IP-Adressen und Cookies. Alles, ob objektiv oder subjektiv, was praktisch oder theoretisch dazu beitragen kann, die mit diesen Daten verbundene Person zu identifizieren, kann als personenbezogene Daten definiert werden, solange es sich um eine natürliche Person (und nicht um Unternehmen oder andere juristische Personen) handelt.
Grundlegende Anforderungen für die Einhaltung der DSGVO
Bei der Suche nach den besten Software-Optionen für DSGVO-konforme Webanalysen muss man wissen, dass Software an sich nicht ausreicht, um DSGVO-konform zu sein. Das Softwaredesign und die Art und Weise, wie es verwendet wird, repräsentiert die Art und Weise, wie Kundendaten von einem (kommerziellen) Dritten verarbeitet, gespeichert und verwendet werden.
Um DSGVO-konform zu sein, muss ein Unternehmen alle Richtlinien der DSGVO befolgen, wobei die Software nur eines der wichtigen Elemente im Umgang mit Kundendaten ist. Das Hinzufügen von ein paar Zeilen in den Allgemeinen Geschäftsbedingungen ändert nichts daran, wie die Software genutzt wird.
Trotzdem können einige grundlegende Anforderungen bewertet werden, wenn es um DSGVO-konforme Tools geht.
Das Wichtigste ist, dass die Software so eingestellt werden kann, dass sie keine Daten außerhalb des Europäischen Wirtschaftsraums (EWR) überträgt, wo ein unzureichendes Niveau an Privatsphäre und Datenschutz nicht durch europäisches Recht überwacht werden kann. Das bedeutet konkret: keine Speicherung von EU-Daten auf Servern in den USA.
Nicht-EU-Unternehmen müssen eine juristische Person im EWR haben, die dem EWR und dem europäischen Recht unterliegt.
Wir empfehlen die Verwendung von Software, die von einem Zertifizierungsunternehmen, das von der für den Softwarehersteller zuständigen Datenschutzbehörde zugelassen wurde, nach der DSGVO zertifiziert ist.
Alternativen zu Google Analytics
Und wie geht es jetzt weiter? Ohne die Aufbewahrung von EU-Kundendaten im EWR und den Ausschluss der Möglichkeit, Daten in die USA zu übertragen, ist Google Analytics nicht DSGVO-konform.
Wir bei Bright IT sind der Meinung, dass Sie sich keine Sorgen mehr über Datenschutzverletzungen machen sollten und Alternativen wie Matomo oder Piwik PRO in Betracht ziehen sollten. Diese Plattformen wurden von JUSTIA, einer der weltweit größten Online-Datenbanken für Rechtsfälle, unter die 10 besten legalen Alternativen zu Google Analytics gewählt.
Matomo
Matomo (früher: Piwik) ist eine quelloffene Webanalyseplattform, die darauf abzielt, den Website-Besuchern "100% Dateneigentum" zurückzugeben. Sie wird von über einer Million Websites weltweit genutzt und wird von großen Organisationen wie den Vereinten Nationen, Amnesty, der NASA und der Europäischen Kommission als vertrauenswürdig eingestuft. Matomo setzt keine Grenzen für die Anzahl der Websites, die Sie überwachen können, die Anzahl der Benutzerkonten, die Anzahl der Berichte, die Sie planen können, und die Menge der Daten, die Sie exportieren können.
Sollten Sie von Google Analytics umsteigen, können Sie mit Matomo auch historische Google Analytics-Daten importieren und diese anonymisieren. Außerdem kann Matomo personenbezogene Daten verfolgen, allerdings in Übereinstimmung mit der DSGVO und weiteren lokalen Datenschutzgesetzen. Einer der Hauptvorteile ist, dass sich das Angebot mit dem richtigen Wissen an eine Vielzahl von Bedürfnissen anpassen lässt.
Laut dem Test von Optimize Smart ist Matomo ein ernsthafter Konkurrent für Google Analytics und eine ernsthafte Bedrohung für Google Analytics Premium, da es dem Benutzer praktisch das gleiche Ergebnis liefert, allerdings ohne die damit verbundenen Kosten.
Piwik PRO
Piwik PRO wird von einem AdTech- und MarTech-Team entwickelt, das die quelloffene Funktionalität von Piwik erweitert hat.
Mittlerweile ist Piwik PRO eine vollwertige Alternative zu Google Analytics, die sich auf die Einhaltung der strengsten Sicherheits- und Datenschutzgesetze der Welt konzentriert und von einem engagierten Team von Experten unterstützt wird. Es gewährleistet die Einhaltung der DSGVO, des US-amerikanischen Health Insurance Portability and Accountability Act (HIPAA), und vielen weiteren Datenschutzgesetzen weltweit.
Aus diesem Grund hat Piwik PRO auch eine Reihe großer Organisationen als Kunden gewonnen, darunter die Europäische Kommission, LinkedIn, die Regierung der Niederlande, Accenture, Skoda, HP und sogar Microsoft. Piwik PRO wurde von der französischen Datenschutzbehörde in die Liste der Analyseplattformen aufgenommen, mit denen Daten ohne Zustimmung gesammelt werden können (bei einer bestimmten Konfiguration und einer Reihe von Einschränkungen).
Piwik PRO anonymisiert die Daten, wenn Besucher sich dafür entscheiden, und bietet eine Komplettlösung für Unternehmen, die eine Analysesuite suchen, ohne spezielle Funktionen einprogrammieren zu müssen.
Warum Piwik PRO die beste Option auf dem Markt ist
Glaubt man den Bewertungen auf Trustradius, könnte Piwik PRO gegenüber Matomo im Vorteil sein, insbesondere für große, professionelle Organisationen. Das Hauptargument für Piwik PRO gegenüber Matomo ist das Support-Niveau, das zum Zeitpunkt der Erstellung dieses Artikels mit 10,0 bewertet wurde (im Gegensatz zu 7,4 für Matomo).
Wenn man bedenkt, dass es sich bei beiden um kosteneffiziente Alternativen mit einem ähnlichen ROI handelt, könnte ein professionelles Support-Team das entscheidende Element für Marketingfachleute sein, die ihr DSGVO-konformes Analyse-Team von Grund auf neu aufbauen möchten.
Piwik PRO bietet nicht nur einen besseren Kundensupport, sondern auch ein paar zusätzliche Funktionen, die das Unternehmen von anderen abheben. Piwik PRO ist ISO-zertifiziert und wird regelmäßig auditiert. Piwik PRO verfügt über einen eigenen, vorgefertigten Consent Manager und wird von uns hinsichtlich der allgemeinen Anwendungsstabilität höher eingestuft.
Fazit
In einem weiteren Urteil wurde festgestellt, dass Google Analytics eindeutig gegen die DSGVO verstößt. Für Google sind weitere rechtliche Probleme zu erwarten. Daher ist jetzt der richtige Zeitpunkt, um sich nach Alternativen umzusehen.
Neue Datenschutzgesetze und -vorschriften einzuhalten, kann eine entmutigende Aufgabe sein, insbesondere für größere Unternehmen, bei denen die Risiken exponentiell ansteigen. Die Möglichkeit, sich auf einen vertrauenswürdigen, globalen Partner zu verlassen und ihn zu konsultieren, kann nicht nur diese Risiken verringern, sondern auch für Ruhe sorgen, wenn Sie mit den nächsten Vorschriften konfrontiert werden.
Sowohl Piwik PRO als auch Matomo sind großartige Alternativen zu Google Analytics, aber wir geben Piwik PRO den Vorzug, nicht nur wegen der garantierten globalen Konformität, sondern auch wegen des unglaublichen Support-Niveaus und der überdurchschnittlichen Einstellung zur Implementierung zusätzlicher Sicherheitsmaßnahmen.