Der Einsatz von Google Analytics ist ohne ein neues Abkommen, welches das in Ungnade gefallene Datenschutzabkommen zwischen der EU und den USA ersetzen würde, nicht legal. Das hat die französische Datenschutzbehörde CNIL kürzlich auf ihrer Website klargestellt und damit auch die Hoffnung zunichtegemacht, dass das Tool so umgestaltet werden könnte, dass Datentransfers in die USA zulässig sind. EURACTIV Frankreich berichtet.
Die Verwendung des Webanalyse-Tools von Google entspricht nicht der Allgemeinen Datenschutzverordnung (GDPR), dem EU-Datenschutzgesetz, trotz der Garantien seitens des digitalen Riesen und der Vorsichtsmaßnahmen, die Webseitenbetreiber bei der Verwendung des Tools ergreifen können, so die Nationale Kommission für Informatik und Freiheiten (CNIL) in einer am Dienstag (7. Juni) auf ihrer Website veröffentlichten F&A.
Die Klarstellung erfolgt, nachdem die Behörde im Februar förmliche Mitteilungen an mehrere Unternehmen verschickt hatte, nachdem sie entschieden hatte, dass die Übertragung von Daten über Google Analytics in die USA illegal ist.
Die Entscheidung der Aufsichtsbehörde im Februar, die einen Monat nach einer ähnlichen Entscheidung ihres österreichischen Pendants erging, folgt auf die Entscheidung des Gerichtshofs der EU (EuGH), das sogenannte „Privacy Shield“ – ein Abkommen für den Transfer personenbezogener Daten zwischen der EU und den USA – im Juli 2020 für ungültig zu erklären.
Nach Ansicht der Luxemburger Richter:innen verstößt das Abkommen gegen die hohen Datenschutzstandards der EU, da die Gefahr besteht, dass US-Geheimdienste auf personenbezogene Daten zugreifen können, die jenseits des Atlantiks weitergeleitet werden.
Die Entscheidung, das Abkommen zu ersetzen, wurde zwar angekündigt, ist aber noch lange nicht in trockenen Tüchern.
Die Verhandlungen seien „abgeschlossen“, bestätigte die Vizepräsidentin der Europäischen Kommission Margrethe Vestager auf dem Internationalen Cybersicherheitsforum in Lille vom 7. bis 9. Juni.
„Es bleibt noch viel zu tun“ auf der technischen Seite, fügte sie hinzu, weigerte sich aber anzugeben, ob dies noch in diesem Jahr erreicht werden könne.
Ein eindeutiges ‚Nein‘
In der Zwischenzeit hat sich die französische Datenschutzbehörde bemüht, die Angelegenheit klarzustellen.
Auf die Frage, ob es „möglich ist, das Google Analytics-Tool so zu konfigurieren, dass keine personenbezogenen Daten in Länder außerhalb der Europäischen Union übertragen werden“, antwortete die CNIL mit einem eindeutigen „Nein.“ Google bestätigte der französischen Behörde, dass alle von Google Analytics gesammelten Daten tatsächlich auf US-Boden gehostet werden.
„Selbst wenn kein Transfer stattfindet, kann die Verwendung von Softwarelösungen, die von außerhalb der Europäischen Union ansässigen Unternehmen angeboten werden, zu Schwierigkeiten beim Zugriff auf die Daten führen“, so die Behörde weiter.
Google hat zusätzliche Garantien wie die Datenanonymisierung und -Verschlüsselung vorgeschlagen, aber keine davon wurde von der CNIL als ausreichend befunden.
Bezüglich der Anonymisierung räumt die CNIL ein, dass Google eine Funktion zur Anonymisierung von IP-Adressen anbietet. Sie gilt jedoch nicht für alle Übermittlungen, und Google konnte nicht nachweisen, dass eine solche Anonymisierung vor der Übermittlung in die USA erfolgt sei.
Nach Ansicht der französischen Datenschutzbehörde reicht auch die Verwendung eindeutiger Identifikatoren nicht aus, da deren Verwendung durch die Verknüpfung mit anderen Daten identifiziert werden kann.
Die CNIL ist sich darüber im Klaren, dass Google Analytics nicht das einzige von Google für Unternehmen angebotene System ist, und stellt fest, dass „diese in Frankreich weit verbreiteten Dienste es ermöglichen, die IP-Adresse zu überprüfen und so den Browserverlauf der meisten Nutzer auf einer großen Anzahl von Websites zurückzuverfolgen.“
Die CNIL äußerte sich auch zu den von Google vorgeschlagenen Verschlüsselungslösungen und erklärte, diese wären unwirksam, da Google Verschlüsselungscodes anbietet und aufbewahrt, die es dem Unternehmen ermöglicht, auf personenbezogene Daten zuzugreifen, wenn es dies wünscht.
Unternehmen, die dieses Tool weiterhin nutzen möchten, benötigen die ausdrückliche Zustimmung der betroffenen Personen.
Keine dauerhafte Lösung
Dies stellt jedoch keine „dauerhafte und langfristige Lösung“ dar, da diese Ausnahmeregelung nur für nicht-systematische Übermittlungen gilt, so die CNIL weiter.
Die Datenaufsichtsbehörde sagte auch, dass die Verwendung eines Proxys zur Vermeidung eines direkten Kontakts zwischen den Geräten der Nutzer:innen und den Google-Servern ebenfalls „in Betracht gezogen werden könnte.“
Aber sie warnte auch davor, dass „die Umsetzung der unten beschriebenen Maßnahmen kostspielig und komplex sein kann und nicht immer den betrieblichen Anforderungen von Fachleuten entspricht.“
[Bearbeitet von Alice Taylor]