(01.02.2022)
Dienste von US-Anbietern zu nutzen, ist in Europa leider weiterhin kompliziert. Insbesondere wenn Sie eine Webseite mit dem Trackingdienst Google Analytics betreiben, könnte neues Ungemach drohen.
Denn in Österreich hat die Datenschutz-Aufsichtsbehörde entschieden: Google Analytics ist nicht datenschutzkonform und der Einsatz damit rechtswidrig. Diese Entscheidung gilt zwar nur für einen konkreten, österreichischen Einzelfall und wurde noch nicht durch ein Gerichts-Urteil bestätigt. Aber es könnte passieren, dass auch Aufsichtsbehörden in Deutschland eine solche Entscheidung treffen (ein entsprechender Vorgang ist anhängig; fox-on wird informieren, sofern es Neuigkeiten gibt).
Grund ist, dass Google personenbezogene Daten in den USA verarbeitet. Dazu gehören unter anderem nicht nur einzigartige Online-Kennungen und IP-Adressen, sondern auch weitere Angaben über den genutzten Rechner und andere Daten. Dadurch kann selbst bei einer Anonymisierung der IP-Adresse der Bezug zum Gerät und damit einer Person hergestellt werden.
Google rechtfertigt die Datenübermittlung mit den neuen EU-Standardvertragsklauseln. Diese sind aber alleine nicht mehr ausreichend (wir hatten dazu u.a. im Juli 2021 über das sogenannte Schrems-II-Urteil berichtet). Seither müssen neben den Standardvertragsklauseln „zusätzliche Maßnahmen“ getroffen werden, um die personenbezogenen Daten außerhalb der EU zu schützen. Das betrifft übrigens Übermittlungen in alle Drittländer, nicht nur in die USA.
Achten Sie deshalb darauf:
Bei Datenübermittlungen in die USA und andere Drittländer muss geprüft und dokumentiert werden, mit welchen zusätzlichen Schutzmaßnahmen die Daten geschützt werden.
Hier im konkreten Fall hatte Google eine Reihe von Maßnahmen zugesagt (zum Beispiel, jede Anfrage von US-Sicherheitsbehörden sorgfältig zu prüfen, die davon betroffenen EU-Bürger zu informieren sowie Daten zu verschlüsseln). Die österreichische Aufsichtsbehörde stellte jedoch fest: Das reicht aus ihrer Sicht nicht aus. US-Behörden hätten dennoch das Recht, auf die Daten zuzugreifen und einen Bruch der Verschlüsselung zu verlangen.
Wenn sich andere Aufsichtsbehörden und insbesondere Gerichte dieser Argumentation anschließen, wäre ein legaler Datentransfer in die USA kaum mehr möglich. Insofern bleibt es in diesem Themenumfeld leider spannend
Zusammenfassung:
Bei Datenübermittlungen aus der EU heraus müssen zusätzlichen Schutzmaßnahmen geprüft und dokumentiert werden. Falls Sie Google Analytics einsetzen: Seien Sie darauf vorbereitet, die Nutzung eventuell einzustellen oder durch einen anderen Dienst zu ersetzen. fox-on hat das Thema im Blick und informiert gegebenenfalls über neue Rahmenbedingungen.