Laut der österreichischen Datenschutzbehörde (DSB) ist der Einsatz von Google Analytics auf Websites in der Europäischen Union nicht konform mit der Datenschutz-Grundverordnung (DSGVO). Der DSB sieht vor allem einen Verstoß gegen die allgemeinen Grundsätze der Datenübermittlung nach Art. 44 DSGVO, da personenbezogene Nutzerinformationen unter Einsatz von Statistiksoftware an die Konzernzentrale von Google in den USA weitergegeben werden.
mit jetzt Posten Sie eine Teilentscheidung Die DSP reagiert damit auf eine im August 2020 eingereichte Musterklage des Datenschutzvereins Neuep, der von Rechtsanwalt und Aktivist Max Schrems gegründet wurde. Der Eintrag bezog sich zunächst auf einen österreichischen Verlag, der Google Analytics integriert hatte. DSP wies eine weitere Klage gegen Google selbst ab.
Es gibt kein „angemessenes Schutzniveau“
Der DSB begründete seine Entscheidung des Seitenbetreibers damit, dass er über das Statistik-Tool personenbezogene Daten des Beschwerdeführers an Google übermittelte. Dazu gehörten eindeutige Benutzeridentifikationsnummern, IP-Adressen und Browserparameter. Die Standardvertragsklauseln von Google bieten kein „angemessenes Schutzniveau“, um „die Möglichkeiten der Überwachung und des Zugriffs durch US-Geheimdienste“ nach dem Foreign Intelligence Surveillance Act (FISA) auszuschließen.
Google hat sich zuvor dagegen ausgesprochen, „technische und organisatorische Maßnahmen“ („TOMs“) im Rahmen von Standarddatenschutzklauseln zu ergreifen, wie etwa Verschlüsselungstechniken, Zäune um Rechenzentren und Überprüfung von Anfragen von Behörden. Das DSB bewertet diese Aktionen jedoch als weitgehend nutzlos im Vergleich zu den Behauptungen von Geheimdiensten wie der National Security Agency oder der Polizeibehörde des FBI.
Hintergrund der Entscheidung ist das „Schrems II“-Urteil des Europäischen Gerichtshofs (EuGH) vom Sommer 2020, der ein transatlantisches „Privacy Shield“ und damit eine der wichtigsten Regeln für die Übermittlung von Kundendaten ausgerufen hat die Vereinigten Staaten für ungültig. Luxemburgische Richter stellten fest, dass US-Gesetze wie der Foreign Intelligence Surveillance Act (FISA) oder der Cloud Act eine Massenüberwachung durch Sicherheitsbehörden erlauben und dass der US-Datenschutzstandard nicht mit dem der Europäischen Union vereinbar ist.
Standard-Haltestock
Die EU-Kommission hat daraufhin versucht, die Standardvertragsklauseln als alternatives Datenübermittlungsinstrument an die Rechtsprechung des Europäischen Gerichtshofs anzupassen und Anfang Juni die Neufassung veröffentlicht. Google hat diese überarbeiteten Richtlinien im September 2021 für seine eigenen Cloud-Dienste implementiert. Das Unternehmen kündigte zudem an, sich stärker auf die Verschlüsselung zu konzentrieren.
Schrems hält diese Vorkehrungen für nicht ausreichend. Kritisieren: „Anstatt ihre Dienste technisch so anzupassen, dass sie DSGVO-konform sind, haben US-Unternehmen einfach versucht, ihren Datenschutzrichtlinien einen Text hinzuzufügen und den EuGH zu ignorieren. Viele EU-Unternehmen sind diesem Beispiel gefolgt, anstatt sich auf einen legitimen Dienstwechsel zu verlassen.“ Für den Noyb-Gründer lautet die Quintessenz der DSB-Entscheidung: „EU-Unternehmen können keine US-Cloud-Dienste mehr nutzen.“
Die Europäische Union gegen die amerikanische Cloud
Schrems sieht Betreiber vieler Webseiten in der Europäischen Union betroffen, da Google Analytics immer noch die am weitesten verbreitete Statistik-Software ist. Obwohl es viele Alternativen gibt, die in Europa gehostet oder auf eigenen Servern betrieben werden können, setzen viele Administratoren immer noch auf den US-Konzern. Insgesamt hat Noeb 101 ähnliche Beschwerden in fast allen EU-Ländern eingereicht. Shremes geht also davon aus, dass auch dort schrittweise ähnliche Entscheidungen getroffen werden.
Erst vergangene Woche stellte der EU-Datenschutzbeauftragte Wojciech Wiewiórowski klar, dass der Einsatz von Google Analytics und des Zahlungsanbieters Stripe durch das Europäische Parlament im Widerspruch zum „Schrems II“-Urteil steht. Das Verwaltungsgericht Wiesbaden hatte zuvor auf Grundlage der Primärentscheidung des Europäischen Gerichtshofs einer Universität untersagt, einen „Cookiebot“ auf ihrer Website zu integrieren und damit Daten in die USA zu übermitteln.
Noyb ist nicht zufrieden damit, dass DSB die Beschwerde gegen Google als Datenempfänger in den Vereinigten Staaten abgewiesen hat. Wir erwägen, gegen diesen Teil der Entscheidung vorzugehen. Gleichzeitig teilte die Aufsichtsbehörde jedoch mit, dass das Gerichtsverfahren gegen Google wegen möglicher Verstöße gegen andere Artikel der Datenschutz-Grundverordnung andauert. Dazu wird es voraussichtlich einen gesonderten Beschluss geben.
(vbr)