Neues zum Datenschutzrecht
4.2.2022
CNIL: Einsatz von Google Analytics rechtswidrig
Die französischen Datenschutzaufsicht CNIL hält den Einsatz von Google Analytics auf Websites, die sich auch an Nutzer aus EU- und EWR-Staaten richten, für nicht vereinbar mit der DSGVO. Laut Pressemitteilung der CNIL vom 10.2.2022 verstößt ein Einsatz von Google Analytics gegen die Vorgaben zur Datenübermittlung in sog. Drittländer, also Staaten außerhalb der EU und des EWR. Mangels Angemessenheitsbeschlusses der EU-Kommission bedarf es für Datenübermittlungen in die USA zusätzlicher Maßnahmen. Zwar habe Google zusätzliche Maßnahmen zum Schutz der Daten ergriffen. Allerdings bewertet die CNIL diese Maßnahmen als nicht ausreichend und zwar insbesondere mit Blick darauf, die Möglichkeit eines Zugriffs durch US-Behörden auszuschließen.
Hintergrund
Eine Datenübermittlung in ein Drittland wie die USA ist gemäß Art. 45 Abs. 1 DSGVO zulässig, wenn die EU-Kommission für dieses Drittland ein angemessenes Datenschutzniveau festgestellt hat. Liegt wie im Fall der USA kein Angemessenheitsbeschluss der EU-Kommission vor, ist eine Datenübermittlung in Drittländer nach Art. 46 Abs. 1 DSGVO zulässig, wenn
- Verantwortliche oder Auftragsverarbeiter geeignete Garantien hinsichtlich des auf die konkrete Datenübermittlung bezogenen Datenschutzniveaus vorsehen, z.B. Standardvertragsklauseln, und
- den betroffenen Personen durchsetzbare Rechte sowie effektive Rechtsmittel zur Verfügung stehen.
Es obliegt dem Verantwortlichen (das ist beim Einsatz von Google Analytics der Website-Betreiber) – gegebenenfalls in Zusammenarbeit mit dem Empfänger der Daten (also Google) – zu prüfen, ob das Recht des Drittlandes nach Maßgabe des EU-Rechts einen angemessenen Schutz der zu übermittelnden personenbezogenen Daten gewährleistet. Erst nach einer solchen Risikoprüfung (sog. TIA – Transfer Impact Assessment) unter Berücksichtigung der Rechtslage und der Praxis im betreffenden Drittland können z.B. Standarddatenschutzklauseln zum Einsatz kommen – entweder allein oder erforderlichenfalls mit zusätzlichen Garantien (zur einschlägigen EuGH-Entscheidung siehe Datenschutz-News v. 17.7.2020).
Kann der in der Union ansässige Verantwortliche keine hinreichenden zusätzlichen Maßnahmen ergreifen, um einen solchen Schutz zu gewährleisten, ist die Datenübermittlung nicht möglich. Eine bereits laufende Datenübermittlung in Drittländer muss ausgesetzt oder beendet werden, wenn das Recht des Drittlandes keinen angemessenen Schutz der übermittelten Daten gewährleistet und keine hinreichenden zusätzlichen Maßnahmen ergriffen werden (können), um diesen Schutz wieder herzustellen. Hierfür hat die CNIL im aktuellen Fall dem Website-Betreiber eine Monatsfrist gesetzt.
Fazit
Der Einsatz von Google Analytics ist zunehmend durch starke Rechtsunsicherheit und ein weiter gestiegenes Risiko geprägt. Die Datenschutzaufsichtsbehörden machen Ernst und gehen gegen den Einsatz von Website-Anwendungen vor, die wie Google Analytics mit einer Datenverarbeitung in den USA einhergehen.
Die CNIL hat ihre Entscheidung nicht für sich allein getroffen. Vielmehr wurden die ihrer Entscheidung zugrunde liegenden Untersuchungen und Bewertungen zusammen mit den anderen europäischen Datenschutzaufsichtsbehörden vorgenommen. Daher ist zu erwarten, dass weitere Entscheidungen mehr Klarheit in den Detailfragen bringen. Entsprechende Entscheidungen sowohl der CNIL als auch anderer europäischer Behörden, z.B. der niederländischen Aufsicht (AUTORITEIT PERSOONSGEGEVENS), sind bereits angekündigt. Bereits vor der CNIL hatte die österreichische Datenschutzaufsicht in einem – bislang nicht rechtskräftigen – Teilentscheid festgestellt, dass der Einsatz von Google Analytics durch einen lokalen Webanbieter kein angemessenes Schutzniveau bietet, da die US-Sicherheitsbehörden die Möglichkeit haben, auf Nutzerdaten zuzugreifen. Die in diesem Verfahren von Google aufgeführten Maßnahmen (im Rahmen der Standarddatenschutzklauseln vereinbarte technische und organisatorische Maßnahmen wie Verschlüsselungstechniken, Schutz der Datenzentren durch Zäune und die Überprüfung von Behördenanfragen) bewertete die Aufsicht als weitgehend wirkungslos gegenüber den Ansprüchen von Geheimdiensten wie der NSA oder der Polizeibehörde FBI. Aufgrund ähnlicher Erwägungen hält der Europäische Datenschutzbeauftragte (EDSB) die Einbindung von Google Analytics auf einer intern genutzten Website des EU-Parlaments zur Anmeldung für Covid-Tests für rechtswidrig. Es handelt sich um einen Verstoß gegen die hier anwendbare Verordnung (EU) 2018/1725 vor, die den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union regelt. Details zu diesem Fall finden Sie in den Datenschutz-News v. 14.1.2022.
Schließlich erstrecken sich die laufenden Untersuchungen der europäischen Datenschutzaufsichtsbehörden auch auf andere Tools, die von Websites verwendet werden und zu einer Übermittlung von Daten europäischer Internetnutzer in die USA führen. Diesbezügliche Korrekturmaßnahmen könnten in Kürze verabschiedet werden.
Sollten Sie Fragen zu den datenschutzrechtlichen Konsequenzen dieser Entscheidung der CNIL und dem Einsatz von Google Analytics haben oder insoweit Unterstützung benötigen, können Sie mich gerne kontaktieren.
Zurück zur Übersicht