Die französische Datenschutzbehörde (CNIL ) hat sich letzte Woche zu Wort gemeldet: Die Verwendung von Google Analytics verstößt gegen die GDPR-Verordnung.
In ihrer Pressemitteilung kommt die CNIL zu dem Schluss, dass Übermittlungen in die Vereinigten Staaten nicht ausreichend geregelt sind. Sie verweist auf die koordinierten Bemühungen der EU-Länder, gemeinsam Konsequenzen aus dem"Schrems II"-Urteil des Europäischen Gerichtshofs zu ziehen. Die Erklärung kommt einige Wochen nach einer ähnlichen Stellungnahme des DSB (der österreichischen Aufsichtsbehörde).
Es ist das zweite EU-Land, das die Verletzung von Artikel 44 der DSGVO durch Google offen einräumt. Wir glauben, dass andere Länder diesem Beispiel folgen werden.
- CNIL: Google Analytics verstößt gegen die Datenschutz-Grundverordnung
- Was wird die Zukunft bringen?
- Aktualisierungen
- Einfache Analytik
CNIL: Google Analytics verstößt gegen die Datenschutz-Grundverordnung
Obwohl es einige Zeit gedauert hat, bis die Aufsichtsbehörden gehandelt haben (die Untersuchung reicht bis August 2020 zurück), scheint die Dynamik jetzt voll da zu sein. Nachdem der DSB letzten Monat seine Erklärung veröffentlicht hatte, gab die CNIL letzte Woche die Nachricht bekannt.
In unserem früheren Beitrag (auf Englisch), in dem wir über die Entscheidung des DSB berichten, die Verwendung von Google Analytics für ungültig zu erklären, haben wir die Ursache für diese Reaktionen analysiert.
Kurz gesagt, die EU-GPDR-Gesetze fordern den Datenschutz für ihre Bürger. Die USA halten sich jedoch nicht an diese Richtlinien. Sie bieten Nicht-US-Bürgern keine Möglichkeit zu erfahren, wie ihre Daten verarbeitet oder (falsch) verwendet werden. Die CNIL reagiert darauf, dass Datenübermittlungen nur stattfinden können, wenn entsprechende Garantien gegeben werden, was derzeit nicht der Fall ist.
Was wird die Zukunft bringen?
Der zweite Dominostein ist gefallen. Frankreich ist das zweite EU-Land, das die Verwendung von Google Analytics offen für ungültig erklärt hat. In ihrer Erklärung sprach die CNIL von einer koordinierten Anstrengung mehrerer EU-Länder. Es ist zu erwarten, dass in den kommenden Monaten weitere EU-Länder diesem Beispiel folgen werden.
Google hat zwar Maßnahmen ergriffen, um den Datentransfer besser zu regeln, doch diese reichen nicht aus, da sie immer noch nicht ausschließen, dass diese Daten für US-Geheimdienste zugänglich sind.
Bislang ist nicht bekannt, ob die CNIL gegen den betreffenden Website-Betreiber eine Geldstrafe verhängt hat. Allerdings hat sie ein Ultimatum gestellt. Der Website-Betreiber hat einen Monat Zeit, um die Datenschutzgesetze einzuhalten oder einen anderen Webanalyse-Anbieter zu finden. In der Zwischenzeit arbeitet die CNIL an einer Liste von Empfehlungen, um Google Analytics durch konforme Alternativen, wie Simple Analytics, zu ersetzen.
Aktualisierungen
Nach der Entscheidung hat sich viel getan:
- Der italienische GPDP und der finnische Ombudsmann haben ebenfalls gegen die Verwendung von Google Analytics entschieden. Die CNIL und die GPDP sind beide einflussreiche Datenschutzbehörden, so dass andere ihrem Beispiel folgen könnten
- das norwegische Datatylsinet wird wahrscheinlich in einem noch nicht abgeschlossenen Fall gegen Google Analytics entscheiden
- die dänische Datenschutzbehörde hat in einer Pressemitteilung über die Verwendung von Google Analytics im Wesentlichen denselben Ansatz gewählt
- Meta wurde in einem viel beachteten Fall, an dem alle europäischen Datenschutzbehörden beteiligt waren, angewiesen, die US-Datenübermittlung für Facebook auszusetzen. Außerdem wurde das Unternehmen zu einer Geldstrafe von 1,2 Milliarden Euro verur teilt (kein Tippfehler!).
- ein neuer Rahmen für die Datenübermittlung zwischen der EU und den USA ist auf dem Weg. Der neue Rahmen ist in mancherlei Hinsicht noch problematisch und wird sicherlich vor Gericht angefochten werden. Wir sehen einer weiteren Schrems-Entscheidung entgegen, und es ist schwer zu sagen, wie sie ausfallen wird.
Wir haben auch zwei Blogs über Datenübertragungen im Allgemeinen und die Probleme von Google Analytics mit Datenübertragungen geschrieben. Diese Blogs enthalten tiefer gehende Informationen._
Einfache Analytik
Die Zukunftssicherheit Ihres Unternehmens ist für jedes Unternehmen auf der Welt von entscheidender Bedeutung. Die Einführung einer datenschutzfreundlichen Lösung für Ihre Webanalyse ist eine der Maßnahmen, die Sie ergreifen müssen, um Ihr Unternehmen zukunftssicher zu machen (insbesondere wenn Sie ein EU-Unternehmen sind). Testen Sie uns, um Ihr Unternehmen zukunftssicher zu machen.