Google Analytics endlich DSGVO konform. Warum ist das so schwierig? Viele Webagenturen wurden bereits mit diesem wichtigen Thema konfrontiert. Wenn Sie eine Website erstellen lassen, kommt spätestens mit Onlinestellung die Frage: Wieviel Traffic generiere ich mit meiner Website eigentlich? Um das herauszufinden kommt meist Google Analytics zum Einsatz. Die österreichische Datenaufsichtsbehörde hat jedoch festgestellt, dass die Verwendung von Google Analytics einen Verstoß gegen die Datenschutzgrundverordnung darstellt. Da es kein neues Datenabkommen zwischen der EU und den USA gibt, könnten andere Länder folgen.
Die österreichische Website des medizinischen Nachrichtenunternehmens NetDoktor funktioniert wie Millionen andere. Wenn Sie sie aufrufen, wird ein Cookie von Google Analytics auf Ihrem Gerät platziert, das verfolgt, was Sie während Ihres Besuchs tun. Diese Nachverfolgung kann die von Ihnen gelesenen Seiten, die Verweildauer auf der Website und Informationen über Ihr Gerät umfassen, wobei Google Ihrem Browser auch eine Identifikationsnummer zuweist, die mit anderen Daten verknüpft werden kann.
Nutzung der Analysedaten von NetDoktor
NetDoktor kann diese Analysedaten nutzen, um herauszufinden, wie viele Leser es sind und wofür sie sich interessieren – die Website wählt aus, was sie sammelt. Aber durch die Nutzung von Google Analytics laufen all diese Daten über die Server von Google und landen in den Vereinigten Staaten. Für die Datenschutzbehörden in Europa ist der Versand personenbezogener Daten über den Atlantik nach wie vor problematisch. Und nun steht eine kleine österreichische medizinische Website im Mittelpunkt eines gewaltigen Konflikts zwischen US-Gesetzen und den strengen europäischen Datenschutzbestimmungen.
Verwendung von Google Analytics
Am 22. Dezember erklärte die österreichische Datenschutzbehörde, dass die Verwendung von Google Analytics auf NetDoktor gegen die allgemeine Datenschutzverordnung (DSGVO) der Europäischen Union verstößt. Die Daten, die in die USA übermittelt werden, seien nicht ordnungsgemäß vor einem möglichen Zugriff durch US-Geheimdienste geschützt, so die Behörde in einer Entscheidung, die letzte Woche veröffentlicht wurde. Einige Tage zuvor wurde aufgedeckt, dass die Covid-19-Test-Website des Europäischen Parlaments ebenfalls gegen die Datenschutz-Grundverordnung verstoßen hatte, indem sie Cookies von Google Analytics und Stripe verwendet hatte, so die Entscheidung des Europäischen Datenschutzbeauftragten (EDSB).
Diese beiden Fälle sind die ersten Entscheidungen nach dem Urteil des Europaischen Gerischtshofes vom Juli 2020, in welchem das Privacy-Shield-Abkommen als ungültig erklärt wurde und so der Transfer von personenbezogenen Daten in die USA als illegal erklärt wird.
Diese Präzedenzfälle werden wahrscheinlich den Druck auf die Verhandlungsführer in den USA und Europa erhöhen, die versuchen, den Privacy Shield durch einen neuen Weg für den Datenfluss zwischen den beiden Ländern zu ersetzen. Wenn eine Einigung zu lange auf sich warten lässt, könnten ähnliche Fälle in ganz Europa einen Dominoeffekt bewirken, so dass die Cloud-Dienste von Amazon, Facebook, Google und Microsoft möglicherweise in einem Land nach dem anderen für unvereinbar erklärt werden.
NetDoktor – kein Einzelfall!
NetDoktor ist kein Einzelfall – aber es ist der bisher eindeutigste Hinweis darauf, dass den europäischen Aufsichtsbehörden die Art und Weise, wie US-Tech-Unternehmen Daten über den Atlantik schicken, immer noch nicht gefällt. Die aktuellen US-Überwachungsgesetze, einschließlich Abschnitt 702 des Foreign Intelligence Surveillance Act und Executive Order 12333, schützen die Daten von Menschen, die außerhalb der USA leben, nicht so gut wie die von Menschen, die innerhalb der USA leben. Kurz gesagt: Es ist theoretisch möglich, dass die US-Überwachungsbehörden riesige Mengen an Daten sammeln, die in das Land gebracht werden.
“Was sie jetzt tun, wäre eine Verletzung des vierten Verfassungszusatzes, wenn es sich um US-Bürger handelt”, behauptet Max Schrems, Ehrenvorsitzender der gemeinnützigen Rechtsorganisation NOYB, die die Gerichtsverfahren angestrengt hat, die den Privacy Shield im Jahr 2020 und seinen Vorgänger Safe Harbor im Oktober 2015 zu Fall brachten. Mit Urteil vom 16.07.2020 hat der EuGH das Privacy-Shield, also das Datenschutzschild zwischen Europa und den USA, nun endgültig für ungültig erklärt. Mit der Folge, dass die Übermittlung personenbezogener Daten in die USA, ab sofort nicht mehr rechtmäßig ist. Für den Fall, dass Unternehmen dennoch munter weiter ihre Daten in die USA übermitteln, gleichwohl in dem Wissen, dass das datenschutzrechtliche Abkommen der Privacy-Shield vollständig gekippt wurde, handelt es sich um einen Verstoß gegen die Vorschriften der DSGVO. Welcher seitens der Aufsichtsbehörden mit nicht unerheblichen Sanktionen und Bußgeldern geahndet wird. Außerdem müssen zusätzliche Maßnahmen zum Schutz dieser Informationen getroffen werden.
Nun hat die österreichische Datenschutzbehörde festgestellt, dass die von Google Analytics ergriffenen technischen Maßnahmen nicht ausreichen, um zu verhindern, dass die Daten von US-Geheimdiensten abgegriffen werden.
Da Google auf die Daten im Klartext zugreifen konnte, waren die Daten nicht vor einer möglichen Überwachung geschützt, heißt es in der Entscheidung der Behörde. “Diese Übermittlung wurde als rechtswidrig eingestuft, weil kein angemessenes Schutzniveau für die übermittelten personenbezogenen Daten bestand”, sagt Matthias Schmidl, der stellvertretende Leiter der österreichischen Datenschutzbehörde. Er fügt hinzu, dass Webseitenbetreiber Google Analytics nicht verwenden können, um mit der DSGVO in Einklang zu stehen.
Ein Sprecher des EDSB sagt, dass er der Ansicht ist, dass personenbezogene Daten, die in die USA übermittelt werden, durch “wirksame zusätzliche Maßnahmen” geschützt werden müssen. Die Behörde untersucht derzeit auch, wie offizielle EU-Organisationen Amazon Web Services und Microsoft Office 365 nutzen.
Wie geht es weiter?
Die österreichische Entscheidung – und andere ähnliche Fälle, die derzeit geprüft werden – verdeutlichen die Spannungen zwischen den strengen europäischen Datenschutzgesetzen und dem, was mit den Daten geschieht, sobald sie die EU verlassen. Einige sind optimistisch, dass dies die Abhängigkeit Europas von großen US-Technologieunternehmen verringern könnte. Andere sagen, dass es wichtig ist, dass die Verhandlungsführer beider Seiten eine neue Vereinbarung zur gemeinsamen Nutzung von Daten treffen, bevor Datenströme und Volkswirtschaften gestört werden.
Die Unternehmen werden die Entscheidung der österreichischen Behörde wahrscheinlich prüfen und möglicherweise Alternativen in Betracht ziehen, während sie auf weitere Entscheidungen anderer nationaler Datenschutzbehörden warten, sagt Guillaume Champeau, Direktor für öffentliche Angelegenheiten bei der Cloud-Architekturplattform Clever Cloud. “Dies könnte wirklich dazu beitragen, die Unternehmenslandschaft zu verändern und den Wettbewerb in Europa fairer zu gestalten”, fügt er hinzu. Champeau argumentiert, dass es viele europäische Cloud-basierte Analyseunternehmen gibt, die nicht so viel Aufmerksamkeit erhalten wie Google Analytics, das Schätzungen zufolge von 28 Millionen Websites weltweit genutzt wird.
Wenn im nächsten Jahr weiterhin ähnliche Entscheidungen getroffen werden, erwartet Schrems, dass sich einige große Unternehmen, wie z. B. Banken, fragen werden, wer für ihre DSGVO-Probleme verantwortlich sein soll. “Wenn Leute Millionen von Euro in eine Cloud-Lösung investieren, die sich dann als illegal herausstellt, wird es große Fragen darüber geben, wer am Ende die Rechnungen bezahlt”, sagt er. Die österreichische Aufsichtsbehörde hat nicht gesagt, ob sie NetDoktor eine Geldstrafe auferlegt hat, aber der Fall ist noch nicht vollständig abgeschlossen.
Darüber hinaus rechnet Schrems nicht damit, dass die Unternehmen im Silicon Valley ihre Technologie oder ihre Einstellung noch ändern werden. “Es gibt einfach keine Bereitschaft des Silicon Valley, sich an diese Regeln anzupassen”, behauptet er. Interne Facebook-Dokumente, die von Politico eingesehen wurden, zeigen, dass das Unternehmen der Meinung ist, dass es keine Probleme mit dem Versand von EU-Daten in die USA gibt, und dass die Anwälte des Unternehmens der Meinung sind, dass die US-Gesetze Daten aus der EU genauso gut schützen, wie wenn sie in der EU verbleiben würden. Ein Google-Sprecher sagte auf die Frage, ob das Unternehmen beabsichtige, den Ort der Datenverarbeitung in Europa zu ändern, dass es “keine Pläne habe, diese mitzuteilen”.
Neues Abkommen über die gemeinsame Nutzung?
Es ist wahrscheinlicher, dass die Verhandlungsführer der EU und der USA ein neues Abkommen über die gemeinsame Nutzung von Daten aushandeln werden, bevor die großen Technologieunternehmen ihren Ansatz ändern. Die EU und die USA haben seit der Aufhebung von Privacy Shield im Juli 2020 darüber diskutiert, wie das Abkommen ersetzt werden soll. Diese Gespräche haben jedoch noch nicht zu vielen konkreten Vorschlägen geführt. Beamte haben eine stärkere Aufsicht über die US-Sicherheitsbehörden ins Spiel gebracht, einschließlich Richtern, die entscheiden, ob die Sammlung von EU-Daten legal ist. “Der einfachste Weg wäre zu sagen, dass es eine richterliche Genehmigung der Überwachung geben muss, so wie es für amerikanische Bürger der Fall ist”, sagt Schrems.
Die Verhandlungen haben sich in den letzten Monaten verstärkt und sind für beide Seiten von großer Bedeutung, so ein Sprecher der Europäischen Kommission. Allerdings gibt es rote Linien: Die Kommission möchte nicht, dass ein Nachfolger des Privacy Shields erneut vor Gericht scheitert. “Nur eine Vereinbarung, die den vom EU-Gericht festgelegten Anforderungen vollständig entspricht, kann die Stabilität und Rechtssicherheit bieten, die die Beteiligten auf beiden Seiten des Atlantiks erwarten”, so der Kommissionssprecher. Zum Zeitpunkt der Veröffentlichung hatten die US-Vertreter noch nicht auf eine Bitte um Stellungnahme geantwortet.
Nach Ansicht von Zanfir-Fortuna wird die österreichische Entscheidung den Druck auf die Verhandlungsführer erhöhen, doch sei es unwahrscheinlich, dass es in den USA zu Gesetzesänderungen kommen wird. Ein föderales US-Datenschutzgesetz scheint noch in weiter Ferne zu liegen, und die Bereitschaft, die Überwachungsgesetze vollständig zu reformieren, dürfte gering sein. Stattdessen, so Zanfir-Fortuna, könnten Änderungen, die es ermöglichen, den Privacy Shield zu ersetzen, durch Durchführungsverordnungen erfolgen, die mit weniger politischen Debatten verabschiedet werden können.
Google stimmt weitgehend zu.
Diesem Standpunkt stimmt Google weitgehend zu. Aus Protokollen von Treffen zwischen Google und der Europäischen Kommission, die im Rahmen der Informationsfreiheitsgesetze veröffentlicht wurden, geht hervor, dass das Unternehmen hofft, dass ein Nachfolger für den Privacy Shield “keine Maßnahmen des Kongresses erfordern würde”. In seinem Blogbeitrag drängte Walker die Verhandlungsführer der EU und der USA dazu, einen Nachfolger für den Privacy Shield “schnell zu beschließen”. “Es steht zu viel auf dem Spiel, und der internationale Handel zwischen Europa und den USA ist zu wichtig für den Lebensunterhalt von Millionen von Menschen, als dass es nicht gelingen könnte, eine rasche Lösung für dieses drängende Problem zu finden”, so Walker.
Letztendlich könnten die anhaltenden juristischen Auseinandersetzungen und politischen Verhandlungen dazu führen, dass der Nachfolger des Privacy Shields einer genaueren juristischen Prüfung unterzogen wird – der Zyklus von Abkommen, die gekippt werden, könnte sich fortsetzen, wenn europäische Organisationen die in die USA übermittelten Daten nicht als angemessen vor Überwachung geschützt betrachten. “Es ist sehr gut möglich, dass das Privacy Shield in den nächsten Monaten ersetzt wird”, sagt Zanfir-Fortuna.
Als stark spezialisierte Webagentur sind wir ebenfalls gespannt auf weitere Beschlüsse, da auch ein Teil unserer Kunden Google-Analytics nutzen und Datenschutz und Sicherheit bei uns an oberster Stelle stehen!
Wenn Sie Fragen haben oder Alternativen zu Google-Analytics suchen, können sie uns gerne hier ansprechen. Als erfahrene Webagentur stehen wir ebenfalls an Ihrer Seite, wenn Sie eine Website erstellen lassen möchten.
Wir helfen Ihnen gerne!
Ihr digital art Team
