Nach Datenschutz-Debakel: Konkurrenten von Google Analytics wittern Aufschwung
Alternativen zu Google Analytics könnten von der Verbotswelle der bisherigen Praxis von Google Analytics profitieren, falls sich weitere EU-Staaten der Einschätzungen der österreichischen und französischen Datenschutzbehörden anschießen würden.
Alternativen zu Google Analytics könnten von der Verbotswelle der bisherigen Praxis von Google Analytics profitieren, falls sich weitere EU-Staaten der Einschätzungen der österreichischen und französischen Datenschutzbehörden anschießen würden. EURACTIV Frankreich berichtet.
Die Konkurrenten von Google Analytics begrüßen die bisherigen und künftigen Entscheidungen der EU-Datenschutzbehörden – und zwar unabhängig davon, ob die Entscheidung ein Aus für Google Analytics markieren würde.
Die französische Datenschutzbehörde CNIL ist bereits die zweite Behörde, die die Verwendung von Google Analytics für illegal erklärte. Hintergrund des Urteils stellt die Datenübermittlung von Google in die Vereinigten Staaten dar, die laut CNIL gegen die Datenschutz-Grundverordnung (DSGVO) der EU verstößt.
In Ermangelung eines spezifischen Abkommens mit der EU reichen die zusätzlichen Maßnahmen, die Google zur Regelung dieser Übermittlungen ergriffen hat, „nicht aus, um die Möglichkeit des Zugriffs auf diese Daten durch amerikanische Geheimdienste auszuschließen“, erklärte die französische Behörde am 10. Februar – fast einen Monat nachdem ihr österreichisches Pendant zu denselben Schlussfolgerungen gekommen war.
„Bisher waren die unterschiedlichen Urteile in der EU eine gute Nachricht für uns“, sagte Marko Saric, Mitbegründer von Plausible Analytics, einem Open-Source-Webanalyse-Tool, das ohne Cookies arbeitet und Daten in Deutschland speichert.
Für die Konkurrenz ist das eine gute Nachricht, denn laut Daten von W3Techs hatte Google Analytics im Februar 2022 einen Marktanteil von 86,5 Prozent. Andere Unternehmen bemerken jedoch bereits eine Trendwende.
„Unser Wachstum ist seit der ersten Entscheidung der österreichischen Datenschutzbehörde sprunghaft angestiegen“, sagte Paul Jarvis, Mitbegründer von Fathom Analytics, gegenüber EURACTIV. Das kanadische Unternehmen verwendet keine Cookies und verarbeitet die Daten seiner europäischen Kunden auf europäischen Servern.
Mehrere von EURACTIV kontaktierte Webdienste, die sich mit der Erfassung von Nutzerdaten beschäftigen, weisen auf denselben Trend hin.
„Viele französische Unternehmen wollen ihre Webanalyse auf Matomo übertragen“, sagte Matthieu Aubry, Gründer von Matomo.
Folgt eine Verbotswelle?
Die Entscheidung der CNIL, wurde im Rahmen des in Artikel 60 der Datenschutz-Grundverordnung vorgesehenen „Kooperationsverfahrens“ getroffen. Das bedeutet, dass die Behörde sich mit ihren Pendants in der gesamten EU beraten hat.
„Dieser Entwurf [der Entscheidung] gab keinen Anlass zu relevanten und begründeten Einwänden“, so die CNIL. Die Behörde deutet damit an, dass ihre Schwesternbehörden in anderen EU-Staaten ähnliche Schlussfolgerungen gezogen haben.
Trevor Kaufman, CEO eines anderen Webanalyse-Tools, Piano, erklärte gegenüber EURACTIV, dass „die Bedenken über Googles Umgang mit Kundendaten nicht neu sind, und das ist nur der jüngste Beweis“.
Seiner Ansicht nach sind die in den letzten Wochen getroffenen Entscheidungen „völlig gerechtfertigt“. Allerdings hätte er es lieber gesehen, wenn die großen Tech-Unternehmen reformiert worden wären, anstatt Unternehmen, die ihre Dienste nutzen, zu bestrafen.
Wie geht es jetzt weiter?
Ist die Verwendung von Google Analytics in Europa also nun vom Tisch?
„So wie es aussieht, vielleicht ja. Es gibt jetzt einen Datentransfer von der EU in die USA, der auf unwirksamen technischen Maßnahmen für den Datenschutz beruht“, sagte Alexandre Fievée, Anwalt bei Derrienic, gegenüber EURACTIV.
Martin Tournoij von Goatcounter, einer Open-Source-Analyseplattform, äußerte sich vorsichtiger:
„Es bleibt abzuwarten, was passieren wird. Es würde mich überraschen, wenn es große Auswirkungen hätte, denn entweder wird Google das Problem ‚umgehen‘, indem es ein europäisches Angebot schafft, die Urteile vor Gericht anfechtet oder ein neues Privacy Shield eingeführt wird“, sagte er.
Der Europäische Gerichtshof hat im Juli 2020 das als „Privacy Shield“ bekannte Datentransferabkommen zwischen der EU und den USA für ungültig erklärt und festgestellt, dass die Einmischung der US-Behörden in die von ihren Unternehmen verarbeiteten Daten – unabhängig davon, wo sie tätig sind – nicht den EU-Standards entsprach. Im Rahmen des Privacy Shield waren die US-Unternehmen von diesen zusätzlichen Garantien ausgenommen.
Sollten jedoch keine Durchbrüche in den Diskussionen über ein künftiges Compliance-System erzielt werden, „könnte man sich neue technische Maßnahmen vorstellen, die diesen Transfer rechtmäßig machen würden“, fügte der Rechtsexperte Fiévée hinzu.
Nach Ansicht des Rechtsanwalts könnte dies bedeuten, dass die auf US-Boden verarbeiteten Daten verschlüsselt werden, ohne dass Google Zugriff auf die Entschlüsselungsschlüssel hat, oder dass die Daten anonymisiert werden können.
Die von Google vorgeschlagenen Verschlüsselungstechniken in seinen Datenzentren und die so genannte „Pseudonymisierung“ haben die französische Datenaufsichtsbehörde (CNIL) jedoch vorerst nicht überzeugt.
Laut CNIL kann der US-Riese auf Anfrage einer US-Behörde jederzeit Entschlüsselungsschlüssel zur Verfügung stellen, so dass Pseudonymisierung allein nicht ausreicht.
Um im Einklang mit der Datenschutz-Grundverordnung zu stehen, müsste man in der Lage sein, „zu garantieren, dass keine amerikanische Behörde auf unverschlüsselte Daten zugreifen kann“, fügte Fievée hinzu.
Die letzte mögliche technische Option besteht darin, die ausdrückliche Zustimmung des Nutzers für die Übermittlung seiner Daten in die USA einzuholen.
„Wir dachten, dass zuerst ein Anbieter aus dem Werbesektor betroffen sein würde, aber wir freuen uns, dass die Aufsichtsbehörde zuerst einen der Dienste ins Visier genommen hat, der wahrscheinlich die meisten Daten europäischer Bürger:innen in die Vereinigten Staaten weiterleitet“, sagte Maciej Zawadziński, Geschäftsführer von Piwik Pro – einem Dienst, der laut der CNIL ebenfalls keine Zustimmung erfordert.
Bis jetzt hat sich Google zu diesem Thema sehr diskret verhalten.
Als die Entscheidung der CNIL bekannt gegeben wurde, wollte das Unternehmen auf Anfrage von EURACTIV keinen Kommentar abgeben. Stattdessen teilte es lediglich zwei in seinem Blog veröffentlichte Beiträge, von denen der erste sein Engagement für den Datenschutz bekräftigte und der zweite die Notwendigkeit eines neuen Rahmenbeschlusses zur Datenübermittlung betonte.
[Bearbeitet von Luca Bertuzzi/Zoran Radosavljevic]
