Google Analytics könnte bald das EU-weite Aus drohen
Nach der österreichischen haben nun auch Datenschutz- und Aufsichtsbehörden Frankreichs und der Niederlande bescheinigt, dass Google Analytics wegen des Transfers der Daten in die USA nicht DSGVO- und rechtskonform ist.
Wieder einmal hat Maximilian „Max“ Schrems zugeschlagen. Von anderen Datenschützern gefeiert, ist der österreichische Jurist wohl ein rotes Tuch für CIA, NSA und andere US-Behörden. Denn nachdem er 2015 mit damals gerade mal 28 Jahren vor dem EuGH erst das Safe-Harbor-Abkommen zu Fall gebracht hatte, gelang es ihm 2020 auch das Ende des EU-US Privacy Shield herbeizuführen, in Fachkreisen „Schrems II“ genannt.
Und nun ist er mit seiner 2017 gegründeten Datenschutz-NGO NOYB (beziehungsweise noyb) auch erfolgreich gegen Google Analytics zu Felde gezogen, in seinem Heimatland Österreich zumindest. Der Grund ist, dass Googles Werbe-Trackingtool laut der Website Dr. DSGVO die Einwilligung gemäß Art. 49 Abs. 1 b DSGVO fehlt und die Daten im Zweifel den genannten US-Behörden ausliefern muss. Das war auch schon Stein des Anstoßes der von Schrems zu Fall gebrachten transatlantischen Übereinkommen Safe Harbor und EU-US Privacy Shield.
Ist „das“ Analysetool gar rechtswidrig?
Die österreichische Datenschutzbehörde (DSB) hat auf Betreiben von NOYB jedenfalls eine Falluntersuchung vorgenommen und eben festgestellt, dass bei einem der Kläger keine Einwilligung vorlag.
Die französische Datenschutzbehörde CNIL kam Dr. DSGVO zufolge zu einem ähnlichen Ergebnis, hat aber sogar geurteilt, dass Google Analytics in der EU gar nicht eingesetzt werden dürfe. Der Suchmaschinenriese unternehme nicht genug, um die Daten europäischer Bürgerinnen und Bürger vor dem Zugriff durch amerikanische Geheimdienste zu schützen.
Auch die Niederlande haben schon einen Beschluss gegen Google Analytics angekündigt. Beschlüsse einzelner Behörden bedeuten nicht, dass daraus ein EU-Verbot entsteht, aber Gerichte diesseits des Atlantiks könnten sich daran orientieren, so Dr. DSGVO, der Google Analytics sogar den Grenznutzen abspricht und Alternativen wie Matomo, Trackboxx und WP Statistics (nicht zu verwechseln mit WP-Stats) empfiehlt, welche die Daten nicht über den großen Teich senden. Und auch für das von vielen Werbetreibenden genutzte Google Conversion Tracking gebe es Alternativen.
Ganzer transatlantische Datenverkehr gerät ins Wanken
Sollten weitere Behörden oder sogar der EuGH der Auffassung folgen, „dass Google Analytics rechtswidrig ist, könnte das den gesamten Datenverkehr zwischen der EU und den USA ins Wanken bringen“, urteilt Christian Solmecke von der Kanzlei WILDE BEUGER SOLMECKE in seinem Vorwort.
Wie er ausführt, ging es in Österreich konkret um netdoctor.at. Das Unternehmen hatte offenbar eine von Google Analytics gebotene Möglichkeit, die IP-Adresse der Besucher zu anonymisieren, nicht richtig genutzt. Die Idee dahinter sei, dass die DSGVO nicht anwendbar ist, wenn keine personenbezogenen Daten übermittelt werden.
Solmecke sieht darin aber nicht die „Lösung aller Probleme“ für andere Webseiten. Denn Google Analytics biete einfach zu viele Möglichkeiten, die Webseiten-Besucher zu identifizieren. Und die DSB war schließlich auch der Ansicht, dass bei dem Web-Analysetool sehr viele personenbezogene Daten im Sinne von Art. 4 Nr. 1 DSGVO verarbeitet werden. Dazu gehören etwa die Online-Kennung, die Adresse der besuchten Seiten, Browser, Betriebssystem, Bildschirmauflösung, Sprachauswahl sowie Datum und Uhrzeit des Webseiten-Besuches.
Somit sei der Besucher auch durch andere Parameter als durch seine anonymisierte IP-Adresse hinreichend identifizierbar. Eine Anonymisierung der IP-Adresse hätte somit für die österreichischen Behörde „wohl nichts geändert“, weil ein Personenbezug immer noch gegeben sei, so der Medienrechtler Solmecke.
„Schrems I“ und „Schrems II“ lassen grüßen
Das Hauptproblem für ihn beim Datenschutz ist die Übermittelung personenbezogener Daten aus der EU in die USA, was nicht nur Google Analytics, sondern alle US-Unternehmen betreffe. Seit „Schrems II“, dem EuGH-Urteil Rs. C-311/18 vom 16. Juli 2020, können sich EU-Unternehmen auch nicht mehr auf das transatlantische Privacy Shield berufen. Und somit entspricht der Datenschutzstandard in den USA nicht dem in der EU, weil die Daten der EU-Bürger nicht ausreichend geschützt sind, wie die Luxemburger Richter befanden.
Wie der Anwalt für Internet- und Medienrecht weiter ausführt, setzen EU- und US-Unternehmen beim transatlantischen Datenaustausch seitdem auf die sogenannten Standardvertragsklauseln, wie sie die EU-Kommission im Juni 2021 aktualisiert herausgegeben hat. Google soll diese Vorgaben bereits seit September 2021 implementieren, so auch in Google Analytics.
Solmecke zufolge könnte auch von der deutschen Aufsichtsbehörde bald Ärger drohen für Google Analytics. Denn der Fall netdoctor.at betreffe nicht mehr nur die Österreicher, nachdem die Webseite an den Münchener Verlag Burda übertragen wurde. Unter Umständen müssten europäische Betreiber auf einen Analysedienst mit Servern in der EU umsteigen, was US-Unternehmen nicht gefallen dürfte, weil sie so einen ganzen Kontinent als Absatzmarkt verlören.
Ob ein Abkommen, welches die USA per Angemessenheitsbeschluss zum sicheren Drittland erklärt, Bestand haben wird, ist abzuwarten, zumal Max Schrems bereits die Klage gegen ein solches Abkommen angekündigt hat. Doch selbst wenn der bisherige Streitpunkt “Zugriffe durch US-Behörden” beigelegt werden könnte, ändert das wenig an den prinzipiellen Vorbehalten gegen Google Analytics: zu intransparent ist, was Google mit den Daten selbst anstellt. Und da amerikanische Hyperscaler generell nicht für solche Transparenz bekannt sind, ist ein datenschutzkonformer Einsatz bis auf Weiteres wohl nicht möglich.
Quelle Titelbild: Adobe Stock / IB Photography