Frankreichs Datenschutzbehörde: Google Analytics ist in der EU rechtswidrig
Laut der CNIL reichen auch die von Google getroffenen zusätzlichen Schutzmaßnahmen nicht aus, um den Zugriff durch US-Geheimdienste auszuschließen.
(Bild: mixmagic/Shutterstock.com)
Die einflussreiche französische Datenschutzbehörde CNIL hat entschieden, dass der Einsatz von Google Analytics auf Webseiten mit europäischen Besuchern nicht mit der Datenschutz-Grundverordnung (DSGVO) vereinbar ist. Wer das Statistikprogramm nutze, verstoße gegen die Vorgaben des Gesetzes zur Datenübermittlung, erklärte die einflussreiche Aufsichtsinstanz. Google habe für den Transfer in die USA zwar zusätzliche Schutzmaßnahmen ergriffen. Diese reichten aber nicht aus, "um den Zugriff auf diese Daten durch US-Geheimdienste auszuschließen".
Auf Google Analytics verzichten
Mitte Januar hatte die österreichische Datenschutzbehörde (DSB) einen ähnlichen Beschluss gefasst. Hintergrund ist das "Schrems-II"-Urteil des Europäischen Gerichtshofs (EuGH) vom Sommer 2020, mit dem dieser den transatlantischen "Privacy Shield" und damit eine der wichtigsten Grundlagen für den Transfer von Kundendaten in die USA für ungültig erklärte. Die Luxemburger Richter monierten, dass US-Gesetze wie der Cloud Act eine Massenüberwachung ermöglichten und die Datenschutzstandards nicht vergleichbar seien.
Max Schrems und der von dem Juristen gegründete Datenschutzverein Noyb reichten daraufhin 101 Musterbeschwerden in fast allen EU-Staaten ein. Die CNIL wies nun den Betreiber einer betroffenen französischen Webseite an, die darüber erfolgende Datenverarbeitung mit der DSGVO in Einklang zu bringen. Er müsse daher "gegebenenfalls die Nutzung der Google-Analytics-Funktionalität" unter den derzeitigen Bedingungen einstellen und auf ein Werkzeug setzen, das keine persönlichen Informationen in die USA übertrage. Sie gab dem Betreiber dafür einen Monat Zeit.
Google mahnt Privacy Shield-Nachfolger an
Die von Schrems angeführten französischen Unternehmen, die zum Zeitpunkt der Beschwerden Google Analytics verwendeten, waren die Einzelhändler Auchan und Decathlon sowie das Kosmetikgeschäft Sephora. Die Eingabe von Noyb richtete sich zudem in Frankreich etwa gegen das Online-Magazin HuffPost, das Facebook Connect nutzt. Die Untersuchung der CNIL und ihrer europäischen Partner erstreckt sich auch auf solche Instrumente, mit denen ebenfalls Daten europäischer Nutzer in die USA gelangen. Einschlägige Entscheidungen sollen bald folgen. Auch die niederländische Datenschutzbehörde hat einen Beschluss gegen Google Analytics angekündigt.
Zum Messen und Analysieren der Besucherzahlen einer Webseite empfiehlt die CNIL Dienste, die mit anonymen statistischen Daten arbeiten. Hier könne eine Ausnahme von der prinzipiell erforderlichen Einwilligungspflicht greifen, wenn sicherstellt werden, "dass keine illegalen Übermittlungen stattfinden". Google mahnt derweil nachdrücklich einen Privacy Shield-Nachfolger an.
(bme)
