UPDATE: CNIL Entscheidung: EU-US Datenübermittlung an Google Analytics illegal

10 Feb 2022

UPDATE: Auch für CNIL Datenübertragung an Google Analytics rechtswidrig

Nur zwei Wochen nach der bahnbrechenden Entscheidung der österreichischen Datenschutzbehörde, dass die kontinuierliche Nutzung von Google Analytics gegen die DGSGVO verstößt, folgt die französische Datenschutzbehörde (CNIL) dieser Entscheidung und ordnet an, dass ein französischer Websitebetreiber die Nutzung von Google Analytics stoppen muss. Mittlerweile sind solche Anordnungen an zwei weitere Websitebetreiber ergangen. Alle Entscheidungen stützen sich auf die 101 Musterbeschwerden von noyb, die nach dem Urteil des Europäischen Gerichtshofs zur Ungültigkeit des Privacy Shield eingereicht wurden. noyb erwartet ähnliche Entscheidungen der anderen Behörden

2020: EuGH-Urteil trifft erste Unternehmen. Im Juli 2020 hat der EuGH sein "Schrems II"-Urteil verkündet, in dem er feststellt, dass eine Übermittlung an US-Provider, die unter FISA 702 und EO 12.333 fallen, gegen die Exportverbote für Daten in der DSGVO verstößt. Der EuGH erklärte daraufhin das "Privacy Shield" für ungültig, nachdem dieser bereits das vorherige System ("Safe Harbor") im Jahr 2015 für ungültig erklärt hatte. Während sich IT-Unternehmen zuerst schockiert gaben, haben US-Anbieter und EU-Unternehmen die Entscheidung weitgehend ignoriert. Genau wie Microsoft, Facebook oder Amazon hat sich Google auf sogenannte "Standardvertragsklauseln" verlassen, um den Datentransfer fortzusetzen und seine europäischen Geschäftspartner zu beruhigen.

Max Schrems, Vorsitzender von noyb.eu: "Die verschiedenen europäischen Datenschutzbehörden kommen alle zu demselben Schluss: Die Verwendung von Google Analytics ist illegal. Die europäischen Behörden koordinieren die Entscheidungen in einer Task Force und wir gehen davon aus, dass andere Behörden bald ähnlich entscheiden werden."

Die Entscheidung ist für fast alle EU-Websites relevant. Google Analytics ist das am weitesten verbreitete Statistikprogramm. Obwohl es viele Alternativen gibt, die in Europa gehostet werden oder selbst gehostet werden können, verlassen sich viele Websites auf Google und übermitteln damit ihre Nutzerdaten an den US-Multi. Ebenso werden viele andere US-Dienste genutzt, die einen Zugriff durch US-Geheimdienste ermöglichen. Die Tatsache, dass die Behörden nun nach und nach US-Dienste für illegal erklären könnten, erhöht den Druck auf EU-Unternehmen und US-Provider, auf sichere und legale Optionen zu setzen. Hier ist vor allem die Verarbeitung ohne faktischen Zugriff von US-Unternehmen wichtig.

Langfristige Lösung. Langfristig scheint es zwei Möglichkeiten zu geben: Entweder bieten US-Gesetze besseren Datenschutz für Ausländer um die US-Industrie zu unterstützen, oder US-Anbieter müssen ausländische Daten außerhalb der Vereinigten Staaten verarbeiten.

Max Schrems:"Langfristig brauchen wir entweder einen angemessenen Datenschutz in den USA, oder wir werden am Ende getrennte Produkte für die USA und die EU haben. Ich persönlich würde einen besseren Schutz in den USA bevorzugen, aber das ist Sache des US-Gesetzgebers."