Gastkommentar ••• Von Klaus Müller
WIEN. Wer Google Analytics oder andere Datenanalyse-Tools nicht-europäischer Anbieter für sein digitales Business nutzt, gerät jetzt verstärkt ins Visier der Datenschutzbehörden.
Angemessener Schutz
Denn seit dem Wegfall des EU-US Privacy Shield müssen Unternehmen sicherstellen, dass bei internationalen Datentransfers auf der Grundlage von Standardvertragsklauseln (SCC) personenbezogene Daten außerhalb der EU angemessen geschützt werden und Schutzlücken in den Rechtssystemen als unsicher geltender Drittstaaten wie beispielsweise den USA durch zusätzliche Maßnahmen ausgleichen.
Fakt ist: Viele Unternehmen sind nach wie vor nicht darauf vorbereitet beziehungsweise dafür gerüstet. Dabei lassen sich bereits beim Website Tracking zentrale Weichen für einen DSGVO-konformen Einsatz von Web Analytics stellen.
Nicht automatisiertes Tracking
Dazu zählt, die Datenerfassung im Rahmen eines server-side Tracking vorzunehmen.
Dieses stellt sicher, dass, anders als beim derzeit vorherrschenden client-side Tracking, die Übergabe kritischer Daten an Web-Analytics-Tools nicht mehr direkt und automatisch erfolgt. Der Website-Betreiber hat hier die Möglichkeit, einzugreifen und festzulegen, welche seiner First-Party-Daten für weiterführende Analysen weitergegeben werden – und auch wie.
Und das muss er auch. Denn bei personenbezogenen Daten wie der IP-Adresse oder Online-ID eines Nutzers gilt: Sie müssen noch innerhalb der EU und vor einem internationalen Transfer an beispielsweise einen US-Web-Analytics-Anbieter beziehungsweise in dessen Cloud verschlüsselt, das heißt pseudonymisiert werden, damit kein Rückschluss auf die digitale Identität eines Nutzers möglich ist („Datenkatalysator”).
Datenschutzkonform
Technische Möglichkeiten, Daten durch US-Anbieter wie beispielsweise Google, Adobe, Facebook, Tealium et cetera. verschlüsseln zu lassen, sind nicht rechtskonform, da die Verschlüsselungsprozesse außerhalb des EU-Rechtsraums stattfinden und nicht überprüft werden können.
Web Analytics sind zentraler Bestandteil digitaler Funktionslogiken und -mechanismen jedes datengetriebenen Unternehmens. Mit den aufgezeigten Maßnahmen können sie technisch datenschutzkonform erfolgen.
