Update: Französische Datenschutzbehörde erklärt Google Analytics für illegal
In der EU verstösst die Nutzung von Google Analytics gegen die Datenschutz-Grundverordnung – zu diesem Schluss kam erst die österreichische und nun auch die französische Datenschutzbehörde. In anderen EU-Ländern sollen bald ähnliche Entscheide folgen.
Update vom 11.02.2022: Nach der österreichischen kommt nun auch die französische Datenschutzbehörde CNIL zum Schluss, dass der Einsatz von Google Analytics gegen die europäische Datenschutz-Grundverordnung (DSGVO) verstösst. Der Dienst übermittle personenbezogene Daten von Nutzerinnen und Nutzer in die USA – diesen Datentransfer erachte man als illegal, teilt die Datenschutzbehörde mit.
Google habe zwar Massnahmen ergriffen, um die Datenübermittlung von Google Analytics in die USA zu regeln, heisst es in der Mitteilung der Behörde. "Diese reichen jedoch nicht aus, um den Zugriff auf diese Daten durch die US-Geheimdienste auszuschliessen."
Die CNIL (Commission nationale de l'Informatique et des libertés) wies den Betreiber einer französischen Website an, die Nutzung von Google Analytics unter den derzeitigen Bedingungen einzustellen und gegebenenfalls ein anderes Tool zu verwenden, das keine personenbezogene Daten in die USA übermittelt. Die Behörde gibt dem betroffenen Betreiber dafür einen Monat Zeit.
Anlass für die Entscheidung war eine Beschwerde der von Max Schrems gegründeten Datenschutzorganisation Noyb – die Abkürzung steht für "none of your business". Nach dem Urteil des Europäischen Gerichtshofs zur Ungültigkeit des Privacy Shield reichte die Organisation über 100 solcher Beschwerden bei allen europäischen Datenschutzbehörden ein. Dementsprechend erwarte man ähnliche Entscheidungen in anderen EU-Ländern, teilt die NGO mit. "Die verschiedenen europäischen Datenschutzbehörden kommen alle zu demselben Schluss: Die Verwendung von Google Analytics ist illegal", lässt sich Schrems in einer Stellungnahme von Noyb zitieren. "Die europäischen Behörden koordinieren die Entscheidungen in einer Task Force und wir gehen davon aus, dass andere Behörden bald ähnlich entscheiden werden."
Originalmeldung vom 17.01.2022: Der Einsatz von Google Analytics auf EU-Websites verstösst gegen die europäische Datenschutz-Grundverordnung (EU-DSGVO) – zu diesem Schluss kommt die österreichische Datenschutzbehörde (DSB). Sie sehe insbesondere die allgemeinen Grundsätze der Datenübermittlung gemäss Artikel 44 DSGVO verletzt, da mit dem Analytics-Tool persönliche Nutzerinformationen an die Google-Konzernzentrale in den USA weitergegeben würden, berichtet "Heise".
Die DSB entschied aufgrund einer Musterbeschwerde, die der vom österreichischen Datenschützer Max Schrems gegründete Verein Noyb im August 2020 eingereicht hatte. Der Entscheid betrifft gemäss einem Bericht von "Futurezone" die österreichische Gesundheitswebsite netdoktor.at. Die Website stehe allerdings nur "exemplarisch" für viele andere, die auf Google Analytics setzen. Noyb gehe davon aus, dass man in weiteren EU-Staaten ähnliche Entscheidungen treffen werde. Insgesamt reichte der gemeinnützige Verein 101 vergleichbare Beschwerden in fast allen EU-Staaten ein.
Eine weitergehende Beschwerde gegen Google selbst wies die DSB allerdings ab. Der Verein um Max Schrems prüft zurzeit, gegen diesen Teil der Entscheidung vorzugehen.
Niederlande prüfen ein Verbot von Google Analytics
In den Niederlanden laufen zurzeit ähnliche Verfahren, wie "Heise" in einem weiteren Bericht schreibt. Die niederländische Behörde für persönliche Daten (AP) prüfe zwei Beschwerden – die entsprechenden Untersuchungen sollen noch "Anfang 2022" zum Abschluss kommen. Die Behörde warnt bereits: "Bitte beachten: Die Verwendung von Google Analytics ist möglicherweise bald nicht mehr erlaubt."
Das Vorgehen gegen Google Analytics steht vor dem Hintergrund des als "Schrems II" bekannten Entscheids des Europäischen Gerichtshofs (EuGH). Durch das Urteil wurde der sogenannte Privacy Shield für ungültig erklärt. Diese Rahmenvereinbarung zwischen den USA und der EU hatte den Transfer persönlicher Daten von europäischen Unternehmen in die Vereinigten Staaten geregelt – zum Beispiel, wenn ein EU-Unternehmen die Cloud-Services eines der grossen US-Technologiekonzerne nutzt. Im Rahmen dieses transatlantischen "Datenschutzschildes" vertrat die EU die Auffassung, dass die USA ein angemessenes Datenschutzniveau gewährleisten. Schrems reichte dagegen Klage ein und der EuGH kippte das Abkommen mit dem Urteil vom Juli 2020. Was das Aus des Privacy Shields für Schweizer Unternehmen bedeutet, erklärt Rechtsanwältin Andreas Dorta in einem Fachbeitrag.