Für Google Analytics wird es nun richtig eng

Wir haben schon mehrfach gewarnt (siehe: Google Analytics: Diese Fallstricke sollten Sie im Blick haben   , Praxis: Wie Google Analytics nach dem EuGH-Urteil rechtssicher bleibt   und So müssen Sie auf das EuGH-Urteil reagieren   , nun scheint die Luft für das weit verbreitete Analyticswerkzeug von Google   endgültig dünn zu werden:

• Die österreichische Datenschutzbehörde   (DSB) hat das Tool in der vergangenen Woche in einem Teilbescheid   für unvereinbar mit der DSGVO erklärt.
  
• Die niederländische Behörde für persönliche Daten Autoriteit Persoonsgegevens   (AP) prüft das Tool in zwei Fällen und hat auf seiner Website bereits eine Warnung veröffentlicht   , in der es heißt: "Bitte beachten: Die Verwendung Google Analytics' ist möglicherweise bald nicht mehr erlaubt".
  
• Außerdem ist die bayerische Datenschutzbehörde   aufgefordert, eine ähnliche Beurteilung vorzunehmen.

Worum geht es?

Im Kern geht es um die Frage, ob in den USA ein dem europäischen Recht vergleichbares Datenschutzniveau sichergestellt werden kann. Früher war das einfach: Im sogenannten "Safe Harbour"-Abkommen hatten EU und USA dies ausgehandelt und sich gegenseitig quasi amtlich bestätigt. 2015 kippte der Europäische Gerichtshof dieses Abkommen aber, weil er erheblich Mängel entdeckte (siehe: EuGH kippt Safe-Harbour-Abkommen   ).

Das Nachfolgeabkommen hieß Privacy Shield und wurde 2020 - im wesentlichen mit den gleichen Argumenten - ebenfalls durch den EuGH gekippt (siehe: Was das Kippen des Privacy-Shields für Versender bedeutet   ). Das Problem: US-Anbieter sind unter anderem durch den Cloud-Act und den Foreign Intelligence Surveillance Act (FISA) gesetzlich verpflichtet, auf Anforderung von US-Behörden (wie Geheimdiensten) Informationen herauszugeben, auf die sie Zugriff haben. Ausdrücklich auch ohne die Betroffenen darüber zu informieren. Dies widerspricht den europäischen Datenschutzanforderungen, deren Niveau nach DSGVO nicht unterschritten werden darf (zumindest nicht ohne Aufklärung und ausdrückliche Zustimmung der Verbraucher).

Das Gericht ließ aber zugleich eine winzige Auslegungslücke offen: Es erklärte, dass das Privacy Shield zwar gekippt sei, grundsätzlich aber ein Verfahren nach den EU-Standardvertragsklauseln angewendet werden könnte. Seither berufen sich Vertragsparteien nicht mehr auf die Rahmenvereinbarung "Privacy Shield", sondern sichern mittels dieser Klauseln selbst vertraglich zu, das europäische Datenschutzniveau einzuhalten.

Allerdings wurde dabe gerne übersehen, dass die Richter dabei ausdrücklich betonten, dass sie - mangels Auftrag - nicht geprüft hatten, ob die Vertragsklauseln im konkreten Fall auch von US-Unternehmen anwendbar seien. Denn es geht nicht nur um die Frage, ob die entsprechende Zusicherung abgegeben wird, sondern auch um die Frage, ob sie eingehalten werden kann. Letzteres sei aufgrund der US-Rechtslage gar nicht möglich, warnten Experten schon 2020.

Was ist nun passiert?

Um diese offene Frage zu klären, hat der Wiener Datenschutzaktivist Max Schrems im Juni vergangenen Jahres Beschwerde gegen 101 europäische Unternehmen aus allen 30 EU- und EWR-Mitgliedsstaaten erhoben (siehe: Privacy-Shield-Aus - Datenaktivist reicht Beschwerde gegen 101 Firmen ein   ). Er wirft ihnen vor, ihre Websites immer noch unter Verwendung von Google Analytics und Facebook   Connect zu betreiben. Dies hat letztlich zu der Entscheidungen der österreichischen Datenschutzbehörde geführt.

Die Entscheidung in den Niederlanden steht noch aus, die eindeutige Warnung lässt jedoch ahnen, dass auch dort zumindest große Bedenken vorherrschen.

Ob sich die bayerische Behörde zu einer anderen Einschätzung durchringen kann, ist noch offen. Allerdings müssten sie der Einschätzung ihrer österreichischen Kollegen schon sehr direkt widersprechen. Denn: Zu ihnen ist ein Fall herübergeschwappt, den die Wiener bereits negativ beurteilt haben. Weil das betroffene Unternehmen während der Beschwerdeprüfung aber an einen Münchner Verlag verkauft wurde, konnten die Österreicher nur das Verhalten bis zu diesem Stichtag beurteilen. Für die darauffolgende Zeit sind nun die Münchner zuständig. Sollten sie anders entscheiden, müssten sie also entweder eine geänderte Faktenlage vorbringen oder der österreichischen Einschätzung frontal widersprechen.

Wer ist betroffen?

Die österreichische DSB hat entschieden, dass der inkriminierte Website-Betreiber gegen die DSGVO verstieß, weil dieser personenbezogene Daten an Dritte (Google) weitergegeben hat. Abgewiesen hat die Behörde dagegen die Beschwerde gegenüber Google, weil diesem Anbieter keine Datenweitergabe nachgewiesen werden konnte. Beschwerdeführer Schrems erwägt mit dem Verein Noyb   gegen diesen Teil des Beschlusses vorzugehen.

Neben der niederländischen und der bayerischen Entscheidung stehen noch zahlreiche weitere Entscheidungen in der gesamten EU aus. Diese werden in den kommenden Monaten erwartet. Es ist daher zu erwarten, dass sich noch in diesem Jahr eine einheitliche Linie abzeichnen wird.

Betroffen ist aber nicht nur Google Analytics. Ganz konkret hat Schrems ja auch Beschwerden betreffend der Verwendung von Facebook Connect eingereicht. Über diese wird ebenfalls erst noch entschieden. Allgemein sind aber alle Datenverarbeitungen personenenbezogener Daten durch US-Anbieter betroffen - ganz gleichgültig, ob es sich um eine Marketing-Automation-Lösung, einen Mailer oder ein Analysedienst handelt.