Skip to main content

Bedeutet die Schrems II-Entscheidung, dass Google Analytics nicht DSGVO konform ist?

Für viele Unternehmen in der EU und den USA kam 2022 eine weitere Krise hinzu, die es zu bewältigen galt: die Folgemaßnahme zu Schrems II, in der erklärt wurde, dass Google Analytics nicht DSGVO-konform ist.

Was ist Schrems II?

Das Urteil in der Rechtssache Datenschutzbeauftragter gegen Facebook Irland und Maximillian Schrems, auch bekannt als Schrems II, wurde am 16. Juli 2020 gefällt. Kurz gesagt, die Entscheidung des Europäischen Gerichtshofs annullierte das EU-US Privacy Shield, das Abkommen, das die Schutzanforderungen für die in die USA übermittelten personenbezogenen Daten von EU-Bürgern festlegte.

Dieser Fall stellte die DSGVO-konforme Nutzung von Servern, die sich im Besitz der USA befinden und von diesen betrieben werden, in Frage, da personenbezogene Daten aus der EU an Facebook-Cloud-Server in den USA gesendet wurden und - gemäß dem CLOUD Act, dem US Foreign Intelligence Surveillance Act und anderen behördlichen Richtlinien - von US-Geheimdiensten eingesehen werden konnten. Kurz gesagt, die personenbezogenen Daten von EU-Bürgerinnen und -Bürgern sind nicht angemessen gemäß der Datenschutz-Grundverordnung geschützt, wenn sie auf die Server von US-Unternehmen übertragen werden.

Schrems II Entscheidung in Österreich

Nach der Schrems-II-Entscheidung reichte die von Max Schrems gegründete gemeinnützige Organisation noyb (European Center for Digital Rights) 101 Beschwerden gegen verschiedene Unternehmen ein, die die Daten von EU-Bürgern an US-Firmen weitergegeben hatten. Eine dieser Beschwerden richtete sich gegen netdocktor.at, eine Gesundheits-Webseite, die Google Analytics zur Verfolgung von Webseiten-Besuchern verwendete. Wie viele andere Unternehmen nutzte netdoktor Google Analytics trotz der Entscheidung des Europäischen Gerichtshofs weiter. Google und andere US-amerikanische Unternehmen (Amazon, Facebook, Microsoft usw.) haben sich auf Standardvertragsklauseln (SCCs) und technische und organisatorische Maßnahmen (TOMs) verlassen, um die EU-Partner davon zu überzeugen, dass ihre physischen und digitalen Schutzmaßnahmen (Zäune um Rechenzentren, Datenverschlüsselung, pseudonyme Daten usw.) ausreichen, um ihre Daten zu schützen.

 

Im Fall von netdoktor hat die österreichische Datenschutzbehörde ("DSB") jedoch entschieden, dass dies nicht ausreicht. Google Analytics verstößt gegen die DSGVO. Sie erklären:

"Im Hinblick auf die dargestellten vertraglichen und organisatorischen Maßnahmen ist nicht ersichtlich, inwieweit [die Maßnahme] im Sinne der obigen Ausführungen wirksam ist."

"Hinsichtlich der technischen Maßnahmen ist ebenfalls nicht erkennbar (...), inwieweit [die Maßnahme] den Zugriff durch US-Geheimdienste unter Berücksichtigung des US-Rechts tatsächlich verhindern oder einschränken würde."

Aufgrund dieser Entscheidung glauben viele Experten, dass dies erst der Anfang ist. Es gibt noch viele Beschwerden, die darauf warten, vor Gericht verhandelt zu werden, und es wird erwartet, dass andere EU-Mitgliedstaaten ähnliche Entscheidungen treffen werden.

Das DSB erklärte in seiner Entscheidung auch, dass es weitere Untersuchungen gegen Google im Hinblick auf die Regeln für die Datenübermittlung an die US-Regierung ohne die ausdrückliche Zustimmung des EU-Datenexporteurs durchführen wird.

Es wurden in diesem Fall noch keine Strafen verhängt, aber wenn das Gericht dies beschließt, könnten sie bis zu 4 % des weltweiten Umsatzes eines Unternehmens betragen.

Auswirkungen auf Google Analytics-Nutzer

Wir sind keine Juristen und können keine Rechtsberatung anbieten, aber es scheint, dass jedes Unternehmen, das die Daten von EU-Bürgern über Dienste verarbeitet, die von in den USA ansässigen Unternehmen bereitgestellt werden, einem Risiko ausgesetzt ist. Was die Webanalyse angeht, ist Google Analytics die Nummer eins in der Welt, aber es gibt noch viele andere, bei denen man vorsichtig sein muss. Prüfen Sie immer, wo das Unternehmen seinen Sitz hat und wo sich seine Rechenzentren befinden.

Langfristig bedeutet dies, dass die US-Regierung und die US-Anbieter ihre derzeitige Politik und Infrastruktur massiv ändern müssen: Verabschiedung von Gesetzen zum Schutz der Daten ausländischer Bürger und Hosting ausländischer Daten außerhalb der USA. Die Europäische Kommission ist bestrebt, einen Ersatz für den EU-US-Datenschutzschild zu finden, doch gibt es derzeit keine rechtliche Handhabe dafür. Die Verhandlungen sind im Gange, erfordern aber noch rechtliche Änderungen auf der US-Seite. Angesichts des derzeitigen politischen und wirtschaftlichen Klimas scheint dies in absehbarer Zukunft unwahrscheinlich.

Die Zukunft der Webanalysedaten

Da das Gericht zu dem Schluss gekommen ist, dass Google Analytics nicht DSGVO-konform ist, was Google in einer kürzlich abgegebenen Erklärung bestritten hat, stellt sich die Frage, an wen sich Unternehmen wenden können, um sichere und risikoarme Webanalysedaten zu erhalten. Der erste Schritt wäre, in der EU ansässige Unternehmen zu recherchieren, die IP-Anonymisierung verwenden, die keine Nutzerdaten speichern und die mit der DSGVO, TTDSG, CCPA und anderen Datenschutzgesetzen konform sind - wie Visitor Analytics!

Die vollständige DSB-Entscheidung in deutscher Sprache finden Sie hier.