Österreichs Datenschutzbehörde: Google Analytics verstößt gegen die DSGVO

Wer auf Webseiten in der EU das Statistikprogramm von Google einbindet, handelt wegen der Datenübertragung in die USA laut dem Beschluss rechtswidrig.

In Pocket speichern vorlesen Druckansicht 381 Kommentare lesen
Usa,Flag,Vs,Europe,Flag.,Eu,Flag,And,American,Flag

(Bild: Varavin88/Shutterstock.com)

Lesezeit: 4 Min.
Inhaltsverzeichnis

Der Einsatz von Google Analytics auf Webseiten in der EU ist nach Ansicht der österreichischen Datenschutzbehörde (DSB) mit der Datenschutz-Grundverordnung (DSGVO) nicht vereinbar. Die DSB sieht vor allem die allgemeinen Grundsätze der Datenübermittlung gemäß Artikel 44 DSGVO verletzt, da mit dem Statistikprogramm persönliche Nutzerinformationen an die Google-Konzernzentrale in den USA weitergegeben werden.

Mit dem jetzt veröffentlichten Teilbescheid reagiert die DSB auf eine Musterbeschwerde, die der vom Juristen und Aktivisten Max Schrems gegründete Datenschutzverein Noyb im August 2020 erhoben hatte. Die Eingabe bezog sich zunächst auf einen österreichischen Verlag, der Google Analytics eingebunden hat. Eine weitergehende Beschwerde gegen Google selbst wies die DSB ab.

Mit dem Statistikwerkzeug habe der Webseitenbetreiber personenbezogene Daten des Beschwerdeführers an Google übermittelt, begründet die DSB ihren Beschluss. Dazu zählten einzigartige Nutzer-Identifikationsnummern, die IP-Adresse und Browserparameter. Googles Standardvertragsklauseln böten kein "angemessenes Schutzniveau", um die "Überwachungs- und Zugriffsmöglichkeiten durch US-Nachrichtendienste" nach dem Foreign Intelligence Surveillance Act (FISA) zu beseitigen.

Google hatte zuvor eingewandt, im Rahmen der Standarddatenschutzklauseln "technische und organisatorische Maßnahmen" ("TOMs") ergriffen zu haben wie Verschlüsselungstechniken, Zäune um Datenzentren und die Überprüfung von Behördenanfragen. Die DSB bewertete diese Maßnahmen aber als weitgehend nutzlos gegenüber den Ansprüchen von Geheimdiensten wie der NSA oder der Polizeibehörde FBI.

Hintergrund der Entscheidung ist das "Schrems II"-Urteil des Europäischen Gerichtshofs (EuGH) vom Sommer 2020, mit dem dieser den transatlantischen "Privacy Shield" und damit eine der wichtigsten Grundlagen für den Transfer von Kundendaten in die USA für ungültig erklärte. Die Luxemburger Richter stellten dabei fest, dass US-Gesetze wie FISA oder der Cloud Act eine Massenüberwachung durch Sicherheitsbehörden ermöglichen und der Datenschutzstandard in den Vereinigten Staaten nicht dem in der EU entspricht.

Die EU-Kommission bemühte sich in Folge, die Standardvertragsklauseln als alternatives Instrument für Datenübermittlungen an die EuGH-Rechtsprechung anzupassen und veröffentlichte die neue Version Anfang Juni. Google implementierte diese überarbeiteten Vorgaben im September 2021 für die eigenen Cloud-Dienste. Das Unternehmen kündigte dabei auch an, stärker auf Verschlüsselung setzen zu wollen.

Schrems hält solche Vorkehrungen nicht für ausreichend. Er kritisiert: "Anstatt ihre Dienste technisch so anzupassen, dass sie mit der DSGVO konform sind, haben US-Unternehmen versucht, einfach ein paar Texte in ihre Datenschutzrichtlinien einzufügen und den EuGH zu ignorieren. Viele EU-Unternehmen sind diesem Beispiel gefolgt, anstatt auf legale Dienste zu wechseln." Die Quintessenz der DSB-Entscheidung ist für den Noyb-Gründer: "EU-Unternehmen können keine US-Cloud-Dienste mehr nutzen."

Betroffen sieht Schrems die Betreiber sehr vieler Webseiten in der EU, da Google Analytics noch immer das am weitesten verbreitete Statistikprogramm sei. Obwohl es viele Alternativen gebe, die in Europa gehostet werden oder auf eigenen Servern laufen können, verließen sich noch zu viele Administratoren auf den US-Konzern. Insgesamt hat Noyb 101 vergleichbare Beschwerden in fast allen EU-Staaten eingereicht. Schrems geht daher davon aus, dass ähnliche Entscheidungen nun schrittweise auch dort fallen werden.

Erst vorige Woche hatte der EU-Datenschutzbeauftragte Wojciech Wiewiórowski verdeutlicht, dass der Einsatz von Google Analytics und des Zahlungsanbieters Stripe durch das Europäische Parlament nicht mit dem "Schrems II"-Urteil zu vereinbaren ist. Zuvor hatte das Verwaltungsgericht Wiesbaden einer Hochschule auf Basis des EuGH-Grundsatzbeschlusses untersagt, auf ihrer Homepage den "Cookiebot" einzubinden und so Daten in die USA zu übertragen.

Nicht zufrieden ist Noyb damit, dass die DSB die Beschwerde gegen Google als Datenempfänger in den USA zurückgewiesen hat. Man prüfe, gegen diesen Teil der Entscheidung vorzugehen. Zugleich habe die Aufsichtsbehörde aber erklärt, dass das Verfahren gegen Google mit Blick auf mögliche Verstöße gegen andere Artikel der DSGVO weiter laufe. Dazu werde es wohl noch eine eigene Entscheidung geben.

(vbr)