Ist der Einsatz von Google Analytics noch rechtskonform?

Jun 30, 2022

Der Einsatz von Google Analytics ist mit einer gewissen Rechtsunsicherheit verbunden. Der Europäische Gerichtshof (EuGH) hatte im Juli 2020 entschieden, dass das Privacy-Shield-Abkommen ungültig ist. Das Abkommen regelt den Transfer persönlicher Daten von europäischen Unternehmen in die Vereinigten Staaten. Es war der Nachfolger des 2016 abgelösten Safe-Harbor-Abkommens. Seit dem Entscheid ist es ab mehr möglich, dass US-Unternehmen personenbezogene Daten von EU-Bürgerinnen und -Bürgern auf dieser Basis bearbeiten.

Mittlerweile gibt es mehrere Entscheide von Aufsichtsbehörden in der EU, welche den Einsatz von Google Analytics (und Google Fonts) nach dem sog. Schrems II Urteil des EuGH vom 16.06.2020 (C-311/18) als nicht datenschutzkonform einstufen (Standarderledigung Bescheid (itm.nrw); Use of Google Analytics and data transfers to the United States: the CNIL orders a website manager/operator to comply | CNIL; LG München: 3 O 17493/20 vom 20.01.2022 | 3. Zivilkammer Papierfundstellen: GRUR-RS 2022, 612 BeckRS 2022, 612 (rewis.io)); Google: Garante privacy stop all’uso degli Analytics. Dati trasferiti… – Garante Privacy (gpdp.it), 

Dänemark

Darüber hinaus hat sich dänische Datenschutzaufsichtsbehörde, die Datatilsynet, in einem Entscheid vom 14. Juli 2022 generell zum Einsatz von Google-Produkten durch eine Gemeinde und insbesondere zur Übermittlung in die USA geäussert, bzw. die Verwendung von Chrombooks und Google Workspace durch Gemeinden verboten.

Deutschland

In Deutschland gilt der DSK-Beschluss vom 12.05.2020 zum Einsatz von Google Analytics, wo die datenschutzrechtliche Mindestanforderungen zum Einsatz von Google Analytics beschrieben werden. Schlüsselelemente sind dabei:

In der Zwischenzeit wurden auch namhafte Beiträge publiziert, worin erklärt werden, wie der Einsatz von Google Analytics doch möglich sein soll: (How to legally use Google Analytics in Europe – 7 March 2022 – VISCHER), Google Analytics datenschutzkonform einsetzen | Anleitung inkl. Muster (dr-datenschutz.de). Ob diese Massnahmen einer gerichtlichen Überprüfung (auch im Hinblick auf die CNIL Empfehlung) standhalten werden bleibt abzuwarten. Einige Massnahmen erweisen sich auch als kostspielig und komplex und dürften nicht immer den operativen Bedürfnissen der Unternehmen gerecht werden.

Stellungnahme der CNIL vom 7. Juni 2022

Am 07. Juni 2022 hat nun die französische Datenschutzbehörde, die CNIL (Commission Nationale de l´Informatique et des Libertés, deutsch Nationale Kommission für Informatik und Freiheiten), eine aktuelle Stellungnahme in Sachen Google Analytics veröffentlicht. Der Inhalt der Stellungnahme in der CNIL wiederholt die gemeinsamen europäischen Standpunkte und zeigt in Ergänzung zu dem bereits veröffentlichten FAQ eine Möglichkeit für einen datenschutzkonformen Einsatz von Google Analytics auf.

Um Google Analytics in Übereinstimmung mit der DSGVO zu verwenden, reicht demnach die blosse Umsetzung von Standardvertragsklauseln und eine einfache Änderung der Standard-Einstellungen nicht aus. Auch die von einigen Interessensgruppen vorgeschlagene „Verschlüsselung“ des von Google erstellten Identifier oder dessen Ersetzen durch einen eigenen Identifier wird von der CNIL als ungenügend bewertet, da immer noch personenbezogene Daten an Googles Server in die USA übertragen werden, wie die IP-Adresse und eine Menge gerätebezogener Informationen, und diese dort dem Zugriff der Behörden ausgesetzt sind.

Die Grundproblematik liegt nach Auffassung der CNIL im direkten Kontakt über eine HTTPS-Verbindung zwischen dem Endgerät einer Person und den von Google betriebenen Servern, die eine Re-Identifizierung des Nutzers ermöglichen. Dem Grundproblem kann nur im Wege einer Unterbrechung des Kontakts zwischen dem Endgerät und dem Server begegnet werden. Eine mögliche Lösung sei hingegen der Einsatz eines Proxy-Servers. Es muss jedoch sichergestellt werden, dass diese Proxy-Server eine Reihe von Kriterien erfüllt, damit diese zusätzliche Massnahme im Einklang mit den Empfehlungen des EDSB vom 18. Juni 2021 stehen.

Rechtslage nach revidiertem Datenschutzgesetz

Diese Sanktionsobergrenze wird mit den neuen, des revidierten Datenschutzgesetzes, allerdings auf CHF 250’000.– erhöht (vgl. Art. 60 ff revDSG). Abgesehen davon wird die Verletzung von Art. 17 (Voraussetzungen zu den Übermittlungen von Personendaten ins unsichere Ausland) direkt sanktioniert. Nach Art. 62 revDSG werden mit Busse bis zu 250 000 Franken private Personen auf Antrag bestraft, die vorsätzlich:

  1. unter Verstoss gegen Artikel 16 Absätze 1 und 2 und ohne dass die Voraussetzungen nach Artikel 17 erfüllt sind, Personendaten ins Ausland bekanntgeben;
  2. die Datenbearbeitung einem Auftragsbearbeiter übergeben, ohne dass die Voraussetzungen nach Artikel 9 Absätze 1 und 2 erfüllt sind;
  3. die Mindestanforderungen an die Datensicherheit, die der Bundesrat nach Artikel 8 Absatz 3 erlassen hat, nicht einhalten.

Es empfiehlt sich deshalb, spätestens im Hinblick auf das Inkrafttreten des revidierten DSG am 1. September 2023 ist die Rechtslage nochmals näher zu prüfen.

Privacy Shields II in Sicht?

Es zeichnet sich ein Trend weg von Google Analytics hin zu einer europäischen Lösung ab. In einer gemeinsamen Mitteilung äussern sich die USA und die EU am 25. März 2022 dazu, wie es weitergehen soll. Der Datenaustausch soll demnach künftig durch das Trans-Atlantic Data Privacy Framework (TADPF) geregelt werden. Das neue Abkommen soll den freien und sicheren Datenfluss zwischen der EU den USA gewährleisten. Dabei werde es das „Schrems II“-Urteil adressieren, heisst es in der Mitteilung, die sehr sparsam mit Details umgeht.