Tatsächlich kommen auf die meisten Anwender von US-Tools große Veränderungen zu. Denn Datenschutzbehörden legen die Datenschutz-Grundverordnung (DSGVO) und Entscheidungen des EuGH streng aus. Viele der gängigen Marketing- und Analysetool erfüllen die Voraussetzungen nicht mehr. Wer sie weiterhin nutzt, riskiert neben Anwaltskosten und Image-Schäden auch hohe Strafen. Im schlimmsten Fall können sie bis zu 4 % des weltweiten Konzernumsatzes betragen.

Wie rechtens ist also der Einsatz von US-amerikanischen Tools wie Google Analytics? In dieser komplexen Situation ist es für Website-Betreiber wesentlich, den Überblick zu behalten und den Handlungsspielraum zu kennen.

Wann und wie personenbezogene Daten in Drittländer übermittelt werden dürfen, ist eines der zentralen Themen der DSGVO. Zwar ist es laut DSGVO nicht verboten, Userdaten in Drittländer zu übermitteln und Tools aus Drittländern, wie Google Analytics, zu verwenden. Allerdings sind die Auflagen dafür beträchtlich. So muss der Webseitenbetreiber prüfen, ob die Datensicherheit auch im Drittland ein “angemessenes Datenschutzniveau” bietet.

Im Fall der USA ist diese Überprüfung einfach: Nein, das Schutzniveau reicht nicht aus. Zu diesem Schluss kam der EuGH im sogenannten Schrems-II-Urteil, in dem er ein diesbezügliches Abkommen (Privacy Shield) zwischen den USA und EU für nichtig erklärte.

Grund dafür ist das US-Bundesgesetz Foreign Intelligence Surveillance Act, kurz: FISA. Die Ausweitung dieses Gesetzes nach den Terroranschlägen vom 11. September ermöglichte es der US-Regierung und den US-Nachrichtendiensten wie der NSA, Überwachungen im Internet im großen Stil durchzuführen.

Tech-Konzerne können nach wie vor im Rahmen von geheimen Gerichtsbeschlüssen (“FISA-Court”) gezwungen werden, Userdaten herauszugeben. Das zeigten auch die brisanten Snowden-Enthüllungen.

Die Daten von EU-Bürgern sind in den USA also nicht sicher. Website-Betreiber tragen im Sinne der DSGVO aber die Verantwortung dafür, dass sie nicht ohne Weiteres dorthin gelangen.

Die Konsequenz daraus: Die österreichische Datenschutzbehörde erklärte den Einsatz des US-Tools Google Analytics Anfang des Jahres für rechtswidrig – eine bahnbrechende Entscheidung. Seitdem haben sich die Behörden von Italien, Frankreich und Dänemark dieser Ansicht angeschlossen.

Google versuchte nach der österreichischen Entscheidung noch gegenzusteuern, indem es neue Datenschutz-Funktionen in Google Analytics implementierte. Doch auch diese reichen nicht aus, um Rechtmäßigkeit herzustellen, wie die dänische Datenschutzbehörde erst Ende September beschied.

Und auch dem Lösungsansatz, Server in der EU zu betreiben oder Tochterfirmen die Datenverarbeitung zu überlassen, war kein Glück beschieden. Laut Datenschutzbehörden haben US-Regierungsbehörden und Nachrichtendienste auch auf Server und US-Tochterfirmen Zugriff, egal wo diese ihren offiziellen Standort haben. Möglich macht’s das US-Gesetz “CLOUD Act”.

Nutzer der Analytics-Lösung müssten demnach die Nutzung einstellen, wenn man auf der richtigen Seite des Rechts stehen wolle. Oder zusätzliche Maßnahmen treffen, um die Daten von EU-Bürgern zu schützen.

Zwar haben die Datenschutzbehörden Google Analytics im Besonderen geprüft. Ihre Entscheidungen haben aber ähnliche Implikationen für alle Tools und Services von US-Anbietern, die mit personenbezogenen Daten arbeiten.

Es ist schwierig, personenbezogene Daten legal in Drittländer zu senden. Laut DSGVO muss der betroffene User ausdrücklich in einzelne Transfers einwilligen und auch über mögliche Risiken unterrichtet werden. Dieser Consent darf auch nur in Ausnahmefällen als Rechtsgrundlage dienen, und “nicht die Regel werden”, wie der Europäische Datenschutzausschuss hervorgehoben hat.

In der Praxis ist die Einholung von Consent also nur schwer umzusetzen. Und ob praktische Lösungen vor Gericht halten werden, ist auch noch völlig unklar.

Daher bleibt als einzige Alternative der Abschluss von Standardvertragsklauseln, die laut EuGH den Datentransfer – mit zusätzlichen Maßnahmen – ermöglichen können. Eine solche Maßnahme ist die Pseudonymisierung von personenbezogenen Daten, bevor sie via eines Proxy-Servers in die USA gesendet werden.

Welche Handlungsmöglichkeiten haben Website-Betreiber also realistischerweise? Drei Szenarien.

1. Abwarten

Eine mögliche Strategie ist es, vorerst nichts zu tun und abzuwarten, ob und in welchem Ausmaß die EU-Datenschutzbehörden ihre Entscheidungen exekutieren.

Vorteile: Sie müssen nichts an Ihrem MarTech-Stack ändern und sparen sich den Umstieg auf andere Tools und Tracking-Lösungen.

Nachteile: Diese Variante ist mit Risiken verbunden. Zwar hat es seit dem Inkrafttreten der DSGVO im Mai 2018 etwas gedauert, bis Datenschutzbehörden anfingen, konkrete Anweisungen zu diesem Thema publizieren.

Allerdings zeichnet sich insbesondere in Bezug auf Google Analytics und Drittland-Transfers ein Konsens unter den Behörden der Mitgliedstaaten ab. Es kann durchaus sein, dass erste Strafen früher als gedacht ausgesprochen werden – und diese können mit bis zu 4 % des weltweiten Konzernumsatzes empfindlich sein.

2. Auf europäische Tools umsteigen

Sie könnten Ihren MarTech-Stack komplett auf europäische Lösungen umstellen. Wenn es sich dabei um Firmen mit Sitz im Europäischen Wirtschaftsraum handelt, sowie nicht um Tochterfirmen aus Drittländern, vermeiden Sie die Problematik rund um internationale Datentransfers.

Vorteile: Diese Vorgangsweise ermöglicht es Ihnen leichter, datenschutzkonform zu tracken, wenn die Tool-Anbieter in der EU sitzen.

Nachteile: Ihre Infrastruktur ist auf ihr bestehendes Tracking- und Analytics-Setup eingestellt. Der Umstieg ist mit einem größeren Aufwand verbunden.

Die Auswahl an europäischen Lösungen ist zudem noch begrenzt. Viele reichen im Hinblick auf Leistungsfähigkeit noch nicht an etablierte (US-)Tools heran.

3. Auf eine Proxy-Lösung umsteigen (Server-Side Tracking)

Aus den bisherigen Entscheidungen der Datenschutzbehörden der EU-Mitgliedsländer kristallisierte sich eine Empfehlung dafür heraus, wie US-Tools DSGVO-konform genutzt werden können. Nämlich via Proxy.

Die Lösung ist denkbar einfach: Anstatt Daten direkt in die USA zu übertragen (oder an US-Server in der EU) schalten Website-Betreiber einfach einen Server dazwischen. Dort werden die Daten pseudonymisiert, um den Personenbezug zu entfernen. Dann erst werden die Daten an die US-Tools wie Google Analytics weitergeleitet. Wichtig ist, dass sowohl Server als auch die Tracking-Software von EU-Unternehmen in der EU betrieben werden.

So können Webseitenbetreiber ihre Tools wie gewohnt weiter nutzen. Diese Technik wird auch Server-Side Tracking genannt.

Vorteile: Sie können Ihre gewohnten Tools wie Google Analytics einfach weiterverwenden und bleiben trotzdem DSGVO-konform. Sie erhalten dann in der Regel First-Party-Daten, die oft eine bessere Qualität und Tiefe haben als Third-Party-Daten.

Nachteile: Das Grundprinzip von Server-Side Tracking ist zwar recht einfach, die Umsetzung ist jedoch mit technischem Aufwand und Kosten verbunden, wenn man es selbst aufbauen will.