Google Analytics als DSGVO-widrig erklärt

 

Mit der Grundlage des Schrems-II-Urteils aus dem Jahr 2020 reichte das Europäische Zentrum für digitale Rechte (noyb) eine Musterbeschwerde bei der österreichischen Datenschutzbehörde (DSB) ein. Die DSB erklärte Ende Dezember 2021 die Nutzung des Statistikprogramms Google Analytics nun für rechtswidrig, da die Daten-Übermittlung an US-Provider gegen die DSGVO verstößt.

Durch das Schrems-II-Urteil des Europäischen Gerichtshofs (EuGH) im Juli 2020 verstößt die Nutzung von US-Anbietern gegen die DSGVO, da das US-Überwachungsgesetz bekannte US-amerikanische Unternehmen wie Google und Facebook nämlich zur Übermittlung persönlicher Daten an US-Behörden verpflichtet. Das Europäische Zentrum für digitale Rechte (noyb) teilt jedoch mit, dass US-Anbieter und EU-Unternehmen die Entscheidung weitgehend ignoriert haben.

Mit der Entscheidung der österreichischen Datenschutzbehörde (DSB) steigt nun jedoch der Druck auf die Anbieter und Unternehmen. Der Kern des Urteils besagt, dass EU-Unternehmen keine US-Cloud-Dienste mehr nutzen dürfen. Für EU-Unternehmen wird also ein Wechsel auf legale Alternativen zu Google Analytics notwendig, die in Europa gehostet werden. Wahlweise müssen US-Gesetze einen besseren Datenschutz bieten oder US-Anbieter ihre Daten außerhalb der Vereinigten Staaten verarbeiten, so das Europäische Zentrum für digitale Rechte (noyb).

Unternehmen, die gegen die DSGVO verstoßen, erwartet normalerweise eine Strafe von bis zu 20 Millionen Euro oder 4 % ihres weltweiten Umsatzes. Da bei dem amtlichen Durchsetzungsverfahren der DSB jedoch keine Anhörung des Beschwerdeführers erfolgte, gibt es keine Informationen darüber, ob eine Strafe verhängt wurde.

In unserem Beitrag “US-Cloud-Dienste: Fehlende Rechtsgrundlage in der EU” erfahren Sie mehr über die historische Entwicklung der Gesetzeslage. Weiterführendes Infos gibt es unter: https://noyb.eu/de/oesterr-dsb-eu-us-datenuebermittlung-google-analytics-illegal

US-Cloud-Dienste: Fehlende Rechtsgrundlage in der EU

Der Beschluss der Europäischen Kommission zur Übermittlung personenbezogener Daten in die USA (Privacy Shield) wurde im Juli 2020 von dem Europäischen Gerichtshof (EuGH) für unwirksam erklärt. Jetzt stehen Unternehmen ohne eine Rechtsgrundlage da, wenn sie US-Cloud-Dienste wie Amazon und Microsoft nutzen. 

Ein Blick in die Historie des Privacy Shield

 

Der österreichische Jurist Maximilian Schrems hat es sich zur Aufgabe gemacht, Datenschutzrechte durchzusetzen. Deswegen beantragte er vor der irischen Datenschutzbehörde, alle Datenübermittlungen von der nationalen Facebook-Tochter an den Mutterkonzern in den USA auszusetzen. Der Erfolg zeigte sich in Form eines Beschlusses des Europäischen Gerichtshofs (EuGH) im Jahr 2020: Der transatlantische “Privacy Shield”, der als Rechtsgrundlage für den Transfer personenbezogener Daten europäischer Bürger in die USA galt, wurde für nichtig erklärt und erhielt den Beinamen “Schrems II-Urteil”. Begründet wurde diese Entscheidung mit den datenschutzrechtlich ungenügenden US-amerikanischen Gesetzen, die beispielweise ihren Sicherheitsbehörden die Überwachung ausländischer Kommunikation gestatten.1

Mit dem Schrems II-Urteil soll der Datentransfer in die USA und andere Drittländer also unterbunden werden. Konkret bedeutet das, dass z.B. Dienstleistungen von Microsoft, Zoom etc. nicht mehr genutzt werden dürfen, wenn diese die Daten auf Servern in den EU-Mitgliedstaaten nicht wirksam vor dem Zugriff der US-Behörden schützen. Zusätzlich wurde vonseiten des Europäischen Gerichthofs festgelegt, dass bei Datenübermittlungen in die USA Standardvertragsklauseln grundsätzlich nicht ausreichen und mit zusätzlich verbindlichen Datenschutzvorschriften gesichert werden müssen. Damit soll für die übermittelten Daten ein gleichwertiges Datenschutzniveau wie in der EU garantieren werden.2

 

 

Die Schlüsselrolle für die Durchsetzung des Beschlusses des Europäischen Gerichtshofs (EuGH) tragen die Aufsichtsbehörden. Der rheinland-pfälzische Datenschutzbeauftragte Dieter Kugelmann kündigte schon Mitte 2021 ein schärferes Vorgehen an, um Verstöße in Unternehmen und öffentliche Stellen vorzubeugen und gegebenenfalls mit Bußgeldern zu rügen. Das “Schrems II-Urteil” betreffe als Grundsatzentscheidung nämlich “fast jedes Unternehmen, jede Behörde, Kommune, Schule, Organisation oder Arztpraxis”3. Diese übermitteln die personenbezogenen Daten oftmals unbewusst in Länder außerhalb der EU und müssen daher verstärkt über das Schrems II-Urteil informiert werden, damit sich etwas ändert. 

Quellen: