Die österreichische Datenschutzbehörde^[1] stellt am 12.01.2022 in der Entscheidung D155.027 / 2021-0.586.257 (zum Zeitpunkt der Erstellung dieses Beitrags nicht online im RIS verfügbar) fest, dass der Einsatz von Google Analytics^[2] auf österreichischen Webseiten gegen die DSGVO verstößt. Diese Entscheidung könnte für die Nutzung von Google Analytics auch für weitere europäische Länder wegweisend sein. Ausschlaggebend dazu beigetragen hat Max Schrems^[3] und die von ihm ins Leben gerufene Datenschutzorganisation NOYB^[4]. Bereits im Juli 2020 hat der EuGH das "Schrems II"-Urteil^[5] verkündet.

Screenshot https://analytics.google.com

Die Entscheidung der DSB

Durch den Einsatz von Google Analytics werden personenbezogene Daten erhoben und an Google übertragen. Google unterliegt, nach US-Recht, der Überwachung durch US-Geheimdienste (US-Provider, die unter FISA 702 und EO 12.333 fallen).

Bereits im "Schrems II"-Urteil stellte der EuGH fest, dass nach dem Regelwerk der DSGVO eine Daten-Übermittlung an diese US-Provider gegen die Exportverbote für Daten verstößt. Der EuGH erklärte daraufhin das Privacy Shield^[6] für ungültig. Bereits im Jahr 2015 hatte der EuGH das zuvor bestehende System Safe Harbor für ungültig erklärt.
Sowohl US-Anbieter als auch EU-Unternehmen haben diese Entscheidung weitgehend ignoriert. Google, Microsoft, Facebook oder Amazon haben sich dabei auf sogenannte "Standardvertragsklauseln" verlassen und den Datentransfer unbeirrt fortgesetzet.

Nach Entscheid der österreichischen Datenschutzbehörde haben sich nun auch die zusätzlich zu den Standardvertragsklauseln getroffenen Maßnahmen von Google "als absolut nutzlos erwiesen" und bieten schlussendlich kein angemessenes Schutzniveau für die Datenübermittlung nach DSGVO Art.44, wenn es um den Zugriff auf diese Daten durch US-Behörden geht.

Fazit: wenn ein österreichischer Webseitenbetreiber:in Google Analytics einsetzt, legt er Google rechtswidrigerweise Daten offen.

EDPB-Taskforce

Die Datenschutzbehörden der EU-Mitgliedstaaten haben in diesen Fällen in einer "EDPB-Taskforce" zusammengearbeitet. Dadurch ist zu erwarten, dass vergleichbare Entscheidungen in sämtlichen EU-Mitgliedstaaten fallen. Max Schrems von NOYB sieht ein Indiz dafür auch darin, dass der EU-Datenschutzbeauftragte die Covid-19-Test-Webseite des Europäischen Parlaments^[7] wegen der Einbindung von Google Analytics, auf eine Beschwerde von NOYB hin, verwarnt hat.

Einen ausführlichen Beitrag hierzu finden Sie auf der Webseite von NOYB^[5].

Bildnachweis:
Screenshot https://analytics.google.com

Quellenangabe:
[1] https://www.dsb.gv.at/
[2] https://marketingplatform.google.com/intl/de/about/analytics/
[3] https://noyb.eu/de/unser-team-mitglieder-und-partner
[4] https://noyb.eu/de
[5] https://noyb.eu/de/oesterr-dsb-eu-us-datenuebermittlung-google-analytics-illegal
[6] https://en.wikipedia.org/wiki/EU%E2%80%93US_Privacy_Shield
[7] https://noyb.eu/de/edsb-sanktioniert-parlament-wegen-eu-us-datenuebermittlung-google-und-stripe

_{Durch anklicken der oben genannten Links verlassen Sie unsere Webseite. Dadurch werden von Ihren Browser personenbezogene Daten an den Betreiber der jeweilig aufgerufenen Webseite übermittlelt (Referer, Fingerprint des Browser)!}