Breaking news
Lies unseren Blog mit Fokus auf Privatsphäre und Sicherheit. Und vergiss nicht, dir selbst eine verschlüsselte Mailbox zu registrieren!

Google Analytics in der EU für illegal erklärt.

Nun, da Google Analytics illegal ist, wird Alphabet europäische Daten besser schützen, um der DSGVO zu entsprechen?

2022-01-19
Google Analytics in Europa nun illegal.
Max Schrems, der Anwalt, der Facebook erfolgreich wegen Datenschutzverletzungen an europäischen Bürgern verklagte, hat einen weiteren Sieg errungen; diesmal gegen Google: In einem bahnbrechenden Gerichtsurteil hat die österreichische Datenschutzbehörde festgestellt, dass die Verwendung von Google Analytics auf europäischen Webseiten illegal ist.

Update 2022-02-11: Nach dem österreichischen Urteil hat nun auch die französische Datenschutzbehörde CNIL erklärt, dass Google Analytics gegen die DSGVO verstößt. Die CNIL veröffentlichte eine Erklärung:

"Die CNIL hat in Zusammenarbeit mit ihren europäischen Amtskollegen die Bedingungen analysiert, unter denen die Daten, die durch diesen Dienst [Google Analytics] gesammelt wurden, in die Vereinigten Staaten übermittelt werden. Die CNIL ist der Ansicht, dass diese Übermittlungen rechtswidrig sind, und fordert den Betreiber einer französischen Website auf, sich an die Datenschutzgrundverordnung zu halten und gegebenenfalls die Nutzung dieses Dienstes unter den derzeitigen Bedingungen einzustellen."

Übersetzt mit www.DeepL.com/Translator (kostenlose Version) Google Analytics in Europa illegal


Als das Privacy-Shield-Abkommen im Jahr 2020 für ungültig erklärt wurde, hatte dies weitreichende Folgen für in Europa tätige US-Onlinedienste: Sie durften keine Daten europäischer Bürgerinnen und Bürger mehr an die USA übermitteln, da dies die Daten europäischer Bürgerinnen und Bürger für die amerikanische Massenüberwachung angreifbar machen würde - ein klarer Verstoß gegen die europäische Datenschutzgrundverordnung (DSGVO).

Die Tech-Industrie im Silicon Valley ignorierte das Urteil jedoch weitgehend. NOYB kritisiert:

"Während dies (=Ungültigerklärung von Privacy Shield) Schockwellen durch die Tech-Industrie schickte, haben US-Anbieter und EU-Datenexporteure den Fall weitgehend ignoriert. Genau wie Microsoft, Facebook oder Amazon hat sich Google auf sogenannte "Standardvertragsklauseln" verlassen, um den Datentransfer fortzusetzen und seine europäischen Geschäftspartner zu beruhigen."

Nun schlägt die österreichische Datenschutzbehörde aber in die gleiche Kerbe wie der europäische Gerichtshof in seinem Urteil zu Privacy Shield: Sie hat entschieden, dass die Nutzung von Google Analytics gegen die Allgemeine Datenschutzverordnung (DSGVO) verstößt. Google "unterliegt der Überwachung durch US-Geheimdienste und kann angewiesen werden, Daten europäischer Bürger an diese weiterzugeben". Daher dürfen die Daten der europäischen Bürger nicht über den Atlantik übermittelt und dort gespeichert werden.

Entscheidung des österreichischen Gerichts im Original.

Worum ging es in dem Fall?

Am 14. August 2020 hatte ein Google-Nutzer eine österreichische Webseite zu Gesundheitsfragen aufgerufen. Diese Webseite nutzte Google Analytics, und es wurden Daten über den Nutzer an Google übermittelt. Anhand dieser Daten konnte Google Rückschlüsse auf die Person ziehen.

Am 18. August 2020 beschwerte sich der Google-Nutzer bei der österreichischen Datenschutzbehörde mit Hilfe der Datenschutzorganisation NOYB.

Nun hat das österreichische Gericht diese Datenübermittlung für rechtswidrig erklärt.

Es geht darum, dass US-Behörden aufgrund des amerikanischen CLOUD Acts personenbezogene Daten von Google, Facebook und anderen US-Anbietern anfordern können, auch wenn diese außerhalb der USA, also zum Beispiel in Europa, tätig sind.

Somit kann Google kein angemessenes Schutzniveau gemäß Artikel 44 DSGVO bieten - ein klarer Verstoß gegen die europäischen Datenschutzgarantien. Da helfen auch die vom Webseitenbetreiber angeführten Standardvertragsklauseln nicht weiter, wie der Europäische Gerichtshof (EuGH) 2020 in seiner Entscheidung zum "Privacy Shield" (Schrems II) festgestellt hat.

Entscheidend für die rechtliche Beurteilung der Nutzung von Google Analytics ist nicht, ob ein US-Geheimdienst die Daten tatsächlich erhalten hat oder ob Google den Nutzer tatsächlich identifiziert hat. Allein die Tatsache, dass dies theoretisch möglich wäre, stellt bereits einen Verstoß gegen die DSGVO dar.

Google-Nutzer können in ihren Google-Konten einstellen, dass Google ihre Nutzung von Webseiten Dritter nicht im Detail auswertet. Aber dass es diese Funktion überhaupt gibt, ist ein Beweis dafür, dass Google in der Lage ist, Nutzungsdaten mit dem Individuum zusammenzuführen.

Größter Erfolg von NOYB

Dieses Urteil ist einer der bisher größten Erfolge der Datenschutzorganisation NOYB. Die NOYB und Max Schrems freuen sich daher sehr über die Entscheidung des österreichischen Gerichts:

"Das ist eine sehr detaillierte und fundierte Entscheidung. Die Quintessenz ist: Unternehmen können keine US-Cloud-Dienste mehr in Europa nutzen. Es ist jetzt 1,5 Jahre her, dass der Europäische Gerichtshof dies ein zweites Mal bestätigt hat, es ist also mehr als an der Zeit, dass das Gesetz auch durchgesetzt wird."

Dieses Urteil ist die erste von 101 Klagen, die Schrems' gemeinnützige Organisation NOYB in fast allen Mitgliedsstaaten der Europäischen Union eingereicht hat. Ähnliche Entscheidungen werden nun auch in Deutschland, den Niederlanden und anderen EU-Mitgliedstaaten erwartet.

Google Analytics entfernen?

Tutanota - als sicherer E-Mail-Dienst, der sich auf die Privatsphäre der Nutzer konzentriert - hat Google Analytics nie verwendet.

Doch nun müssen sich viele Unternehmen in Europa die Frage stellen, ob sie Google Analytics von ihren Webseiten entfernen oder eine Strafe wegen Verstoßes gegen die Datenschutzgrundverordnung riskieren sollten.

Auf lange Sicht gibt es zwei Möglichkeiten: Entweder ändern die USA ihre Überwachungsgesetze, um ihre Tech-Unternehmen zu stärken, oder US-Anbieter müssen die Daten europäischer Nutzer und Nutzerinnen in Europa hosten.

Die niederländische Behörde für personenbezogene Daten (AP), bei der zwei Entscheidungen über die Verwendung von Google Analytics noch ausstehen, hat nun ihre eigenen Leitlinien für die "datenschutzfreundliche Einrichtung von Google Analytics" aktualisiert.

Mit der Aktualisierung hat die AP eine Warnung hinzugefügt:

"Bitte beachten Sie: Die Verwendung von Google Analytics könnte bald nicht mehr zulässig sein."

Die niederländische Behörde plant, Anfang 2022 über die anhängigen Google-Analytics-Fälle zu entscheiden. Dann wird die AP eine klare Aussage darüber treffen, ob die Verwendung von Google Analytics in Europa illegal ist oder nicht.

Fazit

Zwar werden die Tech-Unternehmen aus dem Silicon Valley stets einen Weg finden, ihre Dienste in Europa weiterhin anzubieten - auf dem einen oder anderen Weg -, doch die Vorgehensweise, die sie nach der Außerkraftsetzung des Privacy Shield gewählt haben, muss bei europäischen Unternehmen mehrere Alarmglocken läuten lassen:

Als europäisches Unternehmen kann man sensible Nutzerdaten nicht mehr Unternehmen wie Google anvertrauen, die die europäische Datenschutzgesetzgebung vorsätzlich ignorieren und hohe Geldstrafen für ihre europäischen Geschäftskunden riskieren. (Über die Bußgelder gegen die österreichische Gesundheitswebseite im vorliegenden Fall ist noch nicht entschieden worden, aber wir werden die Entwicklung aufmerksam verfolgen).

Im Gegenteil - und auch weil die Privatsphäre für Verbraucher auf der ganzen Welt immer wichtiger wird, ist es ein logischer Schritt für jedes europäische Unternehmen, Dienste zu wählen, die sich auf den Schutz der Privatsphäre ihrer Nutzer konzentrieren.

Tutanota zum Beispiel ist ein sicherer deutscher E-Mail-Anbieter, der die DSGVO vollständig erfüllt.


Auch interessant: Tipps zur Wiederherstellung Ihrer Privatsphäre im Internet mit vielen Google-Alternativen.

KOMMENTARE LADEN