Der Europäische Datenschutzbeauftragte (EDSB) hat in einer Entscheidung vom 05.01.2022 festgestellt, dass das EU-Parlament gegen die Datenschutzgrundverordnung (DSGVO) verstößt. Dabei geht es um den Einsatz von Google Analytics und eines Tools des US-Payment-Anbieters Stripes auf der Webseite des EU-Parlaments.

Der EDSB hat das EU-Parlament aufgefordert, die Rechtsverletzungen innerhalb eines Monats zu beseitigen. Auf der Webseite des EU-Parlaments, auf der COVID-19-Tests bestellt werden konnten, wurde das Analyse-Werkzeug Google Analytics und das Tool des US-Payment-Anbieters Stripes eingesetzt. Beides verstoße gegen die DSGVO und sei daher rechtswidrig, so der EDSB.

Was der EDSB bemängelt

Im Einzelnen habe das EU-Parlament folgende Vorschriften der VO (EU) 2018/1725 verletzt:

• Art. 26 Abs. 1 und Art. 29 Abs. 1 VO (EU) 2018/1725, da das Parlament seinen Pflichten als Verantwortlicher nicht nachgekommen ist, indem es einen Auftragsverarbeiter eingesetzt hat, der keine hinreichenden Garantien für die Umsetzung geeigneter technischer und organisatorischen Maßnahmen getroffen hat. Diese Pflichten finden sich ebenso in Artikel 24 Absatz 1 und Artikel 28 Absatz 1 DSGVO.

• Art. 29 Abs. 3 VO (EU) 2018/1725, indem das Parlament es versäumt hat, die dem Auftragsverarbeiter erteilten Anweisungen für die Einrichtung und den Betrieb der Website zu dokumentieren. Diese Verpflichtung findet sich auch in Artikel 28 Absatz 3 DSGVO.

• Art. 4 Abs. 1 lit. a und Art. 14, Art. 4 Abs. 2 und Art. 15 VO (EU) 2018/1725 wegen Nichtbeachtung des Grundsatzes der Transparenz, der Rechenschaftspflicht und des Rechts der betroffenen Personen auf Information auf Grund von unzutreffenden Datenschutzinformationen und verwirrenden Cookie-Bannern auf der Website. Korrespondierende Pflichten findet sich in Artikel 5 Absatz 1 und 2 DSGVO sowie Artikel 12 DSGVO und Artikel 13 DSGVO.

• Art. 46 und Art. 48 Abs. 2 lit. b VO (EU) 2018/1725, da für die in die USA übermittelten personenbezogenen Daten kein angemessenes Schutzniveau gewährleistet wurde. Vergleichbare Bestimmungen sind Artikel 44 DSGVO und Artikel 46 Absatz 2 Buchstabe c DSGVO.

• Art. 37 iVm Art. 5 Abs. 3 RL 2002/58/EG, da das Parlament es versäumt hat, die Informationen (die Cookies) zu schützen, die an die Endgeräte der Nutzer übermittelt, dort gespeichert, mit ihnen in Verbindung gebracht, von ihnen verarbeitet und von ihnen erhoben werden. Eine gleichwertige Verpflichtung zum Schutz der Privatsphäre bei Endeinrichtungen finden sich in § 25 TTDSG.

• Art. 17 und Art. 14 Abs. 4 VO (EU) 2018/1725, da das Parlament es versäumt hat, den Auskunftsantrag der betroffenen Personen fristgerecht zu beantworten. Diese Verpflichtung ist vergleichbar mit Artikel 15 DSGVO und Artikel 12 Absatz 4 DSGVO.

(Quelle: ZD-Aktuell 2022, 00023, beck-online)

Mein Fazit

Mittlerweile dürfte klar sein, dass der Einsatz von Google Analytics nach DSGVO unzulässig ist, weil Google keine ausreichenden Garantien zur Erreichung eines vergleichbaren Datenschutzniveaus anbietet. Solange nicht zusätzliche Maßnahmen von Google zugesagt werden, die über den Schutz der EU-Standardvertragsklauseln hinausgehen, wäre damit jedwede Nutzung des beliebten Analyse-Tools in der EU nicht mehr möglich.

Wenn Sie aktuelle Google Analytics einsetzen, ist zu empfehlen, dass Sie sich mit mir zur Abstimmung des weiteren Vorgehens in Verbindung setzen.

Timo Schutt
Fachanwalt für IT-Recht
Externer Datenschutzbeauftragter