Symbolbild für Google Analytics

Google Analytics im Visier der Aufsichtsbehörden

Der Österreichische Datenschutzbeauftragte (ÖDSB) hat die Nutzung von Google Analytics als unzulässig eingestuft. Wir erläutern Ihnen die Hintergründe, wie es um den Datenschutz bei Google Analytics steht und was die Entscheidung für deutsche Unternehmen bedeutet.

  1. Home
  2. Wissenswertes
  3. Datenschutz Blog

2022-02-11

Logo
  • Author: Team datenschutzexperte.de
    Unser Team, bestehend aus zahlreichen Expert*innen im Bereich Datenschutz, weiß, was KMUs im Datenschutz bewegt. Unsere Beiträge sollen helfen, das Thema Datenschutz verständlich zu machen.

Google Analytics im Visier der Aufsichtsbehörden

Am 13. Januar 2022 erklärte der Österreichische Datenschutzbeauftragte (ÖDSB) im Verfahren „noyb gegen ein österreichisches Unternehmen und Google“ die Nutzung von Google Analytics für unzulässig. Wir erläutern Ihnen hier die Hintergründe, wie es um den Datenschutz bei Google Analytics steht und was die Entscheidung für deutsche Unternehmen bedeutet. 

Wer ist eigentlich noyb und was haben sie mit der Entscheidung zu tun?

Noyb ist eine europäische Non-profit-Organisation, die sich unter dem Ehrenvorsitz des Datenschützers, Juristen und Aktivisten Max Schrems dem Datenschutz, insbesondere der Durchsetzung des Schrems-II-Urteils, verschrieben hat. Sein Datenschutz Verein noyb hat im Jahr 2021 eine große Beschwerdewelle losgetreten gegen eine Vielzahl an Unternehmen, die aus ihrer Sicht unzulässige Cookie-Banner nutzen. Aber auch im Jahr 2020 wurden schon Beschwerden gegen 101 Unternehmen eingereicht, bezogen auf deren Nutzung von US-Tools. Eine dieser Beschwerden führte nun erstmalig zu einer Entscheidung des ÖDSB.

Auf welcher Grundlage basiert die Beschwerde? 

Die Beschwerde bezieht sich auf das Schrems-II-Urteil des Europäischen Gerichtshofs (EuGH), welches bisher nur spärlich durchgesetzt wurde. Im Urteil wurde das „Privacy-Shield“, auf dessen Grundlage Daten an Unternehmen in den USA transferiert werden konnten, für ungültig erklärt. Zusätzlich stellte der EuGH klar, dass auch der Abschluss von Standarddatenschutzklauseln mit US-Unternehmen nicht mehr pauschal als Grundlage für den  Datentransfer in die USA herangezogen werden kann. Denn diese binden in erster Linie die beiden Vertragsparteien und können so den Zugriff der US-Sicherheitsbehörden nicht verhindern. Genau dieser Zugriff von US-Behörden gefährdet aber die Rechte und Freiheiten betroffener Personen und ist Grund dafür, dass für die USA kein angemessenes Datenschutzniveau angenommen wird. Der EuGH fordert daher zusätzlich zu den Standarddatenschutzklauseln besondere Maßnahmen zur Sicherung der Daten. 


Warum steht Google Analytics in der Kritik? 

Diese besonderen Maßnahmen wurden vom ÖDSB im Fall von Google Analytics geprüft. Sie können grundsätzlich in Form von vertraglichen, technischen und organisatorischen Maßnahmen  vorliegen. Vertragliche und organisatorische Maßnahmen wurden vom ÖDSB von vorneherein als nicht ausreichend bewertet. Google selbst beschrieb u.a. als Maßnahme, dass Anfragen von  US-Behörden (welche laut den Transparenzberichten von Google regelmäßig anfallen) sorgfältig geprüft werden. Diese Prüfung verhindere aber keinen Zugriff und sei damit unzureichend. Aber auch die technischen Maßnahmen wie Verschlüsselung reichten nicht aus: US-Behörden haben einen Herausgabeanspruch auch hinsichtlich der zur Verschlüsselung verwendeten Schlüssel, sodass die Verschlüsselung nutzlos sei. Solange also Google selbst die personenbezogenen Daten auslesen kann, könne auch kein Schutz vor US-Behörden angenommen werden. Auch die Pseudonymisierung der Daten wurde betrachtet und als nicht ausreichend bewertet: Die Pseudonymisierung erfolgt mittels Nutzer-Kennungen (IDs). Deren Zweck sei es aber gerade, die Nutzer unterscheidbar zu machen, sodass kein Schutz vor Identifizierung vorläge. Auf die IP-Anonymisierung wurde im konkreten Fall zwar nicht eingegangen, allerdings stellte der ÖDSB fest, dass es auf eine Prüfung der IP-Anonymisierung nicht ankomme – der digitale Fußabdruck der Nutzer könne auch mit anonymisierter IP nachvollzogen werden. Der ÖDSB stellt insgesamt fest, dass die getroffenen technischen Maßnahmen nicht als erweiterte Maßnahmen i.S.d. Schrems-II-Urteils ausreichten, die Datenübermittlung also aufgrund des weiterhin möglichen Zugriffs durch US-Behörden gegen Art. 44 DSGVO verstößt und daher unzulässig ist. 


Was bedeutet der Fall für deutsche Unternehmen?

Die Entscheidung des ÖDSB hat zwar zunächst keine unmittelbare Auswirkung auf deutsche Unternehmen. Allerdings wird der Fall teilweise an die zuständige deutsche Aufsichtsbehörde weitergegeben, da das beschuldigte Unternehmen auch eine .de-Website für deutsche Nutzer betreibt. Es wird also über kurz oder lang auch in Deutschland zu einer aufsichtsbehördlichen Entscheidung kommen, die sich vermutlich an dem Ergebnis des ÖDSB orientieren wird. Außerdem wurde schon am 11.01.2022 bekannt, dass der Europäische Datenschutzbeauftragte das EU-Parlament für die Nutzung von Google Analytics mit einer Unterlassungsanordnung sanktioniert hat. Es ist davon auszugehen, dass der Einsatz von Google Analytics und anderen Tools mit Drittlandbezug künftig verstärkt im Fokus der Aufsichtsbehörden steht. 

Was sollten Unternehmen jetzt tun?

Tools, bei deren Nutzung Daten in die USA oder ein anderes unsicheres Drittland transferiert werden, sollten genau geprüft und eine Risikobewertung vorgenommen werden. Es sollten zusätzliche Maßnahmen zur Sicherung solcher Datentransfers ergriffen oder gegebenenfalls zu alternativen Lösungen ohne Drittlandtransfers gewechselt werden. 


Sie sind sich unsicher, wie Sie und Ihr Unternehmen sicher agieren können? Wir helfen Ihnen gerne weiter! In einem individuellen Beratungsgespräch analysieren wir gemeinsam mit Ihnen die Verwendung von Tools in Ihrem Unternehmen und finden anschließend eine Lösung, damit Sie weiterhin einfach und sicher datenschutzkonform arbeiten können. Wir freuen uns über Ihre Nachricht!
 

Dieser Artikel wurde am 11.02.2022 veröffentlicht. Datenschutzexperte.de übernimmt keine Haftung für die Aktualität des Artikels. Ereignisse, Urteile oder Umstände, die nach dem 11.02.2022 eingetreten sind, beziehen sich nicht auf die in diesem Artikel getroffenen Aussagen. 

Autor: Team datenschutzexperte.de
Artikel veröffentlicht am 11.02.2022

Bitte beachten Sie: Allgemeine Beiträge können eine datenschutzrechtliche Beratung im Einzelfall nicht ersetzen. Für die Richtigkeit und Vollständigkeit unsere Blogbeiträge können wir keine Gewähr übernehmen. Inhalte beziehen sich immer auf die Rechts- und Faktenlage zum Zeitpunkt der Veröffentlichung und sind deshalb zum Zeitpunkt des Aufrufs möglicherweise nicht mehr aktuell.

In den von uns erstellten Artikeln, Leitfäden, Checklisten, Whitepaper und anderen Beiträgen wird aus Gründen der besseren Lesbarkeit das generische Maskulinum verwendet. Wir möchten betonen, dass sowohl weibliche als auch anderweitige Geschlechteridentitäten dabei ausdrücklich mitgemeint sind, soweit es für die Aussage erforderlich ist.

Aktuelle Beiträge zum Thema Datenschutz

Weiterlesen

Case Study: Pflegedienst Dominikus meistert mit uns den Datenschutz

In keinem Bereich spielt der Datenschutz so eine Rolle wie im Gesundheitssektor. Medizinische Daten oder die persönlichen Daten der Patienten und…

News Vorschaubild
Logo

Weiterlesen

Symbolbild für Datenschutz im Gesundheitswesen

Datenschutz im Gesundheitswesen: Ein Blick auf Gesundheitsdaten und die DSGVO

Egal, ob in der Arztpraxis, in der Pflege oder im Krankenhaus – Datenschutz im Gesundheitswesen ist von großer Bedeutung. Wir werfen einen Blick…

News Vorschaubild
Logo

Weiterlesen

„HR-Datenmanagement ist wichtig – und wird mit Software einfacher“

In keiner anderen Abteilung werden so viele personenbezogene Daten von Mitarbeitenden verarbeitet wie in der Personalabteilung. Warum sie sich…

News Vorschaubild
Logo

Weiterlesen

Symbolbild für Zeiterfassung

Zeiterfassung und Datenschutz in Unternehmen

Stundenzettel, Stechuhr, Chip – es gibt viele Möglichkeiten, um die Arbeitszeit von Arbeitnehmer:innen festzuhalten. Die wichtigsten Fakten zum Thema

News Vorschaubild
Logo

Weiterlesen

Symbolbild für Google Fonts und die DSGVO

Google Fonts & DSGVO: Schriftarten sicher einbinden

Mit Google Fonts stehen Ihrem Unternehmen hunderte kostenfreie Schriftarten zur Verfügung, die Sie auf Ihrer Website kommerziell nutzen dürfen.…

News Vorschaubild
Logo

Weiterlesen

Symbolbild für European Health Data Space

Datenschutz im digitalen Gesundheitsdatenraum (European Health Data Space)

Die EU will ihr Gesundheitssystem digitalisieren, damit alle EU-Bürger:innen elektronischen Zugriff auf ihre persönlichen Gesundheitsdaten haben. Auch…

News Vorschaubild
Logo

Wir freuen uns auf Ihre Anfrage!

Telefon:

+49 89 / 250 039 220

Öffnungszeiten:

Mo. - Fr.: 09:00 - 18:00 Uhr