Vor einigen Wochen erging eine Entscheidung der österreichischen Datenschutzbehörde, dass Google Analytics, ein Tracking­tool, das dem Zweck der Da­ten­ver­kehrs­ana­ly­se von Web­sei­ten dient, gegen die DSGVO verstößt. Denn nach der Auffassung der österreichischen Datenschutzbehörde darf Google Analytics aus datenschutzrechtlichen Gründen nicht auf Internetseiten aus der EU eingesetzt werden. So seien nämlich die in Art. 44 DSGVO verankerten Grundsätze der Datenübermittlung verletzt, wenn eine Weitergabe  persönlicher Nutzerinformationen an Unternehmen in den USA (hier: die Google-Konzernzentrale) erfolgen würde. 

“SCCs” und “TOMs” nicht genug

Google gab laut einem eigenen Statement an, “technische und organisatorische Maßnahmen” (“TOMs”) umgesetzt zu haben. Dabei wurden Ideen wie Zäune um Datenzentren, die Überprüfung von Behördenanfragen oder eine minimale Verschlüsselung vorgebracht, welche jedoch als unzureichende Maßnahmen gegen den Zugriff von US-Behörden von der österreichischen Datenschutzbehörde deklariert wurden. Laut der DSB seien “SCCs” (“Standardvertragsklauseln”) und “technische und organisatorische Maßnahmen” (“TOMs”) nicht ausreichend. 

Nun hat die französische Datenschutzbehörde “CNIL” unmittelbar nach der Entscheidung der österreichischen Datenschutzbehörde und auch auf Grundlage dieser angeordnet, dass ein französischer Websitebetreiber die Nutzung von Google Analytics stoppen muss. 

Dabei basieren die Entscheidungen auf 101 Musterbeschwerden von dem Unternehmen noyb, welche vor allem nach dem Urteil des EuGH zur Ungültigkeit des Privacy Shield eingereicht wurden. 

Max Schrems, Vorsitzender von noyb, äußerte sich diesbezüglich wie folgt: “Die verschiedenen europäischen Datenschutzbehörden kommen alle zu dem selben Schluss: Die Verwendung von Google Analytics ist illegal. Die europäischen Behörden koordinieren die Entscheidungen in einer Task Force und wir gehen davon aus, dass andere Behörden bald ähnlich entscheiden werden.”

Hintergrund der Entscheidungen der österreichischen und der französischen Datenschutzbehörde

Hintergrund der Entscheidung der Datenschutzbehörden ist das Schrems-II-Urteil vom Juli 2020 (NJW 2020, 2613). Mit diesem Urteil hat der EuGH das “Privacy Shield” gekippt. Das Privacy-Shield gewährleistete nämlich bei Übertragungen personenbezogener Daten in die Vereinigten Staaten kein angemessenes Datenschutzniveau. Nun hält die österreichische Datenschutzbehörde sowie auch die französische Datenschutzbehörde das Trackingtool “Google Analytics” für nicht DSGVO-konform. So hat nun auch die niederländische Datenschutzbehörde einen künftigen Beschluss gegen Google Analytics angekündigt.  

Website-Betreiber soll anderes Trackingtool nutzen

Google Analytics ist zwar das am weitesten verbreitete Statistikprogramm. Es ist dahingehend jedoch zu empfehlen, dass Website-Betreiber auf ein anderes Trackingtool als Google Analytics zurückgreifen sollen, damit keine persönlichen Daten in die USA transferiert werden können. Denn die von Google erlassenen Maßnahmen genügen nicht den Anforderungen der DSGVO, da diese nicht verhindern, dass US-Geheimdienste Zugriff auf die erhobenen Daten haben. Zwar gibt es auch viele Alternativen, die in unmittelbarer Konkurrenz zu Google Analytics stehen. Es verlassen sich jedoch viele Websites auf Google und somit werden die Daten auch an diesen Konzern weitergegeben. Mit den einhergehenden Entscheidungen der Datenschutzbehörden, die vermehrt Google Analytics für illegal erklären, wird auch der Druck auf EU-Unternehmen und US-Provider immer größer, sich auf sicherere Alternativen umzustellen. Dabei ist vor allem die Verarbeitung der Nutzerdaten ohne einen Zugriff von etwaigen US-Unternehmen zu beachten.

Langfristige Lösung 

In langfristiger Hinsicht und mit Blick auf die Zukunft gibt es lediglich zwei Möglichkeiten: Zum einen müssen die amerikanischen Gesetze entweder einen besseren Datenschutz für Ausländer gewährleisten oder die Verarbeitung von ausländischen Daten durch US-Anbieter müssen außerhalb der Vereinigten Staaten erfolgen. 

Dazu Max Schrems: “Langfristig brauchen wir entweder einen angemessenen Datenschutz in den USA, oder wir werden am Ende getrennte Produkte für die USA und die EU haben. Ich persönlich würde einen besseren Schutz in den USA bevorzugen, aber das ist Sache des US-Gesetzgebers.”

UPDATE: Auch für CNIL Datenübertragung an Google Analytics rechtswidrig

Bild: geralt auf pixabay