Google Analytics verstößt gegen die DSGVO

von Andreas Dolezal

Andreas Dolezal

Als Reaktion auf eine Musterbeschwerde von NOYB, der Datenschutz-NGO des bekannten Datenschützers Max Schrems, hat die österreichische Datenschutzbehörde eine ebenso wegweisende wie weitreichende Entscheidung getroffen: die Nutzung von Google Analytics verstößt gegen die Bestimmungen der Datenschutz-Grundverordnung.

Im Juli 2020 hat der Europäische Gerichtshof bekanntlich – ebenfalls auf Initiative von Max Schrems – das EU-US-Privacy Shield-Abkommen mit sofortiger Wirkung für ungültig erklärt, indem er entschied, dass die Nutzung von US-Anbietern bzw. das Übermitteln von personenbezogenen Daten an die USA gegen die DSGVO verstößt. Denn die US-Überwachungsgesetze verpflichten US-Anbieter wie Google dazu, persönliche Daten von EU-Bürgern (die beim Einsatz des Analyse-Tools Google Analytics erhoben werden) gegebenenfalls an US-Behörden zu übermitteln.

Zwar hat die EU-Kommission als Folge neue Standardvertragsklauseln bereitgestellt, aber diese lösen das Problem mit dem fehlenden Datenschutzabkommen mit den USA (und generell mit dem Datentransfer an Drittländer außerhalb der EU) in der Praxis auch nicht wirklich. Das stellt die DSB in ihrer Entscheidung (GZ: 2021-0.586.257/D155.027) explizit fest:

(…) die Standarddatenschutzklauseln (…), (bieten) kein angemessenes Schutzniveau gemäß Art. 44 DSGVO, da der Zweitbeschwerdegegner (Anmerkung: Google) als Anbieter elektronischer Kommunikationsdienste (…) der Überwachung durch US-Geheimdienste unterliegt, und die Maßnahmen, die zusätzlich zu den (…) Standarddatenschutzklauseln getroffenen wurden, nicht effektiv sind, da diese die Überwachungs- und Zugriffsmöglichkeiten durch US-Nachrichtendienste nicht beseitigen.

Auch große Unternehmen mit eigenen Datenschutzexperten oder Rechtsabteilungen haben kaum eine Chance, den rechtskonformen Zustand herzustellen, von kleinen Unternehmen ganz zu schweigen: Das Dilemma dabei ist, dass Dienste von US-Anbietern im geschäftlichen Alltag vielfach unverzichtbar sind. Das trifft nicht nur auf Google-Dienste zu, sondern grundsätzlich auf alle Anwendungen von US-Anbietern (wie beispielsweise Cloud-Lösungen, E-Mail-Anwendungen, Internetbrowser usw.), zu denen es keine gleichwertigen europäischen Alternativen gibt.

Die nun von der österreichischen Datenschutzbehörde getroffenen Entscheidung ist für fast alle Internetseiten in der EU relevant, schreibt NOYB. Google Analytics ist nun einmal das am weitesten verbreitete Analyse-Tool, viele Internetseiten nutzen Google Analytics und übermitteln damit Nutzerdaten an den US-Konzern. Dass damit gegen die Bestimmungen der Datenschutz-Grundverordnung verstoßen wird, war schon vor der Entscheidung der DSB klar – jetzt haben wir es auch schriftlich. NOYB erwartet ähnliche Entscheidungen in weiteren EU-Mitgliedstaaten erwartet.

Fazit: für das Nutzen von Google Analytics fehlt schon seit dem Fallen des EU-US-Privacy Shield-Abkommens im Juli 2020 eine gültige Rechtsgrundlage. Spätestens ab jetzt sollte der Einsatz von Google Analytics ernsthaft überdacht bzw. genau genommen unterlassen werden.