IT/Datenschutz
Update zum Einsatz von Google Analytics – DSB legt mit zweiter Entscheidung nach
Wie im HEUSSEN Blog Beitrag vom 17.02.2022 berichtet, hat die österreichische Datenschutzaufsichtsbehörde (DSB) bereits in ihrer ersten Entscheidung festgestellt, dass die Einbindung von Google Analytics (in der alten Version) rechtswidrig und mit der Datenschutz-Grundverordnung (DS-GVO) nicht vereinbar ist.
Nun hat die DSB eine zweite Entscheidung getroffen, in der sie sogar noch weiter geht.
Die Datenschutzaufsichtsbehörde stellt nun in aller Deutlichkeit klar, dass die IP-Anonymisierung von Google keine ausreichende Schutzmaßnahme für eine Übermittlung personenbezogener Daten aus der Europäischen Union in die Vereinigten Staaten darstellt. Dies liegt vor allem in der Tatsache begründet, dass die Daten erst nach ihrer Übermittlung in die USA anonymisiert werden, womit ein Zugriff durch US-Behörden nicht ausgeschlossen werden kann.
Die Datenschutzaufsichtsbehörde lehnte zudem den von Google vertretenen "risikobasierten Ansatz" ab. Insofern ist der bloße Abschluss der sog. Standardvertragsklauseln (SCC) für eine datenschutzkonforme Übermittlung personenbezogener Daten in die USA nicht ausreichend und es müssen zwingend zusätzliche Maßnahmen getroffen werden. Die Aufsichtsbehörde hält die zum damaligen Zeitpunkt getroffenen Maßnahmen für nicht ausreichend.
Dennoch ist festzuhalten, dass hier wiederum die alte Version von Google Analytics (vom 14. August 2020) bewertet wurde. Es bleibt also weiterhin abzuwarten, welche Richtung die europäischen Datenschutzaufsichtsbehörden im Fall Google Analytics einschlagen werden. Wir werden weiterhin das Geschehen beobachten und aktuell berichten.