Diverse europäische Datenschutzbehörden (Italien, Frankreich, Niederlande, Österreich) haben den Einsatz von Google Analytics als Verstoß gegen die EU-DSGVO anerkannt.

Die von Google Analytics gesetzten Cookies wie z.B. „_ga“ bzw. „cid“ enthalten Client IDs und das Cookie „_gid“ User IDs, welche auf dem Endgerät bzw. dem Browser abgelegt werden. Sowohl bei Client IDs als auch bei User IDs handelt es sich um eindeutige Nutzer-Identifikations-Nummern, also Online-Kennungen, die der Identifizierbarkeit natürlicher Personen dienen und einem Websitebesucher konkret zugeordnet werden.

Mithilfe der Google-Analytics-Kennnummern ist es also möglich, Websitebesucher zu unterscheiden und z.B. auch die Information zu erhalten, ob es sich um einen neuen oder um einen wiederkehrenden Websitebesucher handelt. Des Weiteren findet eine noch eindeutigere Zuordnung statt, sobald ein Websitebesucher zum Zeitpunkt des Besuchs einer Website, auf welcher Google Analytics eingebunden ist, mit seinem eigenen Google-Account eingeloggt ist.

Hinzu kommt außerdem: Google verwendet standardmäßig Besucherdaten von Google Analytics für eigene Zwecke. Auch hier findet wie bei Google Fonts ein Drittlandtransfer statt (Übermittlung in die USA). Da für die USA kein Angemessenheitsbeschluss vorliegt, müssen sogenannte „Standardvertragsklauseln“ hinzugezogen werden.

Der Europäische Gerichtshof (EUGH) hat mit seinem Urteil vom 16. Juli 2020 („Schrems II“, Az.: C-311/18) ausgeführt, dass der Empfänger der Daten allein auf Grundlage der Standardvertragsklauseln den erforderlichen Datenschutz im betroffenen Drittland jedoch nicht garantieren kann. Heißt konkret, dass zusätzliche Maßnahmen ergriffen werden müssen, um das gewollte Schutzniveau zu erreichen. Jedoch ist nicht klar bzw. nicht erkennbar, ob die von Google eingesetzten zusätzlichen Maßnahmen dazu ausreichen.

Sie benötigen Beratung zum Thema Datenschutz? Sprechen Sie uns jederzeit gerne an: info@klumpp-systeme.de .