Google Analytics und DSGVO in Österreich: DSB-Bescheid

Google Analytics ist auf Millionen von Websites eingebunden. In Österreich ist es legal, aber nur unter bestimmten Bedingungen. Viele Website-Betreiber:innen erfüllen sie nicht vollständig. Die Datenschutzbehörde (DSB) hat im Januar 2022 als erste EU-Aufsichtsbehörde überhaupt den Einsatz von Google Analytics ohne ausreichende Schutzmaßnahmen für rechtswidrig erklärt. Der NOYB-Bescheid (DSB-D213.679/0006-DSB/2020) gilt als europäischer Präzedenzfall nach dem Schrems-II-Urteil.

NOYB führt den Bescheid und die Folgeentscheidungen in seinem Projekt zu EU-US-Datentransfers öffentlich. Parallel zur DSB haben die CNIL in Frankreich und die Garante in Italien 2022 vergleichbare Bescheide erlassen. Das österreichische Verfahren bleibt der zeitlich erste Fall.

Was Google Analytics macht und warum es die DSGVO berührt

Google Analytics verarbeitet zwei Arten von Daten:

Technische Identifikatoren: IP-Adresse (bis zur Anonymisierung), Browser-Fingerprint und Session-ID. Diese Daten gelten als personenbezogen nach Art. 4 Nr. 1 DSGVO.

Verhaltensdaten: Welche Seiten besucht wurden, wie lange, mit welchem Gerät und aus welcher Quelle. GA4 aggregiert stärker als sein Vorgänger. Die individuelle Client-ID (_ga-Cookie) ermöglicht aber weiterhin ein längerfristiges Profil pro Gerät.

IP-Adressen und Client-IDs sind personenbezogene Daten. Damit ist der Einsatz von Google Analytics eine Datenverarbeitung nach DSGVO. Zusätzlich greift § 165 Abs. 3 TKG 2021, weil das _ga-Cookie ein „Zugriff auf Endgeräte-Informationen" ist. Beide Schienen müssen erfüllt werden.

Die fünf Pflichten bei Google Analytics in Österreich

1. Auftragsverarbeitungsvertrag (AVV) abschließen

Google Analytics ist ein Dienst, bei dem Google Daten „im Auftrag" der Website-Betreiberin verarbeitet. Die DSGVO nennt das Auftragsverarbeitung nach Art. 28 DSGVO. Dafür brauchen Sie einen schriftlichen AVV mit Google.

Google stellt diesen Vertrag bereit. Er muss aber aktiv angenommen werden.

Wie: In Google Analytics unter Verwaltung > Kontoeinstellungen > Datenverarbeitungsbedingungen. Diese Datenschutzbedingungen akzeptieren und bestätigen.

Wer keinen AVV hat, betreibt Google Analytics rechtswidrig. Andere Maßnahmen heilen das nicht.

2. IP-Anonymisierung sicherstellen

GA4 (Google Analytics 4): Die IP-Anonymisierung ist standardmäßig aktiviert. Google gibt an, keine vollständigen IP-Adressen zu speichern.

Universal Analytics (eingestellt Juli 2023): Hier war anonymize_ip: true manuell zu konfigurieren. Wenn Sie noch Universal Analytics-Tags im Einsatz haben, sollten Sie ohnehin auf GA4 migrieren.

Die IP-Anonymisierung allein macht Analytics nicht einwilligungsfrei. Die Client-ID und Verhaltensprofile bleiben Tracking-Daten und unterliegen § 165 Abs. 3 TKG 2021.

3. Einwilligung über Cookie-Banner einholen (§ 165 TKG 2021)

Google Analytics darf erst laden, nachdem die Besucher:in aktiv zugestimmt hat. § 165 Abs. 3 TKG 2021 verlangt die Einwilligung vor dem Setzen oder Auslesen jedes nicht-notwendigen Cookies. Das bedeutet:

• Der Cookie-Banner muss vor dem Analytics-Skript-Load erscheinen
• Die Besucher:in muss „Analytics" oder „Statistik" ausdrücklich aktivieren
• Standard muss „deaktiviert" sein (Opt-in, nicht Opt-out)
• Ablehnen muss laut DSB-Cookie-Leitlinien gleichwertig auf der ersten Ebene möglich sein

Technisch: Das Analytics-Skript und die gtag-Initialisierung dürfen nicht im <head> statisch eingebunden sein. Sie müssen konditional geladen werden. Das geht entweder per Consent-Management-Plattform oder per Tag Manager mit Consent Mode.

Vertiefung zur richtigen Banner-Konfiguration: DSGVO-konformer Cookie-Banner und Cookie-Einwilligung nach § 165 TKG 2021.

4. Datenschutzerklärung aktualisieren

Ihre Datenschutzerklärung muss Google Analytics erwähnen. Pflichtangaben:

• Name des Dienstes (Google Analytics 4)
• Anbieter (Google LLC, USA)
• Verarbeitungszweck (Website-Analyse)
• Rechtsgrundlage (Einwilligung, Art. 6 Abs. 1 lit. a DSGVO und § 165 Abs. 3 TKG 2021)
• Drittlandtransfer: Datenübermittlung in die USA, Rechtsgrundlage EU-US Data Privacy Framework
• Link zur Google-Datenschutzerklärung
• Hinweis auf Widerrufsmöglichkeit
• Hinweis auf Beschwerderecht bei der Datenschutzbehörde als zuständiger Aufsicht

5. Drittlandtransfer-Bewertung dokumentieren

Die DSB hat im NOYB-Bescheid Januar 2022 entschieden, dass Standardvertragsklauseln allein nicht genügen. Das gilt, wenn der Empfänger im Drittland (hier: Google LLC) US-Behörden­zugriffen unter FISA 702 ausgesetzt ist. Auch unter dem EU-US Data Privacy Framework (gültig seit Juli 2023, Google ist zertifiziert) bleibt eine konkrete Risikobewertung ratsam. Das DPF wird rechtlich angegriffen. NOYB hat 2024 weitere Beschwerden eingereicht.

Eine Bewertung sollte folgende Elemente enthalten:

• Welche Daten werden tatsächlich übermittelt (IP, Client-ID, Geräte-Daten)
• Welche Schutzmaßnahmen liegen vor (Verschlüsselung, Pseudonymisierung)
• Welche Rechtsgrundlage trägt den Transfer (Art. 45 DSGVO via DPF, ggf. SCC mit Zusatzmaßnahmen)
• Welche Möglichkeiten haben Betroffene (Beschwerde an DPF-Beschwerdestelle)

Der DSB-NOYB-Bescheid im Detail

Der Bescheid DSB-D213.679/0006-DSB/2020 stammt vom 22. Dezember 2021 und wurde am 12. Januar 2022 zugestellt. Die DSB hat den Volltext anonymisiert über ihren Newsroom veröffentlicht. Kernpunkte:

• Beschwerdeführerin war eine betroffene Person. Vertreten wurde sie von NOYB im Rahmen der 101-Beschwerden-Kampagne nach Schrems II.
• Die DSB stellte fest, dass die Übermittlung der IP-Adresse und der Client-ID an Google LLC eine Verarbeitung im Sinne von Art. 4 Nr. 2 DSGVO ist.
• Die zum Bescheidzeitpunkt verwendeten Standardvertragsklauseln allein genügten nicht, weil US-Behörden über FISA 702 auf die Daten zugreifen können.
• Verschlüsselung im Transit und Pseudonymisierung wurden als nicht ausreichend bewertet, solange der Empfänger den Schlüssel und die Zuordnungstabellen hält.

Die DSB hat keine Geldbuße verhängt. Sie hat den Verstoß festgestellt und die Abstellung angeordnet. Der Bescheid ist rechtskräftig.

Google Analytics und der US-Transfer

Google Analytics überträgt Daten an Server von Google LLC in den USA. Seit Juli 2023 gibt es das EU-US Data Privacy Framework als Rechtsgrundlage für Transfers zu zertifizierten US-Unternehmen. Google ist unter dem DPF zertifiziert.

Das DPF schafft grundsätzlich eine Rechtsgrundlage für Datentransfers zu zertifizierten US-Unternehmen. Für Google Analytics bedeutet das: Die Übermittlung kann jetzt theoretisch auf das DPF gestützt werden. Das ist sehr viel solider als die Lage nach Schrems II und vor DPF.

Allerdings bestehen weiterhin Risiken:

• Das DPF steht, wie seine Vorgänger Safe Harbor und Privacy Shield, unter rechtlichem Druck. Datenschützer:innen erwägen bereits Klagen.
• Die DSB hat sich zur DPF-Konformität von Google Analytics bislang nicht in einem aktualisierten Bescheid geäußert. Der Januar-2022-Bescheid bleibt der maßgebliche Referenzfall.
• Die einfachste und rechtssicherste Lösung bleibt: cookiefreie EU-Alternativen einsetzen und das Problem vollständig vermeiden.

Der Google Consent Mode v2

Seit März 2024 verlangt Google für bestimmte Werbefunktionen (Google Ads Conversion Tracking, Remarketing) die Implementierung des Google Consent Mode v2. Ohne Consent Mode v2 verlieren Sie Daten für Nutzer:innen, die Analytics abgelehnt haben. Google kann keine Konversionen mehr zurückschließen.

Was Consent Mode v2 macht: Er sendet anonymisierte Signale an Google auch ohne vollständige Einwilligung, um statistische Modellierung zu ermöglichen. Ob das mit § 165 Abs. 3 TKG 2021 und der DSB-Cookie-Leitlinien-Auslegung vereinbar ist, wird in Fachkreisen diskutiert. Die DSB hat sich dazu noch nicht abschließend geäußert.

Praktische Empfehlung: Wenn Sie Google Ads nutzen, setzen Sie Consent Mode v2 korrekt auf. Wenn Sie nur Analytics für eigene Auswertungen nutzen und keine Ads schalten, ist Consent Mode v2 für Analytics weniger relevant.

Datenschutzfreundliche Alternativen

Wenn Sie Google Analytics nur für grundlegende Reichweitenmessung nutzen, lohnt sich ein Blick auf Alternativen. Diese kommen komplett ohne Einwilligung aus. Sie berühren damit § 165 Abs. 3 TKG 2021 nicht:

Plausible Analytics Gehosteter Dienst mit Servern in der EU (Frankfurt), kein Tracking, keine Cookies und keine personenbezogenen Daten. Dashboards zeigen Seitenaufrufe, Referrer, Gerätetypen und Länder. Das reicht für die meisten KMU-Websites. Kosten ab USD 9/Monat. Wird auch von österreichischen Behörden und Hochschulen eingesetzt.

Matomo (selbst gehostet) Open-Source-Analytics, auf Ihrem eigenen Server betrieben. Mit der „anonymize IP"-Einstellung und deaktivierten Cookies gilt Matomo nach Auslegung der DSB als einwilligungsfrei. Keine monatlichen Kosten für die Software, aber Serverkosten und Wartung.

Fathom Analytics Ähnlich wie Plausible, GDPR-ready, kein Cookie-Banner erforderlich. Server in den USA und Kanada. Das bedeutet ebenfalls Drittlandtransfer-Thematik. Plausible ist für AT-Setups oft die saubere Wahl. Ab USD 14/Monat.

Prüfen Sie Ihre Website auf DSGVO-Compliance mit dem kostenlosen DSGVO-Scanner. Der Scanner prüft, ob Analytics hinter dem Cookie-Banner liegt und ob externe Tracking-Verbindungen vor der Einwilligung aktiviert werden.

---

Dieser Artikel ist technische Analyse, kein Rechtsrat. Für Fragen zu Ihrer konkreten Situation wenden Sie sich an eine Datenschutzfachperson oder Rechtsanwältin in Österreich.