Französische Datenschutzbehörde: Nutzung von Google Analytics in der EU rechtswidrig

F
Download PDF

Ende letzten Jahres hat die österreichische Datenschutzaufsichtsbehörde den Einsatz von Google Analytics wegen Verstoßes gegen die Datenschutz-Grundverordnung (DS-GVO) für unzulässig erklärt. Die französische Datenschutzaufsichtsbehörde CNIL hat sich dem nun angeschlossen. Es zeichnet sich ein Trend ab, der auch deutsche Webseiten-Betreiber zum Handeln veranlasst.

(Kein) Transfer personenbezogener Daten in die USA

2020 hatte der Europäische Gerichtshof (EuGH) das sog. „Privacy Shield“ mit seinem Urteil Schrems II aufgehoben (wir berichteten). Seitdem fehlt es an einem Angemessenheitsbeschluss der Europäischen Kommission. Das heißt, die USA gelten nicht mehr als sicheres Drittland für den Transfer von personenbezogenen Daten, da die dortigen nationalen Gesetze eine Massenüberwachung zulassen und auch sonst keinen Datenschutz gewährleisten, der mit dem Niveau der EU vergleichbar ist. Deshalb erfordern Datenübermittlungen in die USA geeignete Garantien im Sinne der Art. 44 ff. DS-GVO, um ein angemessenes Datenschutzniveau herzustellen. Nach dem Urteil des EuGH reichte die Datenschutzorganisation NOYB in der ganzen EU zahlreiche Beschwerden wegen der Übermittlung personenbezogener Daten in die USA ein.

Beim Einsatz von Google Analytics erfolgt regelmäßig ein Transfer von personenbezogenen Daten in die USA. In Frankreich wurde nun ein Webseitenbetreiber wegen der Nutzung von Google Analytics zurechtgewiesen. Die CNIL hat festgestellt, dass die seitens Google ergriffenen zusätzlichen Maßnahmen nicht ausreichten, um den Zugang der US-Geheimdienste auf die Daten auszuschließen. Nach Ansicht der französischen Datenschutzbehörde könne Google Analytics daher aktuell nicht rechtmäßig genutzt werden. Deshalb müsse die Verwendung des Analyse-Tools eingestellt werden bzw. ein anderes Tool verwendet werden, das gerade keine Datenübertragung in die USA vorsieht. Die CNIL empfiehlt, Publikumsmessungs- und -analysedienste nur zu verwenden, um anonyme statistische Daten zu erstellen und dabei sicherzustellen, dass keine unzulässige Datenübertragung stattfindet.

Die Brisanz des Themas „Datentransfer in die USA“ verdeutlicht außerdem die kürzliche Warnung des hinter Facebook und Whatsapp stehenden Meta-Konzerns vor einem Abschalten ihrer Dienste in der EU wegen der strengen europäischen Datenschutzvorgaben.

Dienste kritisch prüfen

Zwar hat die aktuelle Entscheidung der französischen Datenschutzbehörde keinen unmittelbaren Einfluss auf deutsche Webseiten-Betreiber, es zeichnet sich aber ein deutlicher Trend ab, der eine entsprechende Entscheidung in Deutschland immer wahrscheinlicher macht. Angesichts der Tatsache, dass NOYB auch in Deutschland Beschwerden eingelegt hat, sollten deutsche Webseitenbetreiber ebenfalls den Einsatz von Google Analytics überprüfen. Die Entscheidung der CNIL kann darüber hinaus problemlos auf die Nutzung sonstiger Tools übertragen werden, bei denen personenbezogene Daten in die USA übertragen werden. Auch die Nutzung dieser Dienste sollte kritisch überprüft werden.

Ansprechpartner*innen: Nils Langeloh/Alexander Bartsch/Thomas Schmeding/Nina Schöner

Folgen Sie uns auf Twitter

Kategorien

Archive

BBH Almanach

Materialien für Praktiker im
Energie-, Infrastruktur- und öffentlichem Sektor aus Wirtschaft, Recht und Steuern

Veranstaltungskalender