Google Analytics im Visier der Datenschutz-Aufsichtsbehörden

Die Luft wird zunehmend dünner für Google Anaytics – oder vielmehr für die Verantwortlichen, die das beliebtes Tool zur Reichweitenmessung nutzen.

Bereits Januar 2022 hatte sich die Österreichische Datenschutzbehörde (DSB) im Rahmen eines Beschwerdeverfahrens mit der Vereinbarkeit von Google Analytics und der Datenschutz-Grundverordnung (DS-GVO) befasst.
Bei Google Analytics handelt es sich um ein Google-Tool, mit dem Betreiber einer Website detaillierte Berichte über das Nutzerverhalten von Website-Besuchern erstellen können. Im Beschwerdeverfahren hat die Behörde festgestellt, dass ein sog. (personenbeziehbarer) „digitaler Fußabdruck“ auch an die Server von Google LLC mit Sitz in den USA übermittelt werde.

Der Betreiber der Website und Google LLC haben Standarddatenschutzklauseln (in der Fassung des Durchführungsbeschlusses der Europäischen Kommission 2010/87/EU vom 5. Februar 2010) abgeschlossen. Ausgehend von der Rechtsprechung des Gerichtshofs der Europäischen Union in C‑311/18 („Schrems II“) wurde diese Datenübermittlung als unzulässig beurteilt, weil kein angemessenes Schutzniveau für die übermittelten personenbezogenen Daten, wie gemäß Artikel 44 DSGVO gefordert, gegeben war. Die zusätzlich zu den Standarddatenschutzklauseln implementierten Maßnahmen waren aus Sicht der Datenschutzbehörde nicht effektiv, da diese die seitens des EuGH aufgezeigten Überwachungs- und Zugriffsmöglichkeiten durch US-Nachrichtendienste nicht beseitigt haben.
Ähnlich streng und rigoros sieht es die französische Datenschutz-Aufsicht „CNIL“ ( „The CNIL has issued other orders to comply to website operators using Google Analytics“).

Die Datenschutzstelle Fürstentum Liechtenstein (DSS) stärkt den oben genannten Aufsichtsbehörden nun mit einer eigenen Stellungnahme den Rücken.  

Die Datenschutzstelle habe bereits in ihrem Tätigkeitsbericht 2020 (Ziffer 5.2.2) auf die datenschutz­rechtliche Problematik hinsichtlich des Einsatzes des Webanalyse-Werkzeugs von Google – Google Analytics – hingewiesen.
Insbesondere seit dem Schrems II-Urteil des Europäischen Gerichtshofs (EuGH) vom 20. Juli 2020 sehe die DSS keine rechtliche Grundlage mehr, den mit Google Analytics verbundenen personenbezogenen Datentransfer in die USA zu rechtfertigen. Selbst wenn die oftmals zitierte Anonymisierung der IP-Adressen seitens des Webseitenbetreibers implementiert sei, würden weitere personenbezogene Daten an Google übermittelt. Zudem würden von Google (noch) keine zusätzlichen effektiven technischen oder organisatorischen Massnahmen getroffen, so dass ein möglicher Zugriff auf die Daten durch US-Behörden nach wie vor gegeben sei.

Die DSS fordert deshalb die Verantwortlichen auf, Webseiten datenschutzkonform auszugestalten und alternative, datenschutzkonforme Lösungen an Stelle von Google Analytics einzusetzen.

(Foto: wachiwit – stock.adobe.com)