Angesichts dieser wichtigen Entwicklung haben wir unseren Bericht aktualisiert, um die neuesten Informationen zu berücksichtigen. Um über das „EU-U.S. Data Privacy Framework“, das neue Datenschutzabkommen zwischen der EU und den USA und seine Auswirkungen auf dem Laufenden zu bleiben, lesen Sie bitte unseren neuesten Artikel zu diesem Thema.
🔍 Entdecken Sie das Neueste: Datenübermittlung zwischen der EU und den USA jetzt genehmigt
Danke für Ihre anhaltende Unterstützung und Ihr Vertrauen in unsere Berichterstattung zu wichtigen globalen Themen!
Vielleicht haben Sie schon gehört, dass Google Analytics in Europa illegal ist oder gegen die DSGVO verstößt. Wie bei den meisten Dingen, die mit dem Datenschutz zu tun haben, ist das nicht immer so einfach. Wir haben diesen Beitrag verfasst, um besser zu erklären, worum es bei dem ganzen Gerede geht, was es bisher bedeuten könnte und wie es sich auf Sie auswirken könnte, wenn Sie Google Analytics in Europa nutzen.
Sind Sie im Vereinigten Königreich ansässig? Dann ist dieser Beitrag auch für Sie relevant, da die DSGVO-Vorschriften weiterhin im Vereinigten Königreich gelten unter der “UK GDPR”.
👉 Was geschah: Mehrere europäische Datenschutzbehörden haben festgestellt, dass die Verarbeitung von europäischen Nutzerdaten durch Google Analytics zu einem illegalen Datentransfer außerhalb Europas führen könnte. Die Behörden hielten die Maßnahmen von Google Analytics zur Einhaltung der Vorschriften für unzureichend, nachdem Untersuchungen im Zusammenhang mit der Verwendung von Google Analytics 3 durchgeführt worden waren. Hier ist der Grund dafür →
👉 Google’s Antwort: Unter anderem aufgrund dieser Diskussion über die Verwendung von Google Analytics hat Google, Google Analytics 4 veröffentlicht, als Versuch, einige der Bedenken anzusprechen.
👉 Müssen Sie die Verwendung von Google Analytics ganz aufgeben? Darauf gibt es noch keine direkte Antwort, da es um einen sich entwickelnden Fall handelt. Einige Behörden, wie z. B. die italienische Garante, haben erklärt, dass zusätzliche Sicherheitsmaßnahmen durchgeführt werden müssen, wenn Sie Google Analytics weiterhin verwenden möchten. Google Analytics 4 versucht, die Hauptanliegen anzusprechen, aber beachten Sie, dass die DPA-Untersuchungen auf Google Analytics 3 basierten und es daher noch keine Möglichkeit gibt, definitiv zu wissen, ob die Behörden die Verwendung von GA4 als ausreichend betrachten werden. Weitere Informationen darüber, was Sie tun können, finden Sie hier →
Um die aktuellen Entwicklungen zu verstehen, die sich auf Google Analytics 3 auswirken, müssen wir auf das Schrems-II-Urteil zurückblicken, das im Juli 2020 vom Gerichtshof der Europäischen Union veröffentlicht wurde.
Schrems II erklärte das ” Privacy Shield “ für ungültig. Das “Privacy Shield”-Rahmenwerk erlaubte und validierte Übermittlungen zwischen den USA und der EU. Seitdem der Rahmen für ungültig erklärt wurde, sind alle Datenübermittlungen zwischen der EU und den USA verboten, es sei denn, die Beteiligten, wie die für die Datenverarbeitung Verantwortlichen oder die Auftragsverarbeiter, ergreifen zusätzliche Maßnahmen, um die europäischen Datenschutzstandards zu erfüllen.
Sie fragen sich vielleicht, warum Datenübermittlungen zwischen der EU und den USA verboten sind, wenn keine zusätzlichen Vorsichtsmaßnahmen getroffen werden? Der Grund dafür liegt im CLOUD ACT, der in den USA ansässige Unternehmen wie Google Analytics dazu verpflichtet, Daten, die sich in ihrem Besitz, in ihrem Gewahrsam oder unter ihrer Kontrolle befinden, an US-Regierungsbehörden zu übermitteln, unabhängig davon, ob die Daten innerhalb oder außerhalb der USA gespeichert sind.
Die französischen, österreichischen, dänischen und italienischen Datenschutzbehörden haben festgestellt, dass die Verarbeitung europäischer Nutzerdaten durch Google Analytics zu einer illegalen Übermittlung von Daten ins außereuropäische Ausland führen könnte. Die genannten europäischen Datenschutzbehörden haben diese Untersuchungen in Zusammenarbeit und als Reaktion auf eine Reihe von Beschwerden durchgeführt.
Als Folge hielten die Behörden die Maßnahmen zur Einhaltung von Google Analytics 3 für unzureichend.
Verfolgen Sie die Entwicklung der Rechtsprechung und sehen Sie sich die neuesten Entscheidungen an:
Wir werden diesen Beitrag laufend aktualisieren, sobald sich die Situation weiterentwickelt. Zuletzt aktualisiert: 27. Juni 2022
Am 23. Juni 2022 hat die italienische Datenschutzbehörde (Garante) in Übereinstimmung mit der französischen, österreichischen und dänischen Datenschutzbehörde eine Entscheidung veröffentlicht, in der sie die an dem Verfahren beteiligten Organisationen aufforderte, zu überprüfen, ob ihre Verwendung von Cookies und anderen Tracking-Tools den Datenschutzbestimmungen entspricht, mit besonderem Augenmerk auf Google Analytics 3 und ähnliche Dienste.
Websites, die Google Analytics 3 verwenden, *ohne die in der EU-Verordnung* vorgesehenen Garantien, verstoßen gegen das Datenschutzrecht, da die Nutzerdaten in die Vereinigten Staaten übermittelt werden, in ein Land ohne angemessenes Schutzniveau.
👉 Die Garante traf diese Entscheidung am Ende einer gründlichen Untersuchung.
👉 Die Untersuchung ergab, dass Unternehmen, die Google Analytics 3 verwenden, Daten über Cookies sammeln, wie Nutzer mit diesen Websites interagieren, einschließlich der spezifischen besuchten Seiten und der genutzten Dienste.
👉 Zu den gesammelten Daten gehören unter anderem die IP-Adresse des Geräts des Nutzers, Details über den Browser, das Betriebssystem, die Bildschirmauflösung, die gewählte Sprache sowie das Datum und die Uhrzeit des Besuchs der Website. In der Garantieentscheidung wurde betont, dass es sich bei der IP-Adresse um personenbezogene Daten handelt und dass Google selbst bei der Abkürzung dieser Adresse immer noch in der Lage wäre, sie zusammen mit anderen Daten und Fähigkeiten, die es besitzt, zu lesen. Aus diesem Grund wurde die Verarbeitung für rechtswidrig erklärt.
Weitere Details zur Entscheidung der Garante zu Google Analytics finden Sie hier
Die französische Datenschutzbehörde (CNIL) veröffentlichte am 10. Februar 2022 eine Entscheidung, in der sie einen französischen Website-Betreiber aufforderte, die Datenschutz-Grundverordnung (DSGVO) einzuhalten und die Verwendung von Google Analytics 3 zu beenden.
Die CNIL hat kürzlich FAQs zu diesem Thema veröffentlicht. Die CNIL hat dieses Dokument auf ihrer Website veröffentlicht, um alle Zweifel bezüglich der Entscheidung vom 10. Februar zu klären. Sie haben jedoch nichts Neues zu dem hinzugefügt, was bereits in der Entscheidung der Behörde angekündigt wurde..
In Bezug auf die FAQs gibt es keine besonderen Änderungen gegenüber dem, was die Behörde bereits in ihrer Entscheidung vom 10.2.2022 festgestellt hat. Die Argumente wurden allerdings in einer schematischeren Form dargelegt:
👉 die von Google Analytics 3 eingeführten zusätzlichen Maßnahmen sind nicht ausreichend, um den Zugriff von US-Behörden gemäß dem CLOUD Act zu verhindern;
👉 der Website-Betreiber hat einen Monat Zeit, um den Dienst zu beenden und sich für einen anderen Dienst zu entscheiden, der die Anforderungen erfüllt;
👉 eine Proxyfizierungsmethode kann in Betracht gezogen werden, die es bei entsprechender Konfiguration ermöglicht, nur pseudonymisierte Daten an einen Server außerhalb der EU zu verschicken.
Die österreichische Datenschutzbehörde (DSB) veröffentlichte am 22. April 2022 eine Entscheidung, in der sie feststellte, dass ein ungenannter EU-Website-Betreiber gegen Artikel 44 der DSGVO verstoßen hat.
👉 Der DSB erklärte, dass der Betreiber der Website durch die Verwendung von Google Analytics 3 Google LLC Zugang zu Browserinformationen, IP-Adressen und eindeutigen Nutzeridentifikationsnummern gegeben hat.
👉 Obwohl der Website-Betreiber bestätigte, dass mit Google LLC Standardvertragsklauseln (SCCs) vereinbart worden waren, stellte das DSB fest, dass diese SCCs kein annehmbares Schutzniveau im Sinne von Artikel 44 der DSGVO boten.
👉 Der DSB stellte fest, dass Kapitel V der DSGVO bei der Verwendung von Google Analytics 3 nicht umgesetzt werden kann. Der Website-Betreiber hatte die Verwendung des Tools vor Abschluss des Beschwerdeverfahrens eingestellt, so dass es nicht notwendig war, seine Durchsetzungsbefugnisse in diesem Fall zu nutzen.
In einer Pressemitteilung der dänischen Datenschutzbehörde DPA (Datatilsynet), hat die Behörde folgendes mitgeteilt,
Wenn Sie Google Analytics verwenden, müssen Sie einen Plan aufstellen, um Ihre Verwendung von (Google Analytics) in Übereinstimmung mit den Vorschriften zu bringen, indem Sie zusätzliche Maßnahmen implementieren.
Sie erwähnen die Verwendung der Pseudonymisierung als eine mögliche technische Maßnahme, die bei der Verwendung von Google Analytics relevant sein kann. Datatilsynet verweist auch auf den von der französischen Datenschutzbehörde erstellten Leitfaden für Organisationen, die eine wirksame Pseudonymisierung mittels eines sogenannten Reverse Proxy einrichten möchten.
👉 Auf der Grundlage des österreichischen Urteils sowie der anderen zu erwartenden Entscheidungen über die Verwendung von Google Analytics will die dänische Datenschutzbehörde einen zusammenfassenden, vorläufigen Text erstellen.
👉Das Datatilsynet betonte, dass die Behörden ein gemeinsames Verständnis der Entscheidung haben müssen, da es sich um eine Reihe von gemeinsamen europäischen Regeln handelt.
Unter anderem aufgrund dieser Diskussion über die Verwendung von Google Analytics hat Google, Google Analytics 4 veröffentlicht, um einige der Bedenken anzusprechen.
Weitere detaillierte Informationen zu Google Analytics 4 finden Sie hier.
Weil die Auswirkungen der Entscheidung auf Google Analytics noch schwer abzuschätzen sind, muss jedes Unternehmen selbst entscheiden, welche Maßnahmen es ergreift. Da es in erster Linie um die Übertragung europäischer Daten in die USA und die damit verbundenen potenziellen Risiken geht, könnte es generell eine gute Idee sein:
*Bitte beachten Sie, dass die DPA-Untersuchungen auf der Grundlage von Google Analytics 3 durchgeführt wurden und es bisher noch nicht eindeutig geklärt ist, ob die Behörden die Verwendung von GA4 als ausreichend betrachten.
Wenn Sie sich dafür entscheiden, Google Analytics weiterhin zu nutzen, können Sie einige Schritte unternehmen, um der Einhaltung der Vorschriften näher zu kommen:
Die Datenschutzbehörden stellten fest, dass für die Übermittlung von Daten in die USA nicht die gleichen Schutzstandards gelten wie in der EU.
Die Situation ergibt sich aus einer Reihe von US-Gesetzen, die es Regierungsorganisationen ermöglichen, Zugang zu persönlichen Daten von Verbrauchern bei in den USA ansässigen Diensten zu verlangen, unabhängig davon, wo sich die Datenzentren oder Server befinden.
Angesichts dessen reichte NOYB 101 Beschwerden bei den europäischen Datenschutzbehörden ein, um festzustellen, dass die Übermittlung der Daten europäischer Nutzer in die USA unrechtmäßig war. Die Entscheidungen, in denen die Unrechtmäßigkeit der Übermittlungen festgestellt wurde, konzentrieren sich auf die Analyse zusätzlicher technischer, vertraglicher und organisatorischer Maßnahmen.
Die Verwendung eines Verschlüsselungsschlüssels durch das betreffende Unternehmen wurde als unzureichend angesehen, da sich dieser Schlüssel im Besitz von Google LLC befand. Daraus folgt, dass die ergriffenen Maßnahmen nicht als angemessen betrachtet werden können, solange der Verschlüsselungscode dem Importeur (in diesem Fall Google Analytics) zugänglich bleibt.
Außerdem werden vertragliche und organisatorische Maßnahmen nicht bewertet, da die anderen immer dann als unzureichend angesehen werden, wenn technische Maßnahmen fehlen.
Auf Grund der bisher ergangenen Entscheidungen können wir davon ausgehen, dass die möglichen Rechtsfolgen wie folgt aussehen:
Bitte beachten Sie, dass bisher keine Wirtschaftssanktionen für die Nutzung von Google Analytics verhängt werden.
*Wie immer verfolgen wir diesen sich entwickelnden Fall und werden diesen Beitrag mit den neuesten Entwicklungen auf dem Laufenden halten. Setzen Sie ein Bookmark für diesen Beitrag, damit Sie kein Update verpassen!