Blog-Layout

Google-Analytics und DSGVO: Ist der Einsatz rechtswidrig?

Ist der Einsatz von Google Analytics rechtswidrig?


Das Jahr 2021 war ein Rekordjahr in Sachen DSGVO-Bußgeldern. So wurde von der Luxemburger Aufsichtsbehörde (CNPD) gegen Amazon ein Bußgeld in Hohe von 746 Millionen Euro wegen rechtswidrigem Nutzer-Tracking verhängt. Und auch gegen WhatsApp wurde die irische Datenschutzbehörde wegen der rechtswidrigen Weitergabe von Nutzerdaten an Facebook mit 225 Millionen Euro tätig. In diesem Jahr geraten nun Google-Dienste erneut ins Visier, wie zuletzt der Google-Dienst "Analytics" durch die österreichische Datenschutz-Aufsichtsbehörde. Gefolgt von der französische Aufsichtsbehörde (CNIL), die nicht dafür bekannt ist, mit dem Datenschutz hinter dem Berg zu halten.

US-Datentransfer auf dem Prüfstand

Der Datentransfer in die USA ist bereits seit geraumer Zeit problematisch. Nachdem der bereits 2. Angemessenheitsbeschluss für den Datentransfer in die USA - das EU-US Privacy Shield - vom Europäischen Gerichtshof mit dem Schrems-II-Urteil am 16. Juli 2020 gekippt wurde, war der Datentransfer nur noch unter strengen Voraussetzungen zulässig. Mit dem Privacy Shield hatten US-Unternehmen zuvor die Möglichkeit, sich auf ein angemessenes Datenschutzniveau zu verpflichten. Eine Nachfolgeregelung steht seither aus und der wesentliche Kritikpunkt des anlasslosen Datenzugriffs aufgrund nationaler Sicherheitsgesetze in den USA, steht nach wie vor im Raum.

Entscheidungen mit hoher Tragweite


Das Vorgehen gegen den US-Datentransfer betrifft nun erneut den Statistik-Dienst Google-Analytics, der bereits in der Vergangenheit in der Kritik stand und weltweit am meisten verbreitet ist. Die österreichische Datenschutzbehörde entschied jüngst, dass der Einsatz von Google Analytics in Europa rechtswidrig sei. Ein Verfahren wegen der Nutzung für derzeit die französische Datenschutzaufsicht "The Commission nationale de l'informatique et des libertés (kurz: CNIL)". Laut Pressemitteilung der CNIL wurde ein Webseiten-Betreiber dazu angewiesen, die Analyse DSGVO-konform zu gestalten oder den Dienst abzustellen. Hauptkritikpunkt ist erneut, dass der Analyse-Dienst nicht datenschutzkonform eingesetzt werden könne. Insbesondere werde jedem Besucher ein Identifier zugeordnet, der ein personenbezogenes Datum bilde und die damit assoziierten Daten in die USA übertrage. Auch bei der aktiven IP-Anonymisierung sei letztlich nicht nachvollziehbar, dass diese nach der Datenübermittlung in die USA auch tatsächlich erfolge. Bereits zuvor hatte sich der Europäische Datenschutzausschuss (EDSA) entsprechend mit Google-Diensten sowie dem Zahlungsdienst Stripe befasst. Die behördlichen Verfahren basieren nun in erster Linie auf den Erkenntnissen der Schrems-Organisation NOYB ("None of Your Business") sowie auf den von der Organisation eingereichten 101 Beschwerden, die zur Entscheidung des EuGH's in der Rechtssache C-311/18 geführt hatten (Schrems-II).

Das Jahr 2022 ist längst nicht vorbei

Zudem tritt auch der Europäische Datenschutzausschuss (EDSA) bemerkenswert auf den Plan. Während in Krisen-Zeiten cloudbasierte Dienste florieren, soll nun auch der öffentliche Sektor koordiniert überprüft werden. So werden branchenübergreifend über 75 Stellen in den Bereichen Gesundheit, Finanzen, Steuern und Bildung adressiert und förmliche Untersuchungen eingeleitet. Schwerpunkte der Prüfung sind neben den technischen und organisatorischen Sicherheitsvorkehrungen auch der zugehörige Drittlandtransfer durch Cloud-Dienste und Auftragsverarbeiter. Entsprechende Durchsetzungsmaßnahmen sind nach der Analyse zu erwarten. Die Pressemitteilung des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) kann auf dieser Seite abgerufen werden.

Fazit und Ausblick

Die Tätigkeiten europäischer Aufsichtsbehörden erreichen inzwischen eine hohe Tragweite für die unternehmerische Praxis. Der Trend verstetigt sich, dass die Übermittlung von personenbezogenen Daten in die USA generell als rechtswidrig einzustufen ist. Der Einsatz und die Entwicklung datenschutzfreundlicher Technologien aus dem europäischen Raum hätte damit weiterhin Konjunktur. Unternehmen sollten sich im Jahr 2022 daher mit der digitalen Transformation sowie Technologien befassen, mit denen Compliance-Risiken sowie Risiken für die Rechte und Freiheiten Betroffener deutlich reduziert werden können. So ist nicht nur zu erwarten, dass sich die technologische Architektur in der EU verändern wird, sondern auch der Faktor "Trust" noch mehr in den Vordergrund rückt.

WhatsApp und die DSGVO im Fokus von Unternehmen

DSGVO-Gefahren, die bei der Nutzung von WhatsApp lauern

13 Sept., 2023
Welche Sanktionsgefahren und DSGVO-Risiken sind bei der Nutzung von WhatsApp im Unternehmen zu beachten? Der Artikel beleuchtet die wichtigsten Aspekte.
Datenschutz ist im digitalen Überwachungszeitalter wichtig

Basics: Was ist Datenschutz und welche Bedeutung hat er?

13 Juni, 2023
Sie suchen einen fundierten Einstieg zum Thema Datenschutz und DSGVO? In diesem Artikel gehen wir auf die grundlegenden Aspekte und Basics ein.
Die Überwachung von Fluggästen nimmt an Fahrt auf

Gläserne Passagiere: 5 wichtige Hinweise zum Datenschutz

10 Apr., 2023
5 wichtige Hinweise zum Datenschutz, die Sie bei der nächsten Urlaubsplanung zum Schutz Ihrer Privatsphäre beachten sollten.
Im Home Office sind viele Aspekte des Datenschutzes zu beachten

New Work und Homeoffice: Und der Datenschutz?

12 Aug., 2022
Worauf sollten Unternehmen und Beschäftigte in Zeiten von New Work und Home Office achten? Ein kurzer Überblick wie Sie Ihr Unternehmen schützen können.
Die Rechtsprechung zum Auskunftsrecht nach der DSGVO ist da

Die DSGVO-Auskunft, Rechtsprechung und Schadenersatz

08 Juni, 2022
Die aktuelle Rechtsprechung zum Auskunftsrecht nach der DSGVO und ihre Auswirkungen in der betrieblichen Praxis im Überblick.
Der Datentransfer zwischen der EU und den USA steht zur Debatte

EU-US Privacy Shield 2.0: Ist das Warten vorbei?

28 März, 2022
Das Privacy Shield 2.0 und der transatlantische Datenschutzrahmen im Überblick. Was enthalten die neuen Rahmenbedingungen zum US-Datentransfer?
Das E-Mail-Marketing findet auf vielen Endgeräten und Kanälen statt

E-Mail-Marketing und DSGVO: Worauf ist zu achten?

21 Feb., 2022
Die rechtlichen Anforderungen im E-Mail-Marketing sind vielfältig. Neben der Einwilligung nach DSGVO zählt auch das Wettbewerbsrecht.
Die DSGVO ist für Vereine nach wie vor eine schwierige Herausforderung

Datenschutz im Verein, wie am besten umsetzen?

14 Feb., 2022
Wie lässt sich der Datenschutz im Verein am besten umsetzen? Hier finden Vereine mit Nachholbedarf wichtige Tipps für die Umsetzung der DSGVO.
Arbeitsplätze könnten in Zukunft noch intensiver überwacht werden als bisher

Entwurf eines Beschäftigtendatenschutzgesetzes des DGB

11 Feb., 2022
Was enthält der Entwurf für ein Beschäftigtendatenschutzgesetz des DGB? Eine näherer Blick auf die Entwicklung der digitalen Überwachung am Arbeitsplatz .
Das TTDSG setzt Anforderungen der EU-Richtlinie und Rechtsprechung um

Cookies und das TTDSG: Was sich seit dem 01.12.2021 ändert

01 Feb., 2022
Welche Neuerungen zur Einwilligung gelten nach dem TTDSG, was bedeutet das "PIMS" und wie geht es mit der ePrivacy-Verordnung weiter? Wir klären auf.
Weitere Beiträge
Share by: