Google Analytics, die DSGVO, Nutzen und Nutzung

Diese Woche hat die österreichische Datenschutzbehörde (DSB) festgestellt, dass der Einsatz von Google Analytics gegen die DSGVO verstößt, da durch den Einsatz des kostenlosen Statistiktools personenbezogene Daten in die USA übermittelt werden und Google, der Betreiber von Google Analytics, kein der DSGVO entsprechend ausreichendes Datenschutzniveau für diese Daten garantieren kann, auch wenn dies in den Vertragsklauseln, die man beim Einsatz des Tools vorgesetzt bekommt, behauptet wird.

In einem auf der Website von noyb, der Organisation, mit der Max Schrems 101 Musterbeschwerden gegen Unternehmen in ganz Europa angestrengt hat (in Österreich zB: geizhals.at, netdoktor.at und oe24.at) veröffentlichten Artikel zum Urteil, wird dann sehr schnell klar, dass Google nur als Synonym für „Unternehmen mit Sitz in den USA“ zu verstehen ist. Auf den Punkt gebracht durch Max Schrems himself:

Anstatt ihre Dienste technisch so anzupassen, dass sie mit der DSGVO konform sind, haben US-Unternehmen versucht, einfach ein paar Texte in ihre Datenschutzrichtlinien einzufügen und den EuGH zu ignorieren. Viele EU-Unternehmen sind diesem Beispiel gefolgt, anstatt auf legale Dienste zu wechseln. […] Die Quintessenz ist: EU-Unternehmen können keine US-Cloud-Dienste mehr nutzen. Es ist jetzt 1,5 Jahre her, dass der EuGH das ein zweites Mal bestätigt hat – es ist also mehr als an der Zeit, dass das Gesetz auch durchgesetzt wird.

Max Schrems auf noyb.eu

Noch einmal, ganz langsam: „EU-Unternehmen können keine US-Cloud-Dienste mehr nutzen“. Aber… welche Cloudspeicher kennt ihr, werte Leserinnen und Leser, die nicht US-Cloud-Dienste sind? Ganz genau: keinen einzigen. Es gibt schlichtweg keine Cloudspeicherdienste in der Qualität und mit dem Sicherheitslevel, mit dem US-Dienste solche Services anbieten. Das hat ja die Schweiz schon festgestellt und sie hat meiner Meinung nach vollkommen Recht, wenn dort sinngemäß behauptet wird: Was an europäischen Lösungen angeboten wird – und ich maße mir nicht an, das Angebot gänzlich zu kennen, aber allein die Tatsache, dass ich suchen musste, um überhaupt mehr als ein oder zwei große europäische, DSGVO-konforme Dienste zu finden, spricht Bände – ist schlichtweg lächerlich.

Wir alle kennen und nutzen sehr wahrscheinlich Dropbox, Google Drive, Microsoft OneDrive, Apples iCloud oder Amazon Drive. Guess what? Alle nicht DSGVO-konform, wenn ich Max Schrems richtig verstehe. Geht es also danach, können wir sofort beginnen unsere Daten von dort zu löschen und auf europäische Lösungen zu setzen. Heise hat sich solche Lösungen angesehen und da gibt es so klingende Namen wie den Berliner Anbieter luckycloud (noch nie gehört), YourSecureCloud (noch nie davon gehört), pCloud (aus der Schweiz, auch noch nie davon gehört), LeitzCloud (aus Frankfurt mit einem Webauftritt, der ein Gruß aus der Vergangenheit ist, aber immerhin, von der habe ich schon mal irgendwo gelesen) oder HiDrive von Strato, dem einzigen Anbieter, den man vielleicht kennt. Klar, es gibt dann immer noch Nextcloud, aber damit bin ich in mehreren Testrunden (selbstgehostet und fremdgehostet) immer wieder gescheitert, weil die käsige Synchronisationsapp (zumindest am Mac) an guten Tagen im Viertelstundentakt Fehler ausgeworfen und Dateien nicht synchronisiert hat; Arbeiten ist so nicht möglich. (Wer sich – das nur ein winzig kleiner Exkurs – noch mehr in das Thema einfühlen will, soll sich doch bitte ansehen, wie das Hosted Nextcloud Hub-Angebot bestellt werden kann! Ich kann leider nur meine der Synchronisationsapp zuteil gewordene Attribuierung ins Gedächtnis rufen: Man muss ein Kontakt-Formular ausfüllen, um Nextcloud Hub zu bestellen. Ein Kontaktformular wie in den frühen Jahren des Internets. Das ist die Spitze des europäischen Konkurrenzprodukts zu Google Drive, OneDrive, iCloud und Dropbox.)

Abgesehen davon, dass der Ausschluss von Microsoft OneDrive wohl mit einem Schlag einen sehr großen Prozentsatz der europäischen Wirtschaft stilllegt, sind diese Lösungen im Kontext friktionsfreien Arbeitens nur dann gut einsetzbar, wenn sie mit der Software, die man nutzen möchte, von Anfang an gut abgestimmt sind. In meinem Fall kennt zum Beispiel mein Buchhaltungsprogramm, meine E-Mail-App oder meine Foto- oder Musikverwaltung keinen einzigen der oben genannten Dienste, um darüber zum Beispiel ein Backup zu erstellen oder eine Synchronisierung durchzuführen. Es würde also alles sehr, sehr mühsam werden.

Max Schrems schreibt im oben verlinkten Artikel auf seiner noyb-Website, dass es „langfristig [einen] angemessenen Datenschutz in den USA [braucht], oder wir werden am Ende getrennte Produkte für die USA und die EU haben“ und dass es für noyb entscheidend ist, „dass die US-Anbieter das Problem nicht einfach auf die EU-Unternehmen abwälzen können“. Im Beitrag auf derstandard.at wurde ein Update veröffentlicht, in dem Google Stellung zu der Entscheidung nimmt:

[Die Unternehmen], nicht Google, kontrollieren, welche Daten mit [Googles] Tools gesammelt und wie diese ausgewertet werden […]. Google stelle eine Reihe von Sicherheitsmaßnahmen, Kontrollfunktionen und andere Mittel zur Verfügung, damit rechtliche Vorgaben erfüllt werden können.

derstandard.at

Es liegt also dann doch bei den europäischen Unternehmen, sich um eine Lösung zu kümmern, was sehr viel Zeit und sehr, sehr viel Geld kostet. Vor allem, solange es keinen mit Google, Microsoft oder Dropbox vergleichbaren, ähnlich wirkmächtigen und in weltweit genutzter Software integrierten, europäischen Anbieter eines Cloudspeichers oder cloudbasierten Services gibt. Will man als europäisches Unternehmen also eine DSGVO-konforme, leicht bedienbare und zuverlässige, cloudbasierte Lösung nutzen, steht man mit dem Rücken an der Wand und muss sich mit zusammengebastelten und nicht weitläufig integrierten Lösungen herumschlagen. Das ist kein abstraktes Problem, sondern mittlerweile Thema in europäischen Unternehmen; anstatt, dass sie sich auf ihre eigentliche Arbeit konzentrieren können, muss man sich nun damit beschäftigen. Produktivität, ahoi!

Und während wir mit immer längeren Cookiebannertexten konfrontiert sind, mit Kaufhaus Österreich und anderen politisch beeinflussten, europäisch nicht koordinierten Sinnlosprojekten Geld verbrennen (GAIA-X, irgendwer?), User-Interfaces mit DSGVO-Hinweisen zupflastern, Nutzerinnen und Nutzer unserer Services mit AGB, Datenschutzhinweisen und Nutzungsbedingungen, die länger und länger werden, das Leben schwer machen und uns dabei der Illusion hingeben, mit solcherlei Maßnahmen vor den Überwachungs- und Zugriffsmöglichkeiten durch US-Nachrichtendienste geschützt zu sein (ja, diesen Punkt gibt es ua. sinngemäß im Entscheid der DSB – LOL!) ein durchformalisiertes Usability-Horror-Internet schaffen, segeln US-amerikanische und chinesische Unternehmen mit von Europäerinnen und Europäern aus Facebook, Instagram, Twitter, TikTok und YouTube generierten Daten lachend an uns vorbei und nehmen dieses als Selbstzerstörung des Wirtschaftsraums wahrgenommene Recht hinter vorgehaltener Hand wohl nur noch als Zirkus wahr, der ohnehin niemandem, außer uns Europäern selbst schadet. (Wohlgemerkt, ich befürworte den Datenschutz, er ist sogar Teil des Slogans dieses Blogs, aber ich sehe, dass ja nun doch europäische Unternehmen die Last tragen müssen.)

Ich verweise mittlerweile schon inflationär auf die Schweiz, ich weiß, aber gerade macht die Schweiz einiges sehr richtig und hat sich nach dem Eingeständnis der Tatsache, IT-technisch vom Rest der Welt abgehängt worden zu sein, in meinen Augen pragmatisch und damit zukunftstauglich entschieden, zumindest kurz- und mittelfristig dem Nutzen funktionierender, gut integrierter und sicherer IT-Infrastruktur den Vorrang vor der möglichen Gefahr der Nutzung solcher Services zu geben. No Risk, no Risk, heißt es ja bekanntlich.

Irgendwann sollten auch wir im restlichen Europa erkennen, dass wir diesen Wettlauf schon vor Jahren ganz eindeutig verloren haben und dass eine Aufholjagd ohne grundsätzliche, politische Änderung, die es möglich macht, den Nutzen, und nicht die Gefahr der Nutzung, als Leitmotiv zu sehen – ich denke hier an Aspekte wie Ausbildung, die De- bzw. Neuregulierung von Finanzierung, die Möglichkeit eines (wenn nicht anders zu bewerkstelligen) Monopols, den Umgang mit Risiko, Chance und Scheitern, einem massiven und substantiellen Abbau von Bürokratie und bürokratischen Hürden – schlicht und einfach nicht gehen wird.

Aktualisierung am 11.02.2022: Frankreichs CNIL (Commission Nationale de l’Informatique et des Libertés) hat den Einsatz von Google Analytics de facto für illegal erklärt.

Aktualisierung am 23.06.2022: Italiens GPDP (Garante per la protezione dei dati personali) hat den Einsatz von Google Analytics de facto für illegal erklärt.