Ist Google Analytics tabu?

Ist Google Analytics tabu?

Seit der Entscheidung der Datenschutzbehörde (DSB) vom 22.12.2021 fragen sich viele Unternehmer, ob sie nun die Nutzung von Google Analytics einstellen müssen. Gibt es Möglichkeiten, das Analysetool dennoch zu nutzen?

Die DSB hat entschieden, dass die Nutzung von Google Analytics gegen die DSGVO verstößt. Begründend führt sie aus, dass die von Google Analytics erhobenen Daten nicht ausreichend vor einem Zugriff der US-Behörden geschützt sind. Dass in den USA kein durch die EU-Kommission anerkanntes angemessenes Datenschutzniveau herrscht, wurde schon mit der Aufhebung von Safe Harbour und Privacy Shield vom EuGH klargestellt.

Ist Google Analytics für Unternehmen, die der DSGVO unterliegen, nunmehr tabu? Der sicherste Weg wäre natürlich der Umstieg auf ein DSGVO-konformes Tool. Die Funktion Anonymize IP, welche von Google angeboten wird, ist nicht ausreichend, da laut DSB die Herstellung eines Personenbezugs dennoch nicht ausgeschlossen scheint.

Der bloße Abschluss von Standardvertragsklauseln reicht für eine Übermittlung personenbezogener Daten in Drittländer ohne angemessenes Datenschutzniveau nicht aus. Es ist darüber hinaus im Einzelfall zu prüfen, ob das Recht oder die Praxis dieses Drittlandes – hier der USA – den durch die Standardvertragsklauseln garantierten Schutz beeinträchtigen und ob ggf ergänzende Maßnahmen zur Einhaltung dieses Schutzniveaus zu treffen sind. Google wäre verpflichtet, personenbezogene Daten über Aufforderung der US-Behörden herauszugeben – unabhängig davon, wo der Server steht. Derzeit sind ausreichende ergänzende Maßnahmen mit vernünftigem Aufwand wohl noch nicht umsetzbar, weshalb der Abschluss von Standardvertragsklauseln als Grundlage (noch) ausscheidet.

Ist die Einwilligung der Nutzer gemäß Art 49 Abs 1 lit a DSGVO die Lösung?

Art 49 Abs 1 lit a lautet: Falls weder ein Angemessenheitsbeschluss (…) vorliegt noch geeignete Garantien (…) bestehen, ist eine Übermittlung oder eine Reihe von Übermittlungen personenbezogener Daten an ein Drittland (…) nur unter einer der folgenden Bedingungen zulässig: a) die betroffene Person hat in die vorgeschlagene Datenübermittlung ausdrücklich eingewilligt, nachdem sie über die für sie bestehenden möglichen Risiken derartiger Datenübermittlungen ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien unterrichtet wurde (…)

Art 49 Abs 1 lit a DSGVO bestimmt sohin, dass eine Datenübermittlung in die USA „für bestimmte Fälle“ rechtskonform ist, wenn eine aufgeklärte, ausdrückliche Einwilligung der betroffenen Person eingeholt wurde. Wesentlich für diese Einwilligung ist, dass die betroffene Person vor Abgabe der Einwilligungserklärung über das Risiko des mangelnden Datenschutzniveaus aufgeklärt wurde. Eine rechtssichere Lösung ist dies jedoch nicht, da bislang keine Rechtsprechung hierzu vorliegt.

Der Europäische Datenschutzausschuss (EDSA) sieht in Art 49 Abs 1 lit a DSGVO keine taugliche Grundlage für die Nutzung von Analysetools, da es sich um dauerhafte und massenhafte Übermittlungen handle. Art 49 Abs 1 lit a DSGVO sei eine Ausnahmebestimmung und stehe Umfang und Regelmäßigkeit der Datenübermittlung dem Ausnahmecharakter der Bestimmung entgegen. Der EuGH hat diese Möglichkeit in seinem SchremsII-Urteil (C-311/18) allerdings nicht ausgeschlossen. Wie die Datenschutzbehörde Art 49 Abs 1 lit a DSGVO in Zusammenhang mit Google Analytics beurteilen wird, ist noch nicht absehbar. Ein Risiko bliebe sohin bei der Wahl dieses Wegs. Wünschenswert wäre, dass sich USA und EU ein Abkommen abschließen und die Rechtsunsicherheiten damit ausgeräumt wird.

 

 

Quellen:
EDSA, Empfehlungen 01/2020 zu Maßnahmen zur Ergänzung von Übermittlungstools zur Gewährleistung des unionsrechtlichen Schutzniveaus für personenbezogene Daten
EDSA, Leitlinien 2/2018 zu den Ausnahmen nach Art 49 VO 2016/679, 5.
DSB 2021, 313; Art. 49 DSGVO – Der Vakuum-Killer für Drittlandtransfers?
DSB 2021, 12; Rechtfertigung von Datenübermittlungen im Zusammenhang mit dem Einsatz von Cookies
Presse 22.01.2022 (Offene Fragen nach Google Analytics Entscheid)
Dako 2020/45; Datenübermittlung in die USA: Auswege aus dem digitalen Lock-down?
E DSB vom 22.12.2021, GZ D155.027 2021-0.586.257

weitere spannende Artikel zu diesem Thema

Generative KI

Software Engineering und Geschäftsanwendungen im Wandel. Die transformative Kraft der generativen KI ist vergleichbar mit den Auswirkungen der öffentlichen Einführung des Internets im Jahr 1993,

Read More »
DISCLAIMER
Diese Information wird unentgeltlich zur Verfügung gestellt. Für die darin enthaltenen Inhalte wird weder für Vollständigkeit noch Richtigkeit eine Gewährleistung oder Haftung übernommen. Eine individuelle Beratung wird hiermit nicht ersetzt.