DSGVO-Strafe: Tele2 muss eine Million Euro zahlen wegen Google Analytics

Dem in Schweden ansässigen Telekommunikationsunternehmen Tele2 kommt das Nachverfolgen von Nutzern auf seinen Webseiten mithilfe von Google Analytics teuer zu stehen. Die schwedische Datenschutzbehörde hat dies als Verstoß gegen die Datenschutz-Grundverordnung (DSGVO) eingestuft und eine Strafe in Höhe von 12 Millionen Kronen (1 Million Euro) gegen den Konzern verhängt, der in Deutschland als Call-by-Call-Anbieter bekannt wurde. Aus gleichem Grund muss der Online-Händler CDON 300.000 Kronen (25.350 Euro) zahlen. Mit Coop und Dagens Industri kamen zwei weitere Firmen mit Verwarnungen davon, da sie bessere Schutzmaßnahmen implementiert hatten.

Hintergrund ist das "Schrems-II"-Urteil des Europäischen Gerichtshofs (EuGH) vom Sommer 2020, mit dem dieser den transatlantischen "Privacy Shield" und damit eine der wichtigsten Grundlagen für den Transfer von Kundendaten in die USA für ungültig erklärte. Max Schrems und der von dem Juristen gegründete Datenschutzverein Noyb reichten daraufhin 101 Musterbeschwerden in fast allen EU-Staaten ein. Dazu gehörten auch die nun entschiedenen vier schwedischen Fälle. Anfang 2022 hatten die Datenschutzbehörden von Frankreich und Österreich in Folge schon entschieden, dass der Einsatz des Google-Statistikdiensts auf Webseiten mit europäischen Besuchern nicht mit der DSGVO vereinbar ist.

Unzureichende Maßnahmen

In ihren Untersuchungen ging die schwedische Aufsichtsinstanz davon aus, dass es sich bei den über das Statistikwerkzeug von Google in die USA übermittelten Daten um personenbezogene Informationen handelt. Die Integritetsskyddsmyndigheten (IMY) kam auf dieser Basis zu dem Schluss, dass die von den vier Unternehmen getroffenen technischen Sicherheitsmaßnahmen nicht ausreichten, um das nötige Schutzniveau zu gewährleisten. Prinzipiell sei es zwar möglich, sich beim Transfer von Daten in Drittstaaten auch ohne übergreifendes Abkommen auf die sogenannten Standardvertragsklauseln zu stützen. Diese müssten aber durch zusätzliche Schritte vor externen Zugriffen abgesichert werden.

Tele2 stellte die Nutzung von Google Analytics vor Kurzem aus eigener Initiative ein. Die IMY wies die anderen drei Firmen an, das Analysewerkzeug nicht mehr zu verwenden. Die Behörde betonte, dass die vier Beschlüsse auch als Orientierung für andere Organisationen dienen sollten, die den Dienst noch verwenden.

Noyb begrüßte, dass die Kontrolleure erstmals Strafen in der Sache verhängten. Nur so können Unternehmen bewegt werden, sich an die Datenschutzgesetze zu halten. Die Aktivisten weisen zudem darauf hin, dass der geplante neue Datenschutzrahmen zwischen der EU und den USA den bisherigen aufgehobenen Übereinkommen strukturell entspreche. Es sei daher sehr wahrscheinlich, dass der EuGH auch den neuen Anlauf "für nichtig erklären wird".

(olb)