Datenschutzbehörde: Einsatz von Google Analytics ist DSGVO-Verstoß
Von Timo Schutt 14. Februar 2022Französische CNIL sieht Einsatz von Google Analytics als Verstoß gegen DSGVO
Bei Google Analytics dürfte es sich um das am weitesten verbreitete Tracking-Tool auf Webseiten handeln. Kein Wunder, denn immerhin ist das Tool kostenlos einsetzbar. Und Google als Anbieter kann Daten ohne Ende liefern. Die Analyse ist also sehr feingranular möglich. Google macht das natürlich nicht ohne Hintergedanken: Denn die anfallenden Daten verarbeitet Google auch für seine eigenen Zwecke. Und da kommen wir zu des Pudels Kern. Denn wir haben einen Dritten im Spiel, nämlich Google, der personenbezogene Daten zu eigene Zwecken auf US-Servern weiterverarbeitet.
Aus diesem Grund sagt die französische Datenschutzbehörde CNIL jetzt ganz deutlich: Die Verwendung von Google Analytics ist nicht mit der DSGVO vereinbar. Dies gilt nach einer Entscheidung der CNIL immer dann, wenn das Tool auf Webseiten mit europäischen Besuchern zum Einsatz kommt.
Schutzmaßnahmen bei Google Analytics unzureichend
Die von Google ergriffenen Schutzmaßnahmen reichen nach dieser Entscheidung nicht aus, um zu verhindern, dass US-Geheimdienste Zugriff auf die erhobenen Daten haben. Daher verstoße der Einsatz des Programms gegen die Regelungen der DSGVO zur Datenübermittlung. Im zugrunde liegenden Fall hat die CNIL den Betreiber einer französischen Webseite angewiesen, künftig ein anderes Tool für die Webanalyse zu nutzen, sodass keine persönlichen Daten mehr in die USA transferiert würden. Es böten sich hier beispielsweise Dienste an, die mit anonymen statistischen Daten arbeiten, so die CNIL.
Problem des US-Datentransfers
Hintergrund ist das Schrems-II-Urteil vom Juli 2020, mit dem der EuGH das so genannte “Privacy Shield” gekippt hatte. Dieses US-EU-Abkommen sollte als “Schutzschild” bei Übertragungen personenbezogener Daten in die USA ein angemessenes Datenschutzniveau gewährleisten. Nach dem EuGH-Urteil gilt das Privacy Shield als unwirksam. Einen neuen Mechanismus zwischen der EU und den USA gibt es bis dato nicht. US-Datentransfers können auch bei Nutzung der neuen EU-Standarddatenschutzklauseln nicht zu 100% rechtssicher gestaltet werden.
Weitere Datenschutzbehörden folgen
Auch die österreichische Datenschutzbehörde DSB hat im Dezember 2021 bereits ähnlich wie die CNIL entschieden (Entscheidung vom 22.12.2021). Die niederländische Datenschutzbehörde hat einen Beschluss gegen Google Analytics angekündigt. In fast allen Mitgliedstaaten sind Musterbeschwerden anhängig, die der Jurist Max Schrems und sein Datenschutzverein Noyb nach der EuGH-Entscheidung eingereicht haben.
Mein Fazit
Es ist damit zu rechnen, dass alle Datenschutzbehörden zu demselben Ergebnis kommen: Es gibt keine rechtssichere Möglichkeit, Tools wie Google Analytics in der EU einzusetzen. Denn die Ausgangslage ist soweit klar: Selbst, wenn mit Google die Standarddatenschutzklauseln vereinbart werden, müssen zusätzliche Maßnahmen ergriffen werden, die im Ergebnis jedoch die Rechtslage in den USA nicht ändern können. Denn diese besagt, dass US-Behörden (vor allem die Geheimdienste) ohne ausreichendes Rechtsschutzverfahren Daten – auch von EU-Bürgern – anfordern und einsehen können. Das gilt selbst dann, wenn die Daten außerhalb der USA, also bspw. in der EU, gespeichert werden (so genannter Cloud-Act).
Es bleibt nur der Rat: Suchen Sie sich – nicht nur für die Analyse der Webseitenbesucher – EU-Anbieter aus. Der Tipp gilt für alle Verarbeitungen personenbezogener Daten. Alles, was außerhalb der EU passiert, ist per se gefährlich. In den USA ist das Datenschutzniveau bekanntermaßen nicht ausreichend. Daher sind US-Anbieter auf jeden Fall in diesem Sinne problematisch. Das hat auch das kürzlich ergangene Urteil zur Nutzung von Cookiebot gezeigt.
Timo Schutt
Rechtsanwalt und Fachanwalt für IT-Recht
Datenschutzbeauftragter