IT/Datenschutz
Europäische Datenschutzaufsichtsbehörden bewerten Google Analytics (alte Version) als datenschutzwidrig.
Die österreichische und französische Datenschutzaufsichtsbehörde haben Google Analytics als datenschutzwidrig bewertet. Diese Einschätzung bezieht sich aber auf die alte Version von Google Analytics. Wie sich diese Entscheidungen der Datenschutzaufsichtsbehörden auf die Datenschutzkonformität der derzeitigen Version von Google Analytics auswirkt, bleibt abzuwarten.
Als erste Behörde hat die österreichische Datenschutzaufsichtsbehörde (DSB) vor zwei Wochen in ihrer Entscheidung festgestellt, dass die Einbindung von Google Analytics (alte Version) rechtswidrig und mit der Datenschutzgrundverordnung (DS-GVO) nicht vereinbar ist. Grund sei die Übermittlung personenbezogener Daten durch Google Analytics an Google LLC mit Sitz in den USA. Die von Google verwendeten Standardvertragsklauseln böten laut der DSB aufgrund des „Foreign Intelligence Surveillance Act“ (FISA) keinen ausreichenden Schutz vor dem Zugriff durch US-Nachrichtendienste. Die Argumentation der DSB beruht damit auf dem prominenten "Schrems II"-Urteil, in dem der EuGH den transatlantischen "Privacy Shield" und damit eine der wichtigsten Grundlagen für den Transfer von Kundendaten, mit ähnlicher Argumentation, in die USA für ungültig erklärt hat.
Die österreichische Entscheidung zu Google Analytics wirft darüber hinaus Fragen zum Thema IP-Anonymisierung auf. Wenn diese Funktion aktiviert ist, wird die IP-Adresse anonymisiert. Auf der Webseite, welche durch die österreichische Datenschutzaufsichtsbehörde überprüft wurde, war die Funktion wegen eines Konfigurationsfehlers des Anwenders jedoch nicht aktiv. Insofern fand durch die Behörde auch keine Beantwortung der Frage statt, inwieweit die IP-Anonymisierung als Möglichkeit genutzt werden kann, um Google Analytics datenschutzkonform zu betreiben. Die Frage bleibt somit in der Praxis umstritten.
In selber Weise hat die französische Datenschutzaufsichtsbehörde CNIL auf Beschwerde der Organisation NOYB - Europäisches Zentrum für digitale Rechte aufgrund des Datentransfer in die USA entschieden und einen Stopp der Nutzung von Google Analytics angeordnet.
Weiterhin ist zu erwähnen, dass bereits andere EU-Länder ein Verbot von Google Analytics prüfen, so z.B. die Niederlande oder Norwegen.
Beurteilung
- Es handelt sich um noch nicht rechtskräftige Entscheidungen aus Österreich und Frankreich für dort gelagerte Einzelfälle. Es bleibt erst abzuwarten, ob die Entscheidungen der Behörden rechtskräftig werden oder ob sich gerichtliche Verfahren anschließen.
- Die Entscheidungen betreffen zunächst nur die alte Version von Google Analytics, bei der noch Google LLC in den USA und nicht wie in der aktuellen Version die Google Ireland Limited Vertragspartner war.
- Eine pauschale Aussage, die Einbindung von Google Analytics auf Webseiten in der EU sei per se unzulässig, lässt sich derzeit noch nicht treffen.
Handlungsempfehlungen
- Prüfen Sie, ob Google Analytics in Ihrem Unternehmen wirklich gebraucht wird oder Alternativen aus der EU wie etwa „eTracker“ oder „Matomo“ in Frage kommen.
- Sollten Sie Google Analytics dennoch weiter nutzen wollen, lassen Sie prüfen, ob Sie eine wirksame Cookie-Einwilligung einholen, die datenschutzkonformsten Einstellungen erfolgt sind (IP-Anonymisierung und Deaktivierung der Datenfreigabefunktion an Google) und die Datenschutzerklärung auf dem aktuellen Stand ist.
- Sofern noch nicht geschehen - schließen Sie einen Vertrag zur Auftragsverarbeitung (mit den Standardvertragsklauseln) ab.