Am 22. Dezember 2021 hat die österreichische Datenschutzbehörde entschieden:

„Nach Auffassung der Datenschutzbehörde kann das Tool Google Analytics (jedenfalls in der Version vom 14. August 2020) somit nicht in Einklang mit den Vorgaben von Kapitel V DSGVO genutzt werden.“

Die Entscheidung des österreichischen Datenschutzbeauftragten, der eine Beschwerde gegen eine Website im Zusammenhang mit der Verwendung von Google Analytics bestätigte, verheißt nichts Gutes für die Nutzung von Google Analytics, aber auch von anderen US-Cloud-Diensten in Europa.

Neben den Österreichern beschäftigt sich auch die niederländische Datenschutzbehörde derzeit mit zwei Beschwerden über die Verwendung von Google Analytics in den Niederlanden. Die Untersuchung dazu soll Anfang 2022 abgeschlossen werden, erklärte dazu die Behörde.

[toc]

Die Entscheidung weckt neue Zweifel an der Verwendung von Tools, die die Übermittlung personenbezogener Daten von Europäern zur Verarbeitung in die USA erfordern. Der österreichische Datenschutzbeauftragte stellte fest, dass IP-Adressen und Kennungen in Cookie-Daten personenbezogene Daten von Website-Besuchern sind, was bedeutet, dass diese Übermittlungen unter das EU-Datenschutzrecht fallen.

In diesem speziellen Fall war eine Funktion zur Anonymisierung der IP-Adresse auf der Website nicht ordnungsgemäß implementiert worden. Unabhängig von diesem technischen Detail befand die Aufsichtsbehörde jedoch, dass es sich bei den IP-Adressen um personenbezogene Daten handelt, da sie mit anderen digitalen Daten kombiniert werden können, um einen Besucher zu identifizieren.

Folglich stellte die österreichische Datenschutzbehörde fest, dass die fragliche Website – es handelte sich dabei um netdoktor.at – gegen die Datenschutzverordnung der EU (GDPR) verstoßen hatte, da sie infolge der Implementierung von Google Analytics Besucherdaten in die USA exportiert hatte.

Was hat die Behörde konkret bemängelt?

  • Google könnte je nach Konfiguration von Google Analytics Zugriff auf personenbezogene Daten ohne Zustimmung der Nutzer haben
  • Aufgrund der Überwachungsgesetze in den USA kann Google nicht hinreichend sicherstellen, dass die US-Regierung keinen Zugriff auf personenbezogene Daten erhält
  • Es ist nicht relevant, dass Google möglicherweise zusätzliche Informationen benötigt, um eine Person vollständig zu identifizieren
  • Google selbst kann eine Person identifizieren, da es den Nutzern erlaubt, personalisierte Werbung individuell abzulehnen

Was ist der Hintergrund der Entscheidung?

Im Sommer 2020 wurde das ständige Abkommen zwischen den USA und der EU (bekannt als Privacy Shield) gemäß den GDPR-Vorschriften für ungültig erklärt.

Dies betraf die Übermittlung von Daten aus der EU in die USA. Da das Urteil in Bezug auf die Vertragsklauseln nicht endgültig war, haben viele Unternehmen ihre Verträge nach dem Urteil geändert, um weitere Anfechtungen im Zusammenhang mit der Datenerhebung abzuwehren, indem sie Formulierungen zum Datenschutz einführten.

Im Anschluss an das Urteil haben die österreichischen Datenschutzaktivisten von Nyob mehr als 100 US/EU-Übermittlungsbeschwerden an verschiedene Datenschutzbehörden in Europa gerichtet. Die nun vorliegende Entscheidung der österreichischen Datenschutzbehörde ist das Ergebnis der Auswertung einiger dieser Beschwerden.

Was ist der Standpunkt von Google?

Google sieht die Dinge erwartungsgemäß anders: 

“Google Analytics ist ein Dienst, der von Unternehmen genutzt wird, um zu verstehen, wie ihre Websites und Anwendungen genutzt werden, so dass sie diese besser gestalten können. Es werden keine Personen verfolgt oder Profile von Personen im Internet erstellt.“

Das komplette Statement können Sie hier nachlesen

Was Sie jetzt machen sollten

  1. Obwohl es in diesem speziellen Fall um Google Analytics ging, ist es recht wahrscheinlich, dass auch andere in den USA ansässige Dienste und Plattformen von dieser Entscheidung betroffen sein könnten. Wir raten Unternehmen in der EU deshalb, die Entwicklungen und weiteren Entscheidungen in den kommenden Monaten genau zu beobachten.
  2. Sie sollten die aktuelle Entscheidung aber zum Anlass nehmen, die Anonymisierung der IP-Adresse Ihrer Nutzer sowie die korrekte Implementierung des Consent Banners zu überprüfen.
  3. Stellen Sie so schnell wie möglich auf Server Side Tagging (SST) um. Die Daten können dann in der EU verarbeitet werden, bevor sie in die USA und andere Drittländer gesendet werden. Mit SST haben Sie maximale Kontrolle über die Daten, die an Google Analytics und andere Tools gesendet werden. So können Sie beispielsweise die IP-Adresse innerhalb der EU unkenntlich machen.

Neueste Beiträge