Datenschutz

Entscheidung: Für Google Analytics wird es nun richtig eng

17.01.2022 - Gleich mehrere europäische Behörden haben in der vergangenen Woche den Daumen über die Verwendung von Google Analytics gesenkt. Schon bald könnte die Verwendung des beliebten Analysetools zweifelsfrei verboten sein.

von Dominik Grollmann

iBusiness hat schon mehrfach gewarnt (siehe: Rechtspraxis - Diese Fallstricke lauern in Google Analytics   , Praxis - Wie Google Analytics nach dem EuGH-Urteil rechtssicher bleibt   und Mehr als nur der Like-Button - So müssen Sie auf das EuGH-Urteil reagieren   ), nun scheint die Luft für das weit verbreitete Analyticswerkzeug von Google   endgültig dünn zu werden:


Worum geht es?

Im Kern geht es um die Frage, ob in den USA ein dem europäischen Recht vergleichbares Datenschutzniveau sichergestellt werden kann. Früher war das einfach: Im sogenannten "Safe Harbour"-Abkommen hatten EU und USA dies ausgehandelt und sich gegenseitig quasi amtlich bestätigt. 2015 kippte der Europäische Gerichtshof dieses Abkommen aber, weil er erheblich Mängel entdeckte (siehe iBusiness: EuGH kippt Safe-Harbour-Abkommen   ).

Das Nachfolgeabkommen hieß Privacy Shield und wurde 2020 - im wesentlichen mit den gleichen Argumenten - ebenfalls durch den EuGH gekippt (siehe: Privacy-Shield gekippt - Das EuGH-Urteil und die Folgen   ). Das Problem: US-Anbieter sind unter anderem durch den Cloud-Act und den Foreign Intelligence Surveillance Act (FISA) gesetzlich verpflichtet, auf Anforderung von US-Behörden (wie Geheimdiensten) Informationen herauszugeben, auf die sie Zugriff haben. Ausdrücklich auch ohne die Betroffenen darüber zu informieren. Dies widerspricht den europäischen Datenschutzanforderungen, deren Niveau nach DSGVO nicht unterschritten werden darf (zumindest nicht ohne Aufklärung und ausdrückliche Zustimmung der Verbraucher).

Das Gericht ließ aber zugleich eine winzige Auslegungslücke offen: Es erklärte, dass das Privacy Shield zwar gekippt sei, grundsätzlich aber ein Verfahren nach den EU-Standardvertragsklauseln angewendet werden könnte. Seither berufen sich Vertragsparteien nicht mehr auf die Rahmenvereinbarung "Privacy Shield", sondern sichern mittels dieser Klauseln selbst vertraglich zu, das europäische Datenschutzniveau einzuhalten.

Allerdings wurde bei diesem Vorgehen gerne übersehen, dass die EuGH-Richter ausdrücklich betonten, dass sie - mangels Auftrag - nicht geprüft hatten, ob die Vertragsklauseln im konkreten Fall auch von US-Unternehmen anwendbar seien. Denn es geht nicht nur um die Frage, ob die entsprechende Zusicherung abgegeben wird, sondern auch um die Frage, ob sie eingehalten werden kann. Letzteres sei aufgrund der US-Rechtslage gar nicht möglich, warnten Experten schon 2020.

Was ist nun passiert?

Um diese offene Frage zu klären, hat der Wiener Datenschutzaktivist Max Schrems im Juni vergangenen Jahres Beschwerde gegen 101 europäische Unternehmen aus allen 30 EU- und EWR-Mitgliedsstaaten erhoben (siehe iBusiness: Privacy-Shield-Aus - Datenaktivist reicht Beschwerde gegen 101 Firmen ein   ). Er wirft ihnen vor, ihre Websites immer noch unter Verwendung von Google Analytics und Facebook   Connect zu betreiben. Dies hat letztlich zu der Entscheidungen der österreichischen Datenschutzbehörde geführt.

Die Entscheidung in den Niederlanden steht noch aus, die eindeutige Warnung lässt jedoch ahnen, dass auch dort zumindest große Bedenken vorherrschen.

Ob sich die bayerische Behörde zu einer anderen Einschätzung durchringen kann, ist noch offen. Allerdings müssten sie der Einschätzung ihrer österreichischen Kollegen schon sehr direkt widersprechen. Denn: Zu ihnen ist ein Fall herübergeschwappt, den die Wiener bereits negativ beurteilt haben. Weil das betroffene Unternehmen während der Beschwerdeprüfung aber an einen Münchner Verlag verkauft wurde, konnten die Österreicher nur das Verhalten bis zu diesem Stichtag beurteilen. Für die darauffolgende Zeit sind nun die Münchner zuständig. Sollten sie anders entscheiden, müssten sie also entweder eine geänderte Faktenlage vorbringen oder der österreichischen Einschätzung frontal widersprechen.

Wer ist betroffen?

Die österreichische DSB hat entschieden, dass der inkriminierte Website-Betreiber gegen die DSGVO verstieß, weil dieser personenbezogene Daten an Dritte (Google) weitergegeben hat. Abgewiesen hat die Behörde dagegen die Beschwerde gegenüber Google, weil diesem Anbieter keine Datenweitergabe nachgewiesen werden konnte. Beschwerdeführer Schrems erwägt mit dem Verein Noyb   gegen diesen Teil des Beschlusses vorzugehen.

Neben der niederländischen und der bayerischen Entscheidung stehen noch zahlreiche weitere Entscheidungen in der gesamten EU aus. Diese werden in den kommenden Monaten erwartet. Es ist daher zu erwarten, dass sich noch in diesem Jahr eine einheitliche Linie abzeichnen wird.

Betroffen ist aber nicht nur Google Analytics. Ganz konkret hat Schrems ja auch Beschwerden betreffend der Verwendung von Facebook Connect eingereicht. Über diese wird ebenfalls erst noch entschieden. Allgemein sind aber alle Datenverarbeitungen personenenbezogener Daten durch US-Anbieter betroffen - ganz gleichgültig, ob es sich um eine Marketing-Automation-Lösung, einen Mailer oder ein Analysedienst handelt.

Ihr Guide im New Marketing Management - ab 6,23 im Monat!

Hat Ihnen diese Beitrag weiter geholfen? Dann holen Sie sich die ONEtoONE-Premium-Mitgliedschaft. Sie unterstützen damit die Arbeit der ONEtoONE-Redaktion. Sie erhalten Zugang zu allen Premium-Leistungen von ONEtoONE, zum Archiv und sechs mal im Jahr schicken wir Ihnen die aktuelle Ausgabe.

Mehr zum Thema:
Diskussion:

Vorträge zum Thema:

  • Bild: Markus Bückle
    Markus Bückle
    (econda GmbH)

    Die Herausforderungen im Datenschutz 2023 bewältigen

    Datenschutzkonforme Personalisierungs- und Analyticslösungen werden für die Zukunft immer wichtiger. Wir zeigen Dir, welche Möglichkeiten Du 2023 einsetzen musst, willst Du nicht mit der Zukunft Deines Unternehmens spielen.

    Diese Herausforderungen gibt es 2023 durch den Datenschutz:

    • Wie Personalisierung und Analysesoftware Dein Fachpersonal entlasten können.
    • Wie Du das Kostenargument bewältigst
    • Wieso 2023 der Einsatz von Google Analytics rechtlich bedenklich ist und von vielen Kunden auch schlicht abgelehnt wird.
    • Wie Du Deinen Datenbestand datenschutzkonform selbst aufbaust statt ihn an US-Anbieter zu veschenken

    Vortrag im Rahmen der Zukunftskonferenz 2023. Trends für ECommerce, Marketing und digitales Business am 07.12.22, 10:05 Uhr

Anzeige
www.hightext.de

HighText Verlag

Mischenrieder Weg 18
82234 Weßling

Tel.: +49 (0) 89-57 83 87-0
Fax: +49 (0) 89-57 83 87-99
E-Mail: info@onetoone.de
Web: www.hightext.de

Kooperationspartner des

Folgen Sie uns:



Besuchen Sie auch:

www.press1.de

www.ibusiness.de

www.neuhandeln.de