Am 13. Januar hat die niederländische Datenschutzbehörde (AP) die legale Verwendung von Google Analytics in den Niederlanden offen in Frage gestellt. In ihrer Erklärung deutete die AP an, dass die Verwendung von Google Analytics in Zukunft verboten werden könnte.
Dies geschah, nachdem die DSB (das österreichische Äquivalent der AP) bestätigt hatte, dass die Verwendung von Google Analytics gegen die GDPR-Vorschriften verstößt.
Wir sind der Sache auf den Grund gegangen, um herauszufinden, was jetzt wirklich los ist.
Erforschen wir es!
Die Anklage
Am 14. August 2020 besuchte eine Person (nennen wir sie die "betroffene Person") eine Website zu Gesundheitsthemen, während sie mit ihren Anmeldedaten eingeloggt war. Die betreffende Website verwendete Google Analytics, um die Besucher ihrer Website zu verfolgen und zu überwachen.
Einige Tage später, am 18. August 2020, reichte noyb (eine NRO für digitale Rechte) im Namen der "betroffenen Person" eine Beschwerde beim DSB ein. Die Beschwerde richtete sich sowohl gegen den Betreiber der Website als auch gegen Google, den Eigentümer von Google Analytics.
In der Beschwerde wurde argumentiert, dass die Übermittlung von Daten an Google gegen die DSGVO verstößt, da Google als "Anbieter elektronischer Kommunikationsdienste" gilt. Dies bedeutet, dass Google angewiesen werden kann, Daten über EU-Bürger an US-Geheimdienste weiterzugeben. Dies bedeutet, dass die personenbezogenen Daten von EU-Bürgern nicht ausreichend vor der Überwachung durch die USA geschützt sind und daher gegen die DSGVO verstoßen.
Dies ist der entscheidende Punkt in der Beschwerde. Um es ganz offen zu sagen: Es geht nicht um die Verwendung von Google Analytics. Es geht um die Übermittlung Ihrer persönlichen Daten an US-Anbieter.
Das Urteil
Die erste Beschwerde führte zu einer Entscheidung, die die Kriterien von "Schrems II" anwendet. Schrems II ist ein Grundsatzurteil zur Datenübermittlung, das die Datenübermittlung in die USA erheblich erschwert. Dieses Urteil wurde von den Unternehmen bisher weitgehend ignoriert. Die Beschwerden von noyb sind ein Versuch, die Behörden dazu zu bringen, Schrems II strikt anzuwenden.
Die von noyb eingereichte Beschwerde umfasste mehrere Eingaben von beiden Seiten über einen Zeitraum von 1,5 Jahren. Google argumentierte, dass, selbst wenn eine Übermittlung stattgefunden hätte, die Daten nicht als personenbezogene Daten gelten würden, da sie nicht der "betroffenen Person" zugeordnet werden könnten. Außerdem sei ein "risikobasierter Ansatz" zu berücksichtigen, da das Risiko, die Daten tatsächlich offenlegen zu müssen, sehr gering sei.
Das DSB entschied anders und verzichtete auf die meisten der von Google vorgebrachten Argumente.
Google gilt als "Anbieter elektronischer Kommunikationsdienste" und kann zur Herausgabe personenbezogener Daten verpflichtet werden. Das Schutzniveau für personenbezogene Daten wird daher als unzureichend angesehen. Die von Google eingeführten zusätzlichen Maßnahmen wurden als unzureichend erachtet. Sie konnten die Weitergabe von personenbezogenen Daten an die US-Geheimdienste nicht verhindern.
Googles Antwort
Russell Ketchum, Leiter des Produktmanagements von Google Analytics, antwortete im Namen von Google. Er erklärte, dass "Google Analytics den Verbrauchern bei der Einhaltung der Vorschriften hilft, indem es ihnen eine Reihe von Kontrollen und Ressourcen zur Verfügung stellt". Er sagte, dass IP-Adressen anonymisiert werden können und dass die Datenerfassung (auf Anfrage) deaktiviert und gelöscht werden kann.
Ich denke, er geht hier völlig am Thema vorbei. In seiner Antwort spricht er hauptsächlich aus der Sicht des Website-Besitzers. Er erklärt, dass Organisationen die Kontrolle über die von ihnen gesammelten Daten haben. Es geht jedoch nicht um die Eigentümer der Website. Es geht um die Besucher der Website. Deren Daten sollten geschützt werden, und genau dafür wurde die DSGVO geschaffen.
Der Punkt ist die Übermittlung von Daten an US-Anbieter, die der Überwachung durch die US-Regierung unterliegen, wie Google. Er geht nur in einem Satz darauf ein und erklärt, dass die IP-Adressen anonymisiert werden, bevor die Daten an Server in den USA übertragen werden.
Dies verstößt immer noch gegen die GDPR-Verordnung. Der DSB entschied, dass selbst anonymisierte IP-Adressen personenbezogene Daten sind, da sie mit anderen digitalen Daten kombiniert werden können, um einen Besucher zu identifizieren. Dies ist auch der Punkt, an dem die meisten datenschutzfreundlichen Alternativen zu Google Analytics scheitern. Im Gegensatz zu anderen datenschutzfreundlichen Alternativen erheben wir bei Simple Analytics niemals Ihre IP-Adresse, nicht einmal in anonymisierter Form.
Aktualisierungen
Im Juni 2023 gab es keine neue Mitteilung der niederländischen Behörde zu diesem Fall. Aber es gibt viele andere Entwicklungen - und sie sind alle schlechte Nachrichten für Google Analytics:
- Die französischen, italienischen, norwegischen und finnischen Datenschutzbehörden haben sich alle gegen die Verwendung von Google Analytics ausgesprochen (wobei die finnische Entscheidung noch vorläufig ist).
- die dänische Behörde vertrat in einer Pressemitteilung dieselbe Position
- Meta wurde in einem viel beachteten Fall, an dem alle europäischen Datenschutzbehörden beteiligt waren, angewiesen, die Übermittlung von US-Daten für Facebook zu stoppen, und mit einer Geldstrafe von 1,2 Milliarden Euro belegt.
In der Zwischenzeit haben die EU und die USA Schritte zur Schaffung eines neuen Rahmens für die Datenübermittlung unternommen. Dieser Rahmen ist noch nicht vollständig umgesetzt und wird sicherlich vor dem Europäischen Gerichtshof angefochten werden - höchstwahrscheinlich von Herrn Schrems selbst. Unterm Strich wird Schrems III eine Feuertaufe sein, und es ist schwer zu sagen, ob der neue Rahmen dies überstehen wird!
Die Implikationen
Unterm Strich: Dies ist eine gute Entscheidung, aber keine neue. Sie ist eine Bestätigung dessen, was im Juli 2020 entschieden wurde, aber jetzt scheint sie mehr Wirkung zu haben. Ich persönlich habe das Gefühl, dass das Gesetz nun durchgesetzt werden wird.
Wenn das der Fall ist, würde ich erwarten, dass weitere EU-Mitgliedsstaaten dem österreichischen Beispiel folgen werden. Die NOYB hat insgesamt 101 Beschwerden in weiteren EU-Mitgliedsstaaten eingereicht und spricht von einer "koordinierten Reaktion". Die Niederlande sind die ersten, die nach Österreich die legale Nutzung von Google Analytics offen in Frage stellen.
Wie Max Schrems (Ehrenmitglied von noyb) feststellte, gibt es zwei Lösungen. Entweder müssen US-Anbieter ausländische Daten außerhalb der USA hosten, oder die USA verabschieden eine angemessene Datenschutzregelung.
Wenn es uns nicht gelingt, eine der oben genannten Lösungen umzusetzen, werden wir in Zukunft andere Produkte jenseits des großen Teichs verwenden. So oder so bietet dies anderen die Möglichkeit, mit Google und "Big Tech" als Ganzes zu konkurrieren.
Wir bei Simple Analytics haben eine datenschutzfreundliche Alternative zu Google Analytics entwickelt. Unser Ziel ist es, Organisationen zu zeigen, dass Webanalyse anders gemacht werden kann, indem wir genaue Einblicke liefern und gleichzeitig sofort GDPR-konform sind. Außerdem müssen Sie sich keine Sorgen machen, dass die Daten Ihrer Besucher an US-Anbieter übertragen werden, da sich unsere Server in den Niederlanden befinden. Testen Sie uns.