Für Google Analytics wird es nun richtig eng
17.01.2022 Gleich mehrere europäische Behörden haben in der vergangenen Woche den Daumen über die Verwendung von Google Analytics gesenkt. Schon bald könnte die Verwendung des beliebten Analysetools zweifelsfrei verboten sein.
- Die österreichische Datenschutzbehörde
(DSB) hat das Tool in der vergangenen Woche in einem Teilbescheid
für unvereinbar mit der DSGVO erklärt.
- Die niederländische Behörde für persönliche Daten Autoriteit Persoonsgegevens
(AP) prüft das Tool in zwei Fällen und hat auf seiner Website bereits eine Warnung veröffentlicht
, in der es heißt: "Bitte beachten: Die Verwendung Google Analytics' ist möglicherweise bald nicht mehr erlaubt".
- Außerdem ist die bayerische Datenschutzbehörde aufgefordert, eine ähnliche Beurteilung vorzunehmen.
Worum geht es?
Im Kern geht es um die Frage, ob in den USA ein dem europäischen Recht vergleichbares Datenschutzniveau sichergestellt werden kann. Früher war das einfach: Im sogenannten "Safe Harbour"-Abkommen hatten EU und USA dies ausgehandelt und sich gegenseitig quasi amtlich bestätigt. 2015 kippte der Europäische Gerichtshof dieses Abkommen aber, weil er erheblich Mängel entdeckte (siehe: EuGH kippt Safe-Harbour-Abkommen ).Das Nachfolgeabkommen hieß Privacy Shield und wurde 2020 - im wesentlichen mit den gleichen Argumenten - ebenfalls durch den EuGH gekippt (siehe: Was das Kippen des Privacy-Shields für Versender bedeutet ). Das Problem: US-Anbieter sind unter anderem durch den Cloud-Act und den Foreign Intelligence Surveillance Act (FISA) gesetzlich verpflichtet, auf Anforderung von US-Behörden (wie Geheimdiensten) Informationen herauszugeben, auf die sie Zugriff haben. Ausdrücklich auch ohne die Betroffenen darüber zu informieren. Dies widerspricht den europäischen Datenschutzanforderungen, deren Niveau nach DSGVO nicht unterschritten werden darf (zumindest nicht ohne Aufklärung und ausdrückliche Zustimmung der Verbraucher).
Das Gericht ließ aber zugleich eine winzige Auslegungslücke offen: Es erklärte, dass das Privacy Shield zwar gekippt sei, grundsätzlich aber ein Verfahren nach den EU-Standardvertragsklauseln angewendet werden könnte. Seither berufen sich Vertragsparteien nicht mehr auf die Rahmenvereinbarung "Privacy Shield", sondern sichern mittels dieser Klauseln selbst vertraglich zu, das europäische Datenschutzniveau einzuhalten.
Allerdings wurde dabe gerne übersehen, dass die Richter dabei ausdrücklich betonten, dass sie - mangels Auftrag - nicht geprüft hatten, ob die Vertragsklauseln im konkreten Fall auch von US-Unternehmen anwendbar seien. Denn es geht nicht nur um die Frage, ob die entsprechende Zusicherung abgegeben wird, sondern auch um die Frage, ob sie eingehalten werden kann. Letzteres sei aufgrund der US-Rechtslage gar nicht möglich, warnten Experten schon 2020.
Was ist nun passiert?
Um diese offene Frage zu klären, hat der Wiener Datenschutzaktivist Max Schrems im Juni vergangenen Jahres Beschwerde gegen 101 europäische Unternehmen aus allen 30 EU- und EWR-Mitgliedsstaaten erhoben (siehe: Privacy-Shield-Aus - Datenaktivist reicht Beschwerde gegen 101 Firmen ein ). Er wirft ihnen vor, ihre Websites immer noch unter Verwendung von Google Analytics und Facebook Connect zu betreiben. Dies hat letztlich zu der Entscheidungen der österreichischen Datenschutzbehörde geführt.Die Entscheidung in den Niederlanden steht noch aus, die eindeutige Warnung lässt jedoch ahnen, dass auch dort zumindest große Bedenken vorherrschen.
Ob sich die bayerische Behörde zu einer anderen Einschätzung durchringen kann, ist noch offen. Allerdings müssten sie der Einschätzung ihrer österreichischen Kollegen schon sehr direkt widersprechen. Denn: Zu ihnen ist ein Fall herübergeschwappt, den die Wiener bereits negativ beurteilt haben. Weil das betroffene Unternehmen während der Beschwerdeprüfung aber an einen Münchner Verlag verkauft wurde, konnten die Österreicher nur das Verhalten bis zu diesem Stichtag beurteilen. Für die darauffolgende Zeit sind nun die Münchner zuständig. Sollten sie anders entscheiden, müssten sie also entweder eine geänderte Faktenlage vorbringen oder der österreichischen Einschätzung frontal widersprechen.
Wer ist betroffen?
Die österreichische DSB hat entschieden, dass der inkriminierte Website-Betreiber gegen die DSGVO verstieß, weil dieser personenbezogene Daten an Dritte (Google) weitergegeben hat. Abgewiesen hat die Behörde dagegen die Beschwerde gegenüber Google, weil diesem Anbieter keine Datenweitergabe nachgewiesen werden konnte. Beschwerdeführer Schrems erwägt mit dem Verein Noyb gegen diesen Teil des Beschlusses vorzugehen.Neben der niederländischen und der bayerischen Entscheidung stehen noch zahlreiche weitere Entscheidungen in der gesamten EU aus. Diese werden in den kommenden Monaten erwartet. Es ist daher zu erwarten, dass sich noch in diesem Jahr eine einheitliche Linie abzeichnen wird.
Betroffen ist aber nicht nur Google Analytics. Ganz konkret hat Schrems ja auch Beschwerden betreffend der Verwendung von Facebook Connect eingereicht. Über diese wird ebenfalls erst noch entschieden. Allgemein sind aber alle Datenverarbeitungen personenenbezogener Daten durch US-Anbieter betroffen - ganz gleichgültig, ob es sich um eine Marketing-Automation-Lösung, einen Mailer oder ein Analysedienst handelt.
Basis
Die kostenfreie Mitgliedschaft auf neuhandeln.de
- Kostenfrei
- Wöchentlicher Newsletter
- Zugriff auf Beiträge exklusiv nur für Mitglieder
- Teilnahme an Webinaren und virtuellen Kongressen
- Kostenloser Eintrag im Dienstleister-Verzeichnis
- Vier Wochen lang zum Test die Print-Ausgabe des Versandhausberaters frei Haus
Premium
Versandhausberater, der Premium-Dienst von neuhandeln.de:
- Sofort Zugriff auf alle Premium-Inhalte online
- Wöchentlich neue Exklusiv-Studien und Analysen
- Zugriff auf das gesamte EMagazin-Archiv
- Freitags die aktuelle Versandhausberater-Ausgabe als E-Magazin und gedruckt per Post
- 194,61 Euro pro Quartal (zzgl. MwSt)
97,31 Euro (zzgl. MwSt)*
Top-Deal!
PremiumPlus
Das Marketingpaket macht Ihr Unternehmen für über 15.000 E-Retailer sichtbar.
- Alle Leistungen der Premium-Mitgliedschaft
- Umfassender Eintrag als Dienstleister im Dienstleister-Verzeichnis
- Bevorzugte Platzierung in Suchergebnissen
- Alle Platzierungen hervorgehoben mit Firmenlogo
- Unternehmens-Einblendung unterhalb thematisch relevanter Beiträge
- Whitepaper veröffentlichen
- Pressemitteilungen veröffentlichen
- Gastbeiträge veröffentlichen
- Referenzkunden pflegen
- 995 Euro pro Jahr (zzgl. MwSt)
497,50 Euro (zzgl. MwSt)*
*Der rabattierte Preis gilt für die erste Bezugsperiode. Danach setzt sich die Mitgliedschaft zum regulären Preis fort, wenn sie nicht vor Ablauf gekündigt wird. Premium: 3 Monate/194,61 Euro, PremiumPlus: Jahr/995,00 Euro, Enterprise: Jahr/1998 Euro, jeweils zzgl. Mwst.
Contentserv GmbH
CONTENTSERV GmbH ist Hersteller Webbasierte Enterprise-Marketing-Management-Softwarelösungen zur Optimierung, Steuerung und Umsetzung der Abläufe der Medien- und Produktdatenpflege und -kommunikation – für effizientes crossmediales Publishing.
Unternehmensprofil ansehen