Netzpolitik

Behördenurteil: Google Analytics ist nicht EU-datenschutzkonform

Es ist keine gute Woche für Behörden, Organisationen und Firmen, die auf ihren Websites US-Dienste wie Google Analytics einsetzen. Die österreichische Datenschutzbehörde (DSB) hat am Mittwoch diesbezüglich nämlich eine wegweisende Entscheidung getroffen: Die Nutzung von Google Analytics verstößt gegen die Datenschutzgrundverordnung (DSGVO). Das gab die Bürgerrechtsorganisation noyb.eu bekannt, die eine Musterbeschwerde gegen eine österreichische Website eingebracht hatte.

Die konkrete Entscheidung betrifft netdoktor.at, aber die Website dient laut noyb.eu nur „exemplarisch“ für viele andere, die auf Google Analytics setzen. Noyb.eu hat insgesamt 101 Musterbeschwerden quer durch ganz Europa eingereicht und zwar bereits im Jahr 2020. Die österreichische Behörde ist nun die erste, die das Urteil zugestellt hat.

Die rechtliche Entscheidungsgrundlage hierfür ist das „Schrems II“-Urteil des Europäischen Gerichtshofs (EuGH), das den Datentransfer von der EU in die USA betrifft. Beim EuGH-Urteil zu „Schrems II"-Fall hat der Gerichtshof festgestellt, dass die Übermittlung personenbezogener Daten aus der EU in die USA an strenge Bedingungen geknüpft ist. Websites müssen davon absehen, personenbezogene Daten in die USA zu übermitteln, weil ein angemessenes Schutzniveau für die personenbezogenen Daten nicht gewährleistet werden kann.

Maßnahmen nicht effektiv genug

Google hat von sich aus „technische und organisatorische Maßnahmen“ umgesetzt, um dieses „angemessene Schutzniveau“ zu gewährleisten. Doch die DSB hält diese für wenig sinnvoll und nicht gut genug. „In Bezug auf die dargelegten vertraglichen und organisatorischen Maßnahmen ist nicht erkennbar, inwiefern diese effektiv (…) sind“, heißt es seitens der Behörde. Noyb.eu hat die Originalentscheidung als PDF veröffentlicht.

Ähnliche Entscheidungen werden nun auch in anderen EU-Mitgliedstaaten erwartet, da die Datenschutzbehörden in diesen Fällen in einer "EDPB-Taskforce" zusammengearbeitet haben. Erst Anfang dieser Woche hat der Europäische Datenschutzbeauftragte (EDSB) bestätigt, dass auch der Einsatz von Google Analytics auf der COVID-Test-Website des EU-Parlaments nicht datenschutzkonform sei.  

Max Schrems, Vorsitzender von noyb.eu, zeigt sich über das Urteil erfreut: „Die DSB hat eine sehr detaillierte und fundierte Entscheidung erlassen. Die Quintessenz ist: EU-Unternehmen können keine US-Cloud-Dienste mehr nutzen. Es ist jetzt 1,5 Jahre her, dass der EuGH das ein zweites Mal bestätigt hat - es ist also mehr als an der Zeit, dass das Gesetz auch durchgesetzt wird“, sagt Schrems.

Max Schrems hat noyb.eu gegründet, um gegen Datenschutzverstöße in der EU vorzugehen

Richtungsweisend für weitere Websites - in Österreich und der EU

Ob netdoktor.at auch tatsächlich eine Strafe für den Einsatz von Google Analytics kassiert, ist aktuell unklar, da es sich erst um einen „Teilbescheid“ der Musterklage handelt. „Es weiß inzwischen jedes Unternehmen, dass sie Strafen riskieren, wenn sie das Thema nicht angehen“, sagt Schrems. Die Entscheidung der DSB gilt dennoch vorerst nur für netdoktor.at, doch sie ist richtungsweisend und kann als Basis für alle herangezogen werden, die Google Analytics auf ihren Websites einsetzen.

„Eine Entscheidung muss immer bei jedem einzeln ergehen. Aber wenn die DSB das einmal so entschieden hat, wird es vermutlich nicht gut ausgehen. Insofern ist das wie bei jedem Verstoß: Auch beim Schnellfahren muss jeder einzeln eine Strafe bekommen, aber damit muss man auch rechnen, wenn man mit 100 im Ortsgebiet fährt“, sagt Schrems zur futurezone.

Stellungnahme von Google

Google übermittelte der futurezone folgende Stellungnahme, ohne direkt auf das Urteil einzugehen: "Die Nutzer möchten, dass die von ihnen besuchten Websites gut gestaltet und einfach zu verwenden sind und ihre Privatsphäre respektieren. Google Analytics hilft Einzelhändlern, Regierungen, NGOs und vielen anderen Organisationen zu verstehen, wie gut ihre Websites und Apps für ihre Besucher funktionieren - aber nicht, indem Einzelpersonen identifiziert oder im Web verfolgt werden. Diese Organisationen, nicht Google, kontrollieren, welche Daten mit diesen Tools gesammelt und wie sie verwendet werden. Google hilft, indem es eine Reihe von Sicherheitsvorkehrungen, Kontrollen und Ressourcen für die Compliance bereitstellt."

Eine Beschwerde von noyb.eu gegen Google als Datenempfänger in den USA wurde von der Datenschutzbehörde zurückgewiesen. Die Behörde vertritt die Ansicht, dass die Regeln für die Datenübermittlung nur für EU-Einrichtungen und nicht für die US-Empfänger gelten.

USA müsste sich politisch bewegen

Doch wie geht es weiter mit Google Analytics? Kann der Dienst in der EU nun legal eingesetzt werden? Langfristig scheint es zwei Möglichkeiten zu geben: Entweder bieten US-Gesetze besseren Datenschutz für EU-Bürger*innen, um die US-Industrie zu unterstützen, oder US-Anbieter müssen ausländische Daten außerhalb der Vereinigten Staaten verarbeiten. „Langfristig brauchen wir entweder einen angemessenen Datenschutz in den USA, oder wir werden am Ende getrennte Produkte für die USA und die EU haben. Ich persönlich würde einen besseren Schutz in den USA bevorzugen, aber das ist Sache des US-Gesetzgebers“, so Schrems.

Disclaimer: Auch im KURIER Medienhaus werden Services wie Google Analytics genutzt. Details dazu gibt es unter kurier.at/datenschutz

Klicken Sie hier für die Newsletteranmeldung

Hat dir der Artikel gefallen? Jetzt teilen!

Barbara Wimmer

shroombab

Preisgekrönte Journalistin, Autorin und Vortragende. Seit November 2010 bei der Kurier-Futurezone. Schreibt und spricht über Netzpolitik, Datenschutz, Algorithmen, Künstliche Intelligenz, Social Media, Digitales und alles, was (vermeintlich) smart ist.

mehr lesen