Neues zum Einsatz von Google Analytics: Entscheidungen europäischer Datenschutzbehörden
Die französische Datenschutzbehörde CNIL hat heute, am 10.02.2022, „in Abstimmung mit anderen europäischen Datenschutzbehörden“ den Einsatz von Google Analytics für unzulässig erklärt. Die Pressemitteilung der CNIL dazu finden Sie hier.
Die Entscheidung steht im Einklang mit einem Beschluss der Datenschutzbehörde der Republik Österreich vom 22.12.2021, die den Einsatz von Google Analytics ebenfalls für rechtswidrig und nicht mit der DSGVO, insbesondere Art. 44 DSGVO, vereinbar erklärt hatte. Die Entscheidung können Sie hier nachlesen. Grund für die Einstufung als rechtswidrigen Drittlandtransfer war die Übermittlung von personenbezogenen Daten (Verarbeitung von IP-Adressen und Cookie-Daten) in die USA, obwohl die Anonymisierungsfunktion für die Übermittlung der IP-Adressen aktiviert war. Zumindest einige der anlässlich des Websitebesuchs durch Google Analytics gesetzten Cookies würden eindeutige Nutzer-Identifikations-Nummern enthalten. Hierzu heißt es:
„Im Hinblick auf die Online-Kennungen ist erneut in Erinnerung zu rufen, dass die gegenständlichen Cookies “_ga” bzw. „cid“ (Client ID) und “_gid” (User ID) einzigartige Google Analytics Kennnummern enthalten und auf dem Endgerät bzw. im Browser des Beschwerdeführers abgelegt wurden.“
Insgesamt ging die Behörde davon aus, dass aufgrund eingesetzter Nutzerkennungen eine Identifizierbarkeit von natürlichen Personen (den Webseitenbesuchern) für Google möglich sei. Eine Verarbeitung personenbezogener Daten, die an Google Server in den USA übermittelt würden, sei daher gegeben.
Nach dem Urteil des EuGH vom 16. Juli 2020, Rs C-11/18 („Schrems II“), können sich Unternehmen für eine Datenübermittlung in die USA nicht mehr auf eine Angemessenheitsentscheidung („Privacy Shield“) nach Art. 45 DSGVO stützen. Im konkreten Fall dürfe Google die Datenübermittlung auch nicht auf Basis von Standarddatenschutzklauseln durchführen, da die USA nach Maßgabe des Unionsrechts keinen angemessenen Schutz der auf der Grundlage von Standarddatenschutzklauseln übermittelten personenbezogenen Daten gewährleiste. Google habe keine zusätzlichen Maßnahmen getroffen, die sicherstellen, dass US-Geheimdienste keinen Zugriff auf personenbezogene Daten der Webseiten-Nutzer haben. Die CNIL argumentiert in ihrer Entscheidung vom 10.02.2022 ebenso. Die CNIL weist überdies darauf hin, dass die Entscheidung auf vergleichbare Dienste, die personenbezogene Nutzerdaten in die USA senden, ebenso Anwendung findet und kündigt zeitnah weitere Schritte an.
Fazit:
Es ist davon auszugehen, dass die heutige Entscheidung der CNIL auch mit den deutschen Datenschutzbehörden abgestimmt war. Der Einsatz von Google Analytics und vergleichbarer Tools mit US-Bezug birgt daher ein aktuell hohes Risiko, von den Datenschutzbehörden untersagt zu werden. Wir raten aus Gründen der Rechtssicherheit und zur Vermeidung von Bußgeldern zum Einsatz von Tools, mit denen kein Transfer von personenbezogenen Daten in die USA stattfindet. Falls personenbezogene Daten in sonstige Drittstaaten übermittelt werden, ist im Vorfeld eine ausführliche Einzelfall-Prüfung erforderlich.