Französische Datenschutzbehörde: Nutzung von Google Analytics in der EU rechtswidrig

21. Februar 2022

Ende letzten Jahres hat die österreichische Datenschutzaufsichtsbehörde den Einsatz von Google Analytics wegen Verstoßes gegen die Datenschutz-Grundverordnung (DS-GVO) für unzulässig erklärt. Die französische Datenschutzaufsichtsbehörde CNIL hat sich dem nun angeschlossen. Es zeichnet sich ein Trend ab, der auch deutsche Webseiten-Betreiber zum Handeln veranlasst.

(Kein) Transfer personenbezogener Daten in die USA

2020 hatte der Europäische Gerichtshof (EuGH) das sog. „Privacy Shield“ mit seinem Urteil Schrems II aufgehoben (wir berichteten). Seitdem fehlt es an einem Angemessenheitsbeschluss der Europäischen Kommission. Das heißt, die USA gelten nicht mehr als sicheres Drittland für den Transfer von personenbezogenen Daten, da die dortigen nationalen Gesetze eine Massenüberwachung zulassen und auch sonst keinen Datenschutz gewährleisten, der mit dem Niveau der EU vergleichbar ist. Deshalb erfordern Datenübermittlungen in die USA geeignete Garantien im Sinne der Art. 44 ff. DS-GVO, um ein angemessenes Datenschutzniveau herzustellen. Nach dem Urteil des EuGH reichte die Datenschutzorganisation NOYB in der ganzen EU zahlreiche Beschwerden wegen der Übermittlung personenbezogener Daten in die USA ein.

Beim Einsatz von Google Analytics erfolgt regelmäßig ein Transfer von personenbezogenen Daten in die USA. In Frankreich wurde nun ein Webseitenbetreiber wegen der Nutzung von Google Analytics zurechtgewiesen. Die CNIL hat festgestellt, dass die seitens Google ergriffenen zusätzlichen Maßnahmen nicht ausreichten, um den Zugang der US-Geheimdienste auf die Daten auszuschließen. Nach Ansicht der französischen Datenschutzbehörde könne Google Analytics daher aktuell nicht rechtmäßig genutzt werden. Deshalb müsse die Verwendung des Analyse-Tools eingestellt werden bzw. ein anderes Tool verwendet werden, das gerade keine Datenübertragung in die USA vorsieht. Die CNIL empfiehlt, Publikumsmessungs- und -analysedienste nur zu verwenden, um anonyme statistische Daten zu erstellen und dabei sicherzustellen, dass keine unzulässige Datenübertragung stattfindet.

Die Brisanz des Themas „Datentransfer in die USA“ verdeutlicht außerdem die kürzliche Warnung des hinter Facebook und Whatsapp stehenden Meta-Konzerns vor einem Abschalten ihrer Dienste in der EU wegen der strengen europäischen Datenschutzvorgaben.

Dienste kritisch prüfen

Zwar hat die aktuelle Entscheidung der französischen Datenschutzbehörde keinen unmittelbaren Einfluss auf deutsche Webseiten-Betreiber, es zeichnet sich aber ein deutlicher Trend ab, der eine entsprechende Entscheidung in Deutschland immer wahrscheinlicher macht. Angesichts der Tatsache, dass NOYB auch in Deutschland Beschwerden eingelegt hat, sollten deutsche Webseitenbetreiber ebenfalls den Einsatz von Google Analytics überprüfen. Die Entscheidung der CNIL kann darüber hinaus problemlos auf die Nutzung sonstiger Tools übertragen werden, bei denen personenbezogene Daten in die USA übertragen werden. Auch die Nutzung dieser Dienste sollte kritisch überprüft werden.

Ansprechpartner*innen: Nils Langeloh/Alexander Bartsch/Thomas Schmeding

Share
Weiterlesen

02 Mai

Europäischer Emissionshandel: Weniger als 8 Wochen, um kostenlose Zuteilungen für 2026 bis 2030 zu sichern

Anlagenbetreiber aufgepasst: Am 21.6.2024 endet die Antragsfrist für kostenlose Zuteilungen von Emissionszertifikaten. Spätestens jetzt sollte die Vorbereitung der Antragsunterlagen mit voller Kraft laufen, da externe Prüfer diese vor Einreichung noch verifizieren müssen. Und wie berichtet ergeben sich gegenüber dem letzten...

Weiterlesen

30 April

Das Solarpaket I ist da: Wichtige Neuerungen im Überblick

Am vergangenen Freitag haben Bundestag und Bundesrat das Solarpaket I beschlossen. Nachdem das Gesetz eigentlich noch in 2023 verabschiedet werden und am 01.01.2024 in Kraft treten sollte, wird es nun voraussichtlich im Mai wirksam werden. Nur ein kleiner Teil des...

Weiterlesen