1. Hintergrund
Im Rahmen eines Beschwerdeverfahrens hat sich die Datenschutzbehörde (DSB) mit der Vereinbarkeit von Google Analytics und der Datenschutz-Grundverordnung (DSGVO) befasst.
Hintergrund war, dass personenbezogene Daten einer aufgerufenen Website über das Tool Google Analytics auf Google Server in den USA übermittelt wurden. Nach den US-Gesetzen können Nachrichtendienste in diese Daten Einsicht nehmen.
Aus Anlass einer Entscheidung des Europäischen Gerichtshofes[1] wurden europaweit 101 Beschwerden gegen die Nutzung von Google Analytics auf europäischen Websites eingelegt. Der europäische Datenausschuss richtete aufgrund der hohen Anzahl an Beschwerden eine Task Force ein, um eine einheitliche Bearbeitung der Beschwerden in Europa zu ermöglichen.
[1] EuGH 16.7.2020, C-311/18, Data Protection Commissioner/ Facebook Ireland Limited und Maximilian Schrems
2. Zur Entscheidung der Datenschutzbehörde:
- Die DSB stellte in der Entscheidung fest, dass personenbezogene Daten (wie IP-Adresse oder Browserparameter) durch den Betreiber der Website an die Server von Google übermittelt wurden, die sich in den USA befinden.
- Eine Datenübermittlung in die USA könne seit der Entscheidung des EuGH zu Schrems II[1] nicht mehr auf Grundlage des Angemessenheitsbeschlusses („Privacy Shield“) erfolgen.
- Zwischen dem Betreiber der Website und Google abgeschlossene Standarddatenschutzklauseln würden keinen angemessenen Schutz im Sinne der DSGVO bieten, da Google kraft US-Recht einer ständigen Kontrolle der US-Geheimdienste unterliegt.
- Auch darüber hinaus getroffene vertragliche, organisatorische und technische Maßnahmen wären nicht effektiv genug gewesen, um die Überwachungs- und Zugriffsmöglichkeiten durch die US-Nachrichtendienste zu beseitigen.
- Im Ergebnis stellte diese Datenübermittlung an Google nach Ansicht der Datenschutzbehörde einen Verstoß gegen die in § 44 der DSGVO genannten allgemeinen Grundsätze der Datenübermittlung dar.
[1] EuGH 16.7.2020, C-311/18, Data Protection Commissioner/ Facebook Ireland Limited und Maximilian Schrems
3. Folgen der Entscheidung:
Es gilt zu beachten, dass die Entscheidung der DSB noch nicht rechtskräftig ist. Es ist jedoch davon auszugehen, dass die Entscheidung bekämpft wird.
Die DSB hat noch nicht über eine mögliche Strafe entschieden. Die DSGVO sieht für Verstöße gegen Art 44 DSGVO sehr hohe Strafen von bis zu € 20 Millionen oder bis zu 4% des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs vor.
Es ist durchaus denkbar, dass - aufgrund des eingangs erwähnten europäischen Zusammenschlusses bei der Bearbeitung der eingebrachten Beschwerden - die Datenschutzbehörden anderer Mitgliedstaaten ähnliche Entscheidungen treffen werden.
Für Betreiber von Webseiten, die mit Webanalysetools arbeiten, erscheint es vor diesem Hintergrund jedenfalls sinnvoll, sich mit alternativen europäischen Anbietern von Webanalyse Tools auseinanderzusetzen.