Am 23. Juni erließ die schwedische Datenschutzbehörde (IMY) vier Entscheidungen gegen Unternehmen, die Google Analytics verwendeten. In allen Entscheidungen wurde festgestellt, dass die Verwendung von Google Analytics nicht mit der Datenschutz-Grundverordnung vereinbar ist. Diesmal wurden zwei Geldbußen verhängt, eine davon in Höhe von 1 Million Euro.
Die Pressemitteilung auf der IMY-Website gibt einen guten Überblick über den rechtlichen Kontext der Entscheidungen, aber es gibt noch einiges mehr zu entdecken. Werfen wir also einen genaueren Blick auf die Entscheidung und was sie für die Nutzung von Google Analytics bedeutet.
Die rechtlichen Aspekte
Alle vier Entscheidungen gehen auf die 101 Beschwerden der NRO noyb gegen Google Analytics und Facebook Connect zurück. noyb hat bereits in anderen Ländern erfolgreich identische Verfahren angestrengt, und diese Entscheidungen sind mehr oder weniger identisch, d. h. ihr rechtlicher Inhalt ist eine Anwendung der Schrems-II-Entscheidungen des Europäischen Gerichtshofs.
Nach dem Schrems-II-Urteil müssen Unternehmen, die Daten in die USA übermitteln, zusätzlich zu den "Standard"-Schutzmaßnahmen, die die Datenschutz-Grundverordnung für alle Datenübermittlungen vorschreibt (in den meisten Fällen die von der EU-Kommission ausgearbeiteten Standardvertragsklauseln), zusätzliche Sicherheitsvorkehrungen treffen. Diese Sicherheitsvorkehrungen sind notwendig, weil die Gefahr der staatlichen Überwachung ausländischer Daten besteht, wie in den Snowden-Akten deutlich wurde.
Diese Schutzmaßnahmen sind jedoch sehr schwer umzusetzen und für Google Analytics völlig unmöglich zu übernehmen. Das liegt daran, dass Google Analytics die Besucher genau bestimmen muss, um zu funktionieren!
In jeder der vier schwedischen Entscheidungen:
- eine betroffene Person, vertreten durch noyb, beschwerte sich darüber, dass die Website des Unternehmens ihre personenbezogenen Daten unrechtmäßig in die USA übermittelt hatte
- das Unternehmen führte die von ihm getroffenen Schutzmaßnahmen auf, ebenso wie die von Google getroffenen Schutzmaßnahmen zur Sicherung der Datenübermittlung
- Die Datenschutzbehörde befand alle diese Maßnahmen für unzureichend und wies die Unternehmen an, die Verwendung von Google Analytics einzustellen.
Was ist neu an den Entscheidungen?
Während die rechtlichen Kernfragen die gleichen sind wie bei allen anderen Entscheidungen gegen Google Analytics, sind die Entscheidungen in einigen Punkten interessant.
Der erste ist, dass Geldbußen verhängt wurden. Gegen den größten der vier - den schwedischen Telekommunikationsriesen Tele2 - wurde ein Bußgeld von 1 Million Euro verhängt.
Andere Datenschutzbehörden haben bisher einen sanfteren Ansatz bevorzugt und die Unternehmen lediglich angewiesen, die Verwendung von Google Analytics einzustellen. Es wird interessant sein zu sehen, ob weitere Behörden dem Beispiel des IMY folgen werden. Wenn ja, könnte Google Analytics in Zukunft zu einem kostspieligen Verstoß werden!
Ein weiterer interessanter Aspekt der Entscheidung ist die Tatsache, dass zwei der Unternehmen tatsächlich technische Sicherheitsvorkehrungen getroffen hatten. Das heißt, sie haben tatsächlich etwas unternommen, um die Daten zu schützen, und nicht nur ein paar Compliance-Floskeln in ihre Unterlagen geschrieben, was eher eine Seltenheit ist.
Leider stellte die Behörde fest, dass weder das Hashing von Cookie-Kennungen noch das Proxying von IP-Adressen durch serverseitiges Tagging ausreichen, um die Daten zu schützen. Google sammelt und kontrolliert enorme Datenmengen, die es nutzen kann, um pseudonymisierte Daten mit einer Person zu verknüpfen. So kann beispielsweise eine gehashte Kennung mit den über das Google-Konto eines Besuchers gesammelten Browsing-Daten verknüpft werden.
Unterm Strich: Google sammelt so viele Daten - über Google Analytics, Google-Konten, seine APIs, seine (illegalen) Werbetracker auf Android-Geräten usw. -, dass es praktisch unmöglich ist, personenbezogene Daten, die Sie ihnen zur Verfügung stellen, ordnungsgemäß zu anonymisieren.
Mit anderen Worten: Googles eigenes datenhungriges Geschäftsmodell wird sich im Rahmen der Datenschutzgrundverordnung rächen!
Der Kontext
Google Analytics ist in der Vergangenheit bereits in den EU-Mitgliedstaaten praktisch verboten worden. Aber die Geschichte mit den Datenübertragungen ist noch länger, und ein kleiner Rückblick kann den Hintergrund der Entscheidungen verdeutlichen.
Von Snowden bis Schrems
Alles begann im Jahr 2012, als die Snowden-Akten die Existenz umfangreicher und wahlloser Überwachungsprogramme über ausländische Daten in den USA enthüllten. Ein Jahr später reichte der österreichische Staatsbürger Max Schrems (heute ein bekannter Datenschutzaktivist) eine Klage gegen Facebook Irland ein. Er argumentierte, dass die Übermittlung seiner persönlichen Daten an die US-Muttergesellschaft Facebook diese der Überwachung durch die USA aussetze und daher nach dem EU-Datenschutzrecht illegal sei. Dies war der Beginn eines langen Rechtsstreits: Der Fall wurde zweimal an den EU-Gerichtshof verwiesen, der in den bahnbrechenden Urteilen Schrems I und II zwei Datenübertragungsabkommen zwischen der EU und den USA für ungültig erklärte.
Schrems II wurde im Jahr 2020 entschieden und hatte aus zwei Gründen enorme Auswirkungen auf die Datenübermittlung. Erstens erklärte der Gerichtshof das Privacy-Shield-Rahmenwerk für ungültig, das zuvor problemlose Datenübermittlungen aus der EU in die USA ermöglichte. Zweitens befasste sich der Gerichtshof mit Standardvertragsklauseln, einem gemeinsamen Compliance-Mechanismus für Unternehmen, die Daten übermitteln wollen.
Bei den Standardvertragsklauseln handelt es sich um eine Reihe von standardisierten Klauseln, die von der Kommission ausgearbeitet wurden und in eine verbindliche Vereinbarung mit einem Empfänger aufgenommen werden sollen. Mit anderen Worten: Wenn Sie Daten in Länder außerhalb der EU übermitteln wollen, können Sie die SCC in einen Vertrag aufnehmen, und die Klauseln sagen der anderen Partei, was sie mit den Daten tun darf und was nicht. Auf diese Weise wird sichergestellt, dass personenbezogene Daten sicher und vertraulich in Länder außerhalb der Union übermittelt werden. Aber es gibt ein Problem: Diese Klauseln binden nur die Vertragsparteien und verhindern nicht die staatliche Überwachung.
Mit Schrems II hat der Gerichtshof SCCs als Datenübermittlungsmechanismus nicht für ungültig erklärt, sondern entschieden, dass sie bei Bedarf durch zusätzliche Garantien ergänzt werden müssen - wie es in den USA der Fall ist. Man kann sie also nicht einfach kopieren, den Vertrag unterschreiben lassen und dann Feierabend machen. Sie müssen sicherstellen, dass die SCC für Ihren Datentransfer tatsächlich funktionieren, und wenn das nicht der Fall ist, müssen Sie diesen Mangel an Schutz auf irgendeine Weise ausgleichen. Das Problem ist, dass dies schwierig und manchmal unmöglich ist, wenn es um staatliche Überwachung geht.
Datenübermittlung nach Schrems II
Unmittelbar nach dem Urteil in der Rechtssache Schrems II reichte die Datenschutz-NGO noyb (unter dem Vorsitz von Schrems) eine Reihe von 101 strategischen Beschwerden gegen Google Analytics und Facebook Connect ein, um die europäischen Behörden zu einer rigorosen Durchsetzung des Urteils in der Rechtssache Schrems II zu bewegen.
Die Behörden koordinierten ihr Vorgehen gegen die Beschwerden auf europäischer Ebene. Infolgedessen entschieden die österreichischen, französischen, italienischen, finnischen, norwegischen und schwedischen Datenschutzbeauftragten bei der Entscheidung über die Beschwerden von noyb gegen Google Analytics (obwohl die norwegische Entscheidung nur vorläufig ist). Auch die dänische Behörde vertrat in einer Pressemitteilung eine ähnliche Position.
Diese Entscheidungen besagen dasselbe: Google Analytics ist nicht in der Lage, personenbezogene Daten zu schützen. Angesichts der Koordinierung auf europäischer Ebene und der Vorreiterrolle der einflussreichen französischen und italienischen Behörden ist es wahrscheinlich, dass weitere Behörden folgen werden.
Es lohnt sich klarzustellen, dass die Entscheidungen sich zwar formal auf eine bestimmte Website beziehen, aber praktisch ein allgemeines Verbot von Google Analytics darstellen - denn es gibt wenig oder gar nichts, was ein Unternehmen tun kann, um persönliche Daten vor Überwachung zu schützen, wenn es das Tool verwendet.
Sowohl Behörden als auch Fachleute wissen sehr genau, was auf dem Spiel steht. Aus diesem Grund haben die rechtlichen Probleme von Google Analytics viel Aufmerksamkeit erregt und der Europäische Datenschutzausschuss hat für eine einheitliche Anwendung von Schrems II gesorgt, anstatt die Dinge den einzelnen Behörden zu überlassen.
Mehr als Google Analytics
Es geht nicht nur um Google Analytics. Vor einigen Monaten verhängte die irische Behörde eine Rekordstrafe in Höhe von 1,2 Milliarden Euro gegen Meta und ordnete an, dass das Unternehmen die Datenübermittlung in die USA aussetzen muss (wodurch die Gefahr eines Facebook-Blackouts für Europa sehr real ist).
Und um es klar zu sagen: Webanalysen und soziale Netzwerke sind das geringste Problem der EU. Eine strikte Anwendung von Schrems II könnte zahllose US-Anbieter bedrohen, darunter einige, die für europäische Unternehmen derzeit unverzichtbar sind - man denke nur an Oracle oder AWS!
Die EU und die Vereinigten Staaten sind dabei, einen neuen Rahmen für die Datenübermittlung zu schaffen, um diese Situation zu lösen. Dieser Rahmen muss jedoch noch von den Mitgliedstaaten genehmigt werden und - was am wichtigsten ist - die angekündigte Anfechtung vor dem EU-Gerichtshof überstehen.
Es ist schwer zu sagen, wie ein "Schrems III"-Urteil ausfallen wird, aber im Moment bleibt das Schicksal der Datenübermittlung zwischen der EU und den USA ungewiss.
Schlussfolgerung
Seit den Entscheidungen der französischen und italienischen Datenschutzbehörden haben wir davor gewarnt, dass mehr und mehr nationale Behörden gegen Google Analytics vorgehen würden. Die Zeit hat uns Recht gegeben. Die Bußgelder beginnen zu fließen, also ist dies ein guter Zeitpunkt, um Google Analytics loszuwerden!
Und vergessen wir nicht, dass die Datenübermittlung das geringste Problem von Google Analytics ist! Google Analytics ist eine riesige Überwachungsmaschine, die enorme Mengen personenbezogener Daten extrahiert, sie mit noch mehr personenbezogenen Daten kombiniert, die von anderen Diensten im Google-Ökosystem gesammelt werden, und sie in den Datenschutz-Müllhaufen einspeist, der das Echtzeitgebotssystem ist.
Würde die Datenschutz-Grundverordnung besser durchgesetzt, wäre Google Analytics aufgrund der Art und Weise, wie es mit personenbezogenen Daten umgeht, illegal, unabhängig davon, wohin sie gelangen. Wir glauben, dass wir es besser machen können!
Simple Analytics bietet Ihnen alle Einblicke, die Sie benötigen, um Ihr Geschäft auszubauen und Ihre Kampagnen zu überwachen , ohne persönliche Daten zu sammeln! Wir glauben, dass der Schlüssel zu einem unabhängigen, datenschutzfreundlichen Internet darin besteht, mit weniger mehr zu erreichen. Wenn Sie sich davon angesprochen fühlen, probieren Sie uns doch einfach aus!