Stellungnahme der CNIL zu Google Analytics

Fachbeitrag

Am 07.06.2022 hat die französische Datenschutzbehörde, die CNIL (Commission Nationale de l´Informatique et des Libertés, deutsch Nationale Kommission für Informatik und Freiheiten), eine aktuelle Stellungnahme in Sachen Google Analytics veröffentlicht. Wir stellen die Kernaussage dieser Stellungnahme dar.

Zu den Hintergründen

Nach dem sog. Schrems II Urteil des EuGH vom 16.06.2020 (C-311/18) entschied auch die französische Aufsichtsbehörde nur zwei Wochen nach der wegweisenden Entscheidung der österreichischen Datenschutzbehörde, wir haben berichtet, dass der Einsatz von Google Analytics auf Websites gegen die DSGVO verstößt.

Die CNIL hat am 10.02.2022 nach einem Kooperationsprozess mit ihren europäischen Kollegen mehrere Organisationen, die Google Analytics verwenden, wegen der illegalen Datenübermittlung in die USA abgemahnt und diese aufgefordert binnen einem Monat die Vorschriften bezüglich der Nutzung von Google Analytics einzuhalten (die Frist kann auf Antrag verlängert werden).

Das Ende für Google Analytics in Europa?

Die Folgen des Schrems-II-Urteils sind weitreichend, es bedeutet aber nicht zwangsläufig das Aus für Google Analytics. In dem DSK-Beschluss vom 12.05.2020 zum Einsatz von Google Analytics werden datenschutzrechtliche Mindestanforderungen zum Einsatz von Google Analytics beschrieben. Wir verweisen auch auf unsere darauf basierende Handlungsempfehlungen zur Risikominimierung beim Einsatz von Google Analytics, die allerdings mit Blick auf die Stellungnahme der CNIL teilweise neu zu bewerten sind (insbesondere Punkt 3. „Empfohlene Standarteinstellungen anpassen“):

  1. Vertrag zur Auftragsverarbeitung abschließen
  2. Aufbewahrungsdauer der Daten festlegen
  3. Empfohlene Standardeinstellungen anpassen
  4. Einwilligung einholen
  5. IP-Anonymisierung und ggf. Löschung von Altdaten
  6. Datenschutzerklärung anpassen

Inhalt der aktuellen Stellungnahme der CNIL:

Der Inhalt der aktuellen Stellungnahme der CNIL wiederholt die gemeinsamen europäischen Standpunkte und zeigt in Ergänzung zu dem bereits veröffentlichten FAQ eine Möglichkeit für einen datenschutzkonformen Einsatz von Google Analytics auf.

Eine einfache Änderung der Standarteinstellungen reicht nicht aus

Um Google Analytics in Übereinstimmung mit der DSGVO zu verwenden, reicht nach der aktuellen Stellungnahme der CNIL die bloße Umsetzung von Standardvertragsklauseln und eine einfache Änderung der Standarteinstellungen nicht aus. Auch die von einigen Interessengruppen vorgeschlagene „Verschlüsselung“ des von Google erstellten Identifier oder dessen Ersetzen durch einen eigenen Identifier wird von der CNIL als ungenügend bewertet, da immer noch personenbezogene Daten an Googles Server in die USA übertragen werden, wie die IP-Adresse und eine Menge gerätebezogener Informationen, und diese dort dem Zugriff der Behörden ausgesetzt sind. Die Grundproblematik liegt nach Auffassung der CNIL in dem direkten Kontakt über eine HTTPS-Verbindung zwischen dem Endgerät einer Person und den von Google betriebenen Servern, die eine Re-Identifizierung des Nutzers ermögliche.

„Eine mögliche Lösung: Proxy-Server“

Nach Auffassung der CNIL gibt es nur eine Lösung. Dem oben geschilderten Grundproblem kann nur im Wege eine Unterbrechung des Kontakts zwischen dem Endgerät und dem Server begegnet werden, Zitat:

„Seules des solutions permettant de rompre ce contact entre le terminal et le serveur peuvent répondre à cette problématique“

Weiter heißt es in der Stellungnahme der CNIL:

„Une solution possible: la proxyfication“ (frei übersetzt: „Eine mögliche Lösung: Der Einsatz eines Proxy-Servers)“

Es muss jedoch sichergestellt werden, dass diese Proxy-Server eine Reihe von Kriterien erfüllt, damit diese zusätzliche Maßnahme im Einklang mit den Empfehlungen des EDSB vom 18. Juni 2021 stehen.

Nach Auffassung der CNIL habe der Proxy-Server folgende Anforderungen zu erfüllen:

  • dass keine IP-Adresse an das Zielgerät, welches Messungen vornimmt (Webanalysetool), übertragen wird
  • das Ersetzen der Benutzerkennung durch den Proxy-Server
  • die Unterdrückung der Informationen der Website, über die der Benutzer zur aktuellen Webseite gekommen ist (Referrer).
  • die Entfernung aller Parameter, die in den erhobenen URLs enthalten sind
  • die Aufbereitung aller Informationen, die einem digitalen Fingerabdruck gleichkommen
  • die Verhinderung des Sammelns von Identifikatoren (Kennzeichen) oder deterministische Daten zwischen Websites (webseitenübergreifendend)
  • die Löschung alle sonstigen Daten, die zu einer Reidentifizierung führen könnten

Der Proxy-Server muss auch unter Bedingungen gehostet werden, dass personenbezogene Daten nicht in ein Land außerhalb der Europäischen Union übermittelt werden. Andernfalls wäre die bereits bekannte Problematik eines Drittlandtransfers zu beachten.

Bedeutung für die Praxis:

Ob und wie sich die deutsche Aufsichtsbehörde zu der Stellungnahme der CNIL positionieren wird, wird sich zeigen. Das ist jedenfalls sicher. Die Umsetzung der oben beschriebenen Maßnahmen kann sich als kostspielig und komplex erweisen und nicht immer den operativen Bedürfnissen der Unternehmen gerecht werden. Außerdem zeichnet sich ein Trend weg von Google Analytics hin zu einer europäischen Lösung deutlich ab. Jetzt besteht noch die Möglichkeit, mit Zeit und Ruhe nach Alternativen zu schauen und diese zu testen. Ihr Datenschutzberater unterstützt Sie gerne dabei.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Marketing und Datenschutz

3 Kommentare zu diesem Beitrag

  1. Das Schöne beim Einsatz von GA ist ja gerade die direkte Kopplung mit Google Ads, die Bildung von Custom Audiences zum Targeting sowie genaue soziodemografische Analysen. Genau diese Vorteile fallen aber allesamt weg, wenn man eine Proxy Lösung verwendet!

    Schlimmer: Selbst Basisfunktionen, die heute alle professionellen Analytics-Lösungen bieten, sind dann nicht mehr möglich. GA wird durch eine Proxy-Lösung leider zum schlechtesten Tool am Markt. Von hohen Kosten und Implementierungsaufwänden des Proxys ganz abgesehen.

    Vor dem Hintergrund, dass GA Anwender jetzt alle ihre Daten durch den von Google erzwungenen Wechsel auf GA 4 verlieren, sollte man sich strategisch besser auf einen EU-Anbieter konzentrieren. Damit erreicht man nicht nur eine langfristige Investitions- und Rechtssicherheit, sondern verschafft sich auch noch einen klaren Wettbewerbsvorteil.

    @Dr Datenschutz: Warum hier immer noch die Mär vom Auftragsdatenverarbeitungsvertrag (AVV) mit Google erzählt wird, erschließt sich mir nicht. Vielleicht mögen Sie einmal juristisch darlegen, wie ein AVV ohne Weisungs- und Kontrollrechte und bei Eigennutzung der Daten durch den AV überhaupt zustande kommen kann.
    Die Lösung AVV & SCC hilft bei GA juristisch bekanntlich genauso gut, wie Desinfektionsmittel gegen Corona trinken… Schade, dass hier so ein Unsinn verbreitet wird, Herr Doktor!

  2. Mir als „kleinem Datenschutzbeauftragten“ und ITler stellt es sämtliche Haare auf, wenn ich diese Anforderungen (an den Proxyserver) sehe. Nach Aufarbeitung dieser Informationen und der Aufklärung der Kunden stellt es wohl die meisten EPUs und KMUs vor schier unlösbare Problematiken. Ich empfehle seit dem Urteil ohnehin immer, auf GA zu verzichten.

    Allerdings stelle ich nach wir vor fest, dass hier in Österreich das Thema DSGVO noch immer nicht wirklich ernst genommen wird. Das liegt mit Sicherheit auch an unserer Behörde und den geringen bis keinen Strafen im Anlassfall. Wobei ich selbst als DSB für die „kleinen Kunden“ sagen kann, dass die DSGVO für diese Gruppe WEIT über das Ziel geschossen hat. Und diese haben immer das Gefühl, dass es sich „die Großen“ ohnehin richten oder halt auch leisten können. Ein Handwerker mit 2 oder 3 Angestellten, hat mit der DSGVO soviel gemeinsam, wie mit dem Mann im Mond. Und die komplette Umsetzung muss auch erst mal in Auftrag und bezahlt werden (können oder wollen). Vom Stand der Technik wollen wir nicht einmal reden.

    Als „bestes Beispiel“ gilt nach wie vor die Cookie-Richtlinie. Seit meiner Ausbildung zum DSB hatte ich bemerkt, dass sich so gut wie kein Unternehmen an die Leitlinien (bzw. Pflichten) hält. Schon bei damals erstmaligen Lesen des Begriffes „Privacy by Default“ hatte ich erkannt, wie einfach die Durchsetzung sein könnte. Ich dachte damals noch „naiv“, dass die Unternehmen nun sehr rasch diese Umsetzungen durchführen würden. Weit gefehlt, wie wir alle wissen. Selbst nach den Schrems Urteilen und vielen Versuchen, die Cookie Richtlinien durchzusetzen, gibt es noch immer tlw. sehr große Unternehmen, deren Webseite nicht entfernt DSGVO konform ist. Und täglich stoße ich auf Webseiten, die nur ein Akzeptieren der Cookies zulassen. Von Privacy by Default ist ohnehin nichts zu sehen.

    Man würde doch vermuten, dass solche Big Player wie Microsoft oder Google es ganz einfach machen, indem sie halt eine Europa Schwester gründen, deren Daten halt ausschließlich in der EU verarbeitet werden. Unter dem Strich geht es doch nur ums Geschäft. Es ist wohl aber eher so, dass wir Eurpäer den USA so egal sind, wie ein Sturm auf dem Jupiter. Ein achselzuckendes „Friss oder stirb“ ist offenbar der Stand der Dinge. Und leider scheint es in Europa kein Know How zu geben, wie man diese Dienste selbst anbieten kann. Wer kann das noch verstehen?!

  3. Das Problem bei Google ist doch nicht die IP-Adresse. Vielmehr wird doch umfassend sog. „Fingerprinting“ eingesetzt um eine Identifikation des Nutzers zuverlässig zu ermöglichen. Insofern führt mMn die Fokussierung auf IP-Adresse in die Irre..

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.