Ist Google Analytics noch erlaubt?

Seit dem berühmt-berüchtigten „Schrems-II-Urteil“ und dem damit verbundenen Wegfall des Privacy-Shields als Grundlage für den Datentransfer zwischen der EU und den USA herrscht große Unsicherheit, ob überhaupt noch personenbezogene Daten aus der EU in die USA übertragen werden dürfen. Jetzt scheint Bewegung in die Sache zu kommen.

Entscheidung der österreichischen Datenschutzbehörde

Nachdem das Privacy Shield durch ein Urteil des EuGH im Sommer 2020 (Schrems II) als Rechtsgrundlage für eine Datenübertragung in die USA weggefallen ist, haben Datenschutz-Aktivisten zahlreiche Beschwerden gegen Webseitenbetreiber eingereicht, die weiterhin Dienste wie Google Analytics nutzen. In Österreich gab es dazu nun die erste Entscheidung: Der Einsatz von Google Analytics sei rechtswidrig, da keine geeigneten Maßnahmen getroffen worden seien, um die entscheidende Lücke – den möglichen Zugriff von US-Geheimdiensten auf Daten US-amerikanischer Firmen – zu schließen. Da US-Unternehmen nach US-Recht verpflichtet sind, den Geheimdiensten Zugang zu diesen Daten zu gewähren, ist es so gut wie unmöglich, dies durch vertragliche oder technische und organisatorische Maßnahmen zu verhindern.

Anonymisierung und Standardvertragsklauseln reichen nicht aus

Das betroffene Unternehmen hatte EU-Standardvertragsklauseln mit Google geschlossen. Dies allein reicht nach Auffassung der österreichischen Datenschutzbehörde jedoch nicht aus, um den Anforderungen der Art. 44 ff DSGVO zur Datenübertragung in Drittstaaten zu genügen. Zudem wurde die Anonymisierunsfunktion von Google Analytics nicht genutzt. Doch auch wenn diese korrekt eingesetzt worden wäre, wäre die Behörde wohl nicht zu einem anderen Entschluss gekommen, da einzelne Webseitenbesucher durch das Zusammenführen verschiedenster Daten auch dann noch identifizierbar gewesen wären.

Ausblick

Ob sich die Rechtsauffassung der österreichischen Datenschutzbehörde durchsetzen wird, bleibt abzuwarten. Sollte dies der Fall sein, wären von den Folgen nicht nur Google-Dienste, sondern Dienstanbieter mit Sitz in den USA generell und damit vermutlich die absolute Mehrheit aller europäischen Webseiten betroffen. In den Niederlanden sind für Anfang des Jahres weitere Entscheidungen zu Google Analytics angekündigt. Auf der Webseite der niederländischen Datenschutzbehörde wird bereits jetzt darauf hingewiesen, dass der Einsatz von Google Analytics möglicherweise nicht DSGVO-konform sei und man dazu bald mehr sagen könne.

Praxis

Der Einsatz von Google Analytics & Co. bleibt riskant. Wer solche Tools auf seiner Webseite einsetzt oder anderweitig US-Clouddienste nutzt und nicht auf Anbieter aus der EU oder sicheren Drittstaaten ausweichen möchte, sollte in jedem Fall datenschutzfreundliche Voreinstellungen treffen und Standardvertragsklauseln abschließen. Zuletzt bleibt noch die Hoffnung, dass es irgendwann doch noch einen Nachfolger des Privacy Shield geben wird.

Kontaktformular

    Wir verarbeiten Ihre Daten ausschließlich zur Bearbeitung Ihrer Anfrage im Sinne einer vorvertraglichen Maßnahme. Nach abschließender Bearbeitung werden Ihre Daten gelöscht. Sie können jederzeit form- und kostenlos für die Zukunft widersprechen. Details in der Datenschutzerklärung.