Verstärkte Bemühungen um den Schutz personenbezogener Daten im Internet wirken sich auch auf kleine Webseiten-Betreiber aus. Die neueste Entwicklung: Es könnte sein, dass der kostenlose Google-Dienst „Google Analytics“ bald nicht mehr einsetzbar ist – selbst wenn es auf der Website ein DSGVO-konformes Cookie-Banner gibt. Hierzu ein paar Hintergründe und Optionen, was die Betreiber kleiner Webseiten tun können.
In dem vermeintlich kleinen Thema spiegeln sich die ganz großen Zusammenhänge. Erinnern Sie sich noch an den „Whistleblower“ Edward Snowden? Seit seinem öffentlichen In-Erscheinung-Treten herrscht eine verstärkte Aufmerksamkeit für die Frage, in welchem Umfang die Daten europäischer Bürger auch auf US-amerikanischen Servern landen könnten, wo sie eventuell dem Zugriff durch den US-Geheimdienst NSA ausgesetzt sein könnten.
Die Verbindung zwischen der eigenen Website und Google
Was hat das mit kleinen Webseiten zu tun? Es ist so: Jeder Webseiten-Betreiber, der statistische Analysen des Nutzerverhaltens mit Google Analytics ausführt, hat dazu einen Java-Code in seine Website integriert. Über diesen Code entsteht eine Brücke zwischen dem einzelnen Nutzer, der mit der Webseite interagiert und den Servern von Google, über die Google Analytics (also sog. „Cloud Dienst“) bereitgestellt wird. Mit einem korrekt implementierten Cookie-Banner wird die Brücke erst aktiv, wenn der Nutzer dazu sein Einverständnis erteilt hat.
Soweit, so gut. Aber die aktuelle Entwicklung deutet darauf hin, dass den Datenschutzbehörden in der EU dieser Mechanismus nicht mehr reicht. Hierfür ist der Hintergrund, dass zur Messung der Nutzerinteraktionen ein bestimmtes Nutzermerkmal herangezogen werden muss – die sogenannte IP-Adresse. Diese Adresse, die vom Internet-Provider bereitgestellt wird, ist im Moment der Internetnutzung weltweit einmalig. Der Europäische Gerichtshof hat die IP-Adresse in einem Verfahren als „personenbezogenes Datum“ bezeichnet.
Rechtsraum-überschreitender Datenverkehr im Visier
Bisher gingen sehr viele Marktbeobachter davon aus, dass aus Datenschutzsicht alles in Ordnung ist, wenn die IP-Adressen im Rahmen der Datenverarbeitung anonymisiert werden. Dazu gibt es eine Einstellung in Google Analytics, die im Rahmen der Konfiguration wählbar ist. Es zeichnet sich nun aber ab, dass hochrangige Behörden und Institutionen die Daten nicht ausreichend geschützt sehen, wenn diese Anonymisierung erst auf US-Servern stattfindet. Und in diesem Zusammenhang gerät Google Analytics zunehmend unter Beschuss.
Was kann ich als Websitebetreiber jetzt tun?
Wichtig dabei: Die Verantwortlichkeit für den sorgsamen Umgang mit Nutzerdaten verorten die Behörden nicht nur bei Google, sondern vor allem auch bei den einzelnen Website-Betreibern, die als Brücke zu Google fungieren. Was also können Betreiber kleiner Webseiten tun? Hierzu einige Optionen:
- Entwicklung auf dem Schirm haben: In der noch sehr jungen Datenschutzbewegung herrscht immer noch viel Verwirrung. Insbesondere bleibt unklar, welche letztgültige Tragweite einzelne Bescheide und Urteile nationaler und europäischer Gerichte eigentlich haben – oder inwieweit nur Einzelfälle beurteilt worden sind. Weiterhin sollten ein aktives Cookie-Banner und die aktive Anonymisierungsfunktion in Google Analytics zum Standard gehören – ebenso wie der Hinweis in der Datenschutzerklärung, dass es bei der Google Analytics Nutzung zur Datenübertragung in sogenannte „Drittstaaten“ kommen kann. Die USA gelten als ein solcher Drittstaat.
- Anlass für die Grundsatzfrage: Betreiber kleiner Webseiten können sich anlässlich der Entwicklungen fragen: In welchem Umfang habe ich Google Analytics Daten bisher überhaupt genutzt, um regelmäßig das Nutzerverhalten auf meiner Website auszuwerten? Kann ich im Zweifel auf diese Art der Datenaufzeichnung verzichten – und den Google Analytics Code aus der Website entfernen?
- Ausschau nach 1:1 Alternativen: Es gibt Anbieter, die DSGVO-konforme Analytics-Tools vorbereiten und im aktuellen Kontext ihre Marktchance nutzen wollen. Unter Keywords wie „Analytics Tool DSGVO konform“ sind solche Anbieter zu finden. Vorab sollten Websitebetreiber aber einen Anforderungskatalog entwickeln – geht es mir um das Messen von User-Engagement-Parametern wie der Aufenthaltsdauer, von Conversions entlang der Customer Journey oder vor allem um SEO-Daten? Wichtig ist es, nicht die erstbeste, sondern die individuell geeignete Lösung zu suchen.
- Ausschau nach abgespeckten Lösungen: Wer seine Webseite vorwiegend nach SEO-Kriterien optimiert, findet dafür mit der Google Search Console ein spezielles und kostenloses Tool, das ohne die Auswertung von IP-Adressen arbeitet. Damit lassen sich SEO-Traffic und Rankings ermitteln, aber kein Conversion Tracking und kein Nutzer-Engagement-Tracking realisieren.
- Die eigene Webagentur ins Boot holen: Wer seine Website mit Hilfe einer Agentur ins Leben gerufen hat oder unterhält, bleibt als Unternehmen verantwortlich. Aber viele Agenturen haben aktuelle Entwicklungen im Blick und helfen bei Fragen gezielt weiter.
- Aktuelle Entwicklung als Chance nutzen, um mehr digitales Bewusstsein aufzubauen: Als kleine Agentur, die auch WordPress-Webseiten erstellt, erleben wir es immer wieder, dass wichtige Punkte nicht einmal ein Achselzucken auslösen. Dazu gehören etwa Lösungen für die Verwaltung von Nutzerrechten, regelmäßige Update-Routinen und kostenpflichtige DSGVO-Cookie-Banner. Die aktuelle Diskussion zeigt: Es ist sehr wichtig, sich informiert zu halten – und nicht alle digitale Mündigkeit an Agenturen auszulagern, sondern auf Augenhöhe mit den Agenturen für Qualität zu sorgen.
Als Spezialagentur für SEO, Content und Webdesign unterstützt DOCTOR HUB Online Marketing vorwiegend kleine und mittelständische Dienstleistungsunternehmen.
P.S. Ist Google Analytics jetzt am Ende in Europa? Das lässt sich derzeit noch nicht abschließend sagen. Aber die Entwicklung war noch nie so eindringlich wie zuletzt. Das ist zumindest die unsere Sicht, die wir hier im Beitrag wiedergeben – ohne juristische Gewähr.