Es ist ein Paukenschlag, der in der Digitalbranche noch lange nachhallen könnte: Nachdem der Datenschutzverein Noyb um den bekannten Datenrechtler Max Schrems eine Musterbeschwerde bei der österreichischen Datenschutzbehörde (DSB) eingelegt hatte, hat diese nun entschieden, dass der Einsatz von Google Analytics nicht mit der DSGVO vereinbar ist. Konkret verstoße die Einbindung des populären Dienstes gegen das sogenannte Schrems II-Urteil des Europäischen Gerichtshofs von 2020. Dieses Urteil besagt, dass US-Anbieter:innen aus der EU keine personenbezogenen Daten in ein Nicht-EU-Land übermitteln dürfen – im Zuge dieser Entscheidung war auch der Privacy Shield zwischen der EU und den USA gekippt worden. Die Datenübermittlung von Google Analytics in die USA hat laut DSB nun „kein angemessenes Schutzniveau gemäß Art. 44 DSVGO“. Eine Beschwerde, die gegen Google direkt eingereicht worden war, lehnte die Behörde unterdessen ab.

Was bedeute das für die Nutzung von Google Analytics?

Seit der Schrems II-Entscheidung des EuGH dürfen US-Unternehmen nur noch dann personenbezogenen Daten aus der EU etwa in die USA übermitteln, wenn sie explizit gültige Standardvertragsklauseln einsetzen. Allerdings wird in vielen Fällen bei Google, Meta und Co. nicht darauf zurückgegriffen. Max Schrems, Vorsitzender von noyb.eu, erklärt auf der Website des Vereins:

Anstatt ihre Dienste technisch so anzupassen, dass sie mit der DSGVO konform sind, haben US-Unternehmen versucht, einfach ein paar Texte in ihre Datenschutzrichtlinien einzufügen und den EuGH zu ignorieren. Viele EU-Unternehmen sind diesem Beispiel gefolgt, anstatt auf legale Dienste zu wechseln.

Technisch-organisatorische Maßnahmen (TOMs), die Google als Datenschutzoptionen angeführt hatte, hat die österreichischen Datenschutzbehörde als nutzlos eingestuft, wenn es um den potentiellen Zugriff der US-Behörden auf die personenbezogenen Datensätze geht. Im Bescheid heißt es ensprechend:

Sofern die technischen Maßnahmen betroffen sind, ist ebenso nicht erkennbar – und wurde seitens der Beschwerdegegner auch nicht nachvollziehbar erklärt –, inwiefern der Schutz der Kommunikation zwischen Google-Diensten, der Schutz von Daten im Transit zwischen Rechenzentren, der Schutz der Kommunikation zwischen Nutzern und Websites oder eine „On-Site-Security“ die Zugriffsmöglichkeiten von US-Nachrichtendiensten auf der Grundlage des US-Rechts tatsächlich verhindern oder einschränken.

Nach der Verkündung dieses Bescheids könnte die Einbindung von Google Analytics, wie sie bisher beinah flächendeckend vonstatten geht, auf der Kippe stehen. Die meisten Unternehmen und Selbstständigen setzen auf das Statistikprogramm von Google. Noby erklärt dazu:

Obwohl es viele Alternativen gibt, die in Europa gehostet werden oder selbst gehostet werden können, verlassen sich viele Websites auf Google und übermitteln damit ihre Nutzerdaten an den US-Multi. Ebenso werden viele andere US-Dienste genutzt, die einen Zugriff durch US-Geheimdienste ermöglichen. Die Tatsache, dass die Behörden nun nach und nach US-Dienste für illegal erklären könnten, erhöht den Druck auf EU-Unternehmen und US-Provider, auf sichere und legale Optionen zu setzen. Hier ist vor allem die Verarbeitung ohne faktischen Zugriff von US-Unternehmen wichtig.

Sofern große Unternehmen wie Google und Meta, Microsoft und Apple ihre Datenschutzrichtlinien nicht an das EU-Recht anpassen, könnten Behörden und Gerichte ihre Dienste in der EU nach und nach für nicht legal nutzbar erklären.

Eigentlich sind alle US-Dienste betroffen

Der Verein Noyb hatte unter der Leitung von Max Schrems zahlreiche Beschwerden im Kontexte der Missachtung des Schrems II-Urteils bei verschiedenen Behörden in der EU eingereicht. Nun erklärt Schrems:

Wir erwarten, dass ähnliche Entscheidungen nun schrittweise in den meisten EU-Mitgliedstaaten fallen werden. Wir haben 101 Beschwerden in fast allen Mitgliedstaaten eingereicht, und die Behörden haben die Entscheidungen koordiniert. Eine ähnliche Entscheidung hat auch der Europäische Datenschutzbeauftragte letzte Woche getroffen.

Im Bescheid der österreichischen Datenschutzbehörde war einer Beschwerde, die gegen Google LLC in den USA eingereicht wurde, nicht stattgegeben worden. Verantwortlich seien demnach die europäischen Tochterfirmen wie Google Ireland Limited. Die DSB gab aber auch an, dass das Verfahren gegen Google LLC hinsichtlich möglicher Verstöße gegen Artikel 5, 28 und 29 DSGVO weiterläuft.

Was in diesem spezifischen Fall am Beispiel von Google zu großen Umwälzungen in der Digitalbranche führen könnte, bleibt wohl nicht auf die Alphabet-Tochter beschränkt. Denn die Datenschutzregelungen der EU gelten für sämtliche US-Anbieter:innen, weshalb auch Dienste von Microsoft, Meta und Co. nach genauer rechtlicher Betrachtung und entsprechenden Urteilen ihren legalen Status bei der Integration auf Websites verlieren könnten. Nun wird es 2022 und in den Folgejahren darauf ankommen, wie die Behörden und Gerichte die DSGVO und die ePrivacy-Verordnung auslegen und ob sie die bisher eher stiefmütterliche Behandlung des Datenschutzes beim Transfer personenbezogener Daten zwischen der EU und den USA vonseiten der US-Unternehmen abstraft. Google selbst hatte zum aktuellen Fall gegenüber dem Standard schlicht erklärt:

Diese Organisationen, nicht Google, kontrollieren, welche Daten mit unseren Tools gesammelt und wie diese ausgewertet werden.

Diese Haltung jedoch ist mit geltendem Datenschutzrecht kaum vereinbar. Das Kräftemessen zwischen den Megakonzernen der USA und europäischen Datenschutzorganisationen geht daher weiter. Unternehmen, Marketer und Co. sollten die Entscheidungen jedoch im Blick behalten. Den gesamten Entscheid aus Österreich kannst du hier nachlesen.

Das lokale Google Ranking zu verbessern, sollte auf der Prioritätenliste jedes Unternehmens stehen. Das Salesurance E-Book zeigt auf, wie das Google Ranking funktioniert und welche Faktoren entscheiden, welches Unternehmen von Google auf den obersten Plätzen gerankt wird.

Jetzt herunterladen!

Powered by WPeMatico

Teile diesen Beitrag