Dänische Aufsichtsbehörden zu Google Analytics

Die dänische Datenschutzbehörde verkündet die gemeinsame Position aller EU-Aufsichtsbehörden:

Nur mithilfe eines sogenannten Reverse-Proxy-Verfahrens kann Google Analytics in der EU legal verwendet werden!

Und das auch

nach den Anpassungen, die Google nach der Entscheidung in Österreich vorgenommen hat.
wenn Standardvertragsklauseln vereinbart wurden und die Funktion zur nachträglichen IP-Anonymisierung, Einschränkungen bei der Datenfreigabe und Deaktivierung der Google Signals genutzt wird.

Egal, ob Universal Analytics oder Google Analytics 4 eingesetzt wird.

Siehe: https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2022/sep/brug-af-google-analytics-til-webstatistik

Die Entscheidung ist auch für Deutschland relevant. So heißt es in der Erklärung:

Obwohl jeder Fall von der jeweiligen Aufsichtsbehörde, bei der die ursprüngliche Beschwerde eingegangen ist, einzeln entschieden wurde, spiegeln die Entscheidungen einen europaweiten Ansatz der Aufsichtsbehörden wider. Sowohl für die Organisationen, die personenbezogene Daten verarbeiten, als auch für die Bürger, deren personenbezogene Daten betroffen sind, ist es von entscheidender Bedeutung, dass die gemeinsamen europäischen Vorschriften in der gesamten EU/im EWR gleich ausgelegt werden. Der Gegenstand der eingereichten Beschwerden war genau derselbe, so dass die Fälle gemeinsam in einer Arbeitsgruppe unter der Schirmherrschaft des Europäischen Datenschutzausschusses behandelt wurden. Hier wurden die rechtlichen Fragen – und die Reaktionen darauf – erörtert.„

(Übersetzung und Hervorhebungen vom Autor)

Sehr hilfreich ist, dass die dänische Datenschutzbehörde Antworten auf die häufigsten Fragen veröffentlicht hat und dabei mit vielen Missverständnissen aufräumt:

Ist es möglich, das Google Analytics-Tool so zu konfigurieren, dass keine personenbezogenen Daten in die USA übertragen werden?
Ich glaube, ich habe Google Analytics so konfiguriert, dass keine personenbezogenen Daten erfasst werden. Verstoße ich gegen ein Verbot, wenn ich Google Analytics weiterverwende?
Handelt es sich dabei nicht zumindest um pseudonymisierte Informationen, die, wie Sie selbst sagen, eine mögliche wirksame zusätzliche Maßnahme darstellen?
Kann man selbst wirksame zusätzliche technische Maßnahmen ergreifen?
Können die für die Datenverarbeitung Verantwortlichen im Rahmen eines risikobasierten Ansatzes die Wahrscheinlichkeit berücksichtigen, dass Strafverfolgungsbehörden die spezifischen Daten anfordern?
Ist es möglich, Google Analytics auf der Grundlage der Zustimmung der Besucher zu verwenden?
Was ist mit der Aussage von Google, dass es nie Anfragen von US-Behörden nach Zugang zu den über Analytics gesammelten Informationen erhalten hat?
Gibt es eine Anpassungszeit?
Steht ein neues Abkommen zwischen der EU und den USA über die Übermittlung personenbezogener Daten nicht unmittelbar bevor?
Welche Version von Google Analytics hat die Datenschutzbehörde geprüft? Universal Analytics oder Google Analytics 4?

(Übersetzung vom Autor)

Als Fazit gilt, dass nur das Befolgen der Anleitung der französischen Datenschutzbehörde zur Einrichtung eines Reverse-Proxy den legalen Einsatz von Google Analytics ermöglichen kann: https://www.cnil.fr/en/google-analytics-and-data-transfers-how-make-your-analytics-tool-compliant-gdpr

Dieses Verfahren ist jedoch sehr aufwändig und bringt vielerlei Einschränkungen mit sich (siehe dazu unseren Blogartikel „Ist der Einsatz von Google Analytics mit serverseitigem Tracking in der EU erlaubt?„).

Sicherer und einfacher ist der Wechsel zu einem EU-Anbieter mit unabhängig bestätigter DSGVO- und TTDSG-Konformität wie dies bei etracker Analytics der Fall ist.