Anpassungen an Google Analytics reichen zur Legalisierung nicht aus

Auf die Frage, ob es "möglich ist, das Google Analytics-Tool so zu konfigurieren, dass keine personenbezogenen Daten in Länder außerhalb der Europäischen Union übertragen werden", antwortete die CNIL mit einem eindeutigen "Nein." Google bestätigte der französischen Behörde, dass alle von Google Analytics gesammelten Daten tatsächlich auf US-Boden gehostet werden. [dennizn/Shutterstock]

Der Einsatz von Google Analytics ist ohne ein neues Abkommen, welches das in Ungnade gefallene Datenschutzabkommen zwischen der EU und den USA ersetzen würde, nicht legal. Das hat die französische Datenschutzbehörde CNIL kürzlich auf ihrer Website klargestellt und damit auch die Hoffnung zunichtegemacht, dass das Tool so umgestaltet werden könnte, dass Datentransfers in die USA zulässig sind. EURACTIV Frankreich berichtet.

Die Verwendung des Webanalyse-Tools von Google entspricht nicht der Allgemeinen Datenschutzverordnung (GDPR), dem EU-Datenschutzgesetz, trotz der Garantien seitens des digitalen Riesen und der Vorsichtsmaßnahmen, die Webseitenbetreiber bei der Verwendung des Tools ergreifen können, so die Nationale Kommission für Informatik und Freiheiten (CNIL) in einer am Dienstag (7. Juni) auf ihrer Website veröffentlichten F&A.

Die Klarstellung erfolgt, nachdem die Behörde im Februar förmliche Mitteilungen an mehrere Unternehmen verschickt hatte, nachdem sie entschieden hatte, dass die Übertragung von Daten über Google Analytics in die USA illegal ist.

Die Entscheidung der Aufsichtsbehörde im Februar, die einen Monat nach einer ähnlichen Entscheidung ihres österreichischen Pendants erging, folgt auf die Entscheidung des Gerichtshofs der EU (EuGH), das sogenannte „Privacy Shield“ – ein Abkommen für den Transfer personenbezogener Daten zwischen der EU und den USA – im Juli 2020 für ungültig zu erklären.

Nach Ansicht der Luxemburger Richter:innen verstößt das Abkommen gegen die hohen Datenschutzstandards der EU, da die Gefahr besteht, dass US-Geheimdienste auf personenbezogene Daten zugreifen können, die jenseits des Atlantiks weitergeleitet werden.

Die Entscheidung, das Abkommen zu ersetzen, wurde zwar angekündigt, ist aber noch lange nicht in trockenen Tüchern.

Die Verhandlungen seien „abgeschlossen“, bestätigte die Vizepräsidentin der Europäischen Kommission Margrethe Vestager auf dem Internationalen Cybersicherheitsforum in Lille vom 7. bis 9. Juni.

„Es bleibt noch viel zu tun“ auf der technischen Seite, fügte sie hinzu, weigerte sich aber anzugeben, ob dies noch in diesem Jahr erreicht werden könne.

Biden und Von der Leyen kündigen Vereinbarung zum transatlantischen Datenverkehr an

US-Präsident Biden und Kommissionspräsidentin von der Leyen erklärten am Freitag, dass beide Seiten eine Einigung zum internationalen Datentransfer erzielt hätten. Dieser Schritt wurde von der Industrie und Analysten eher zaghaft begrüßt.

Ein eindeutiges ‚Nein‘

In der Zwischenzeit hat sich die französische Datenschutzbehörde bemüht, die Angelegenheit klarzustellen.

Auf die Frage, ob es „möglich ist, das Google Analytics-Tool so zu konfigurieren, dass keine personenbezogenen Daten in Länder außerhalb der Europäischen Union übertragen werden“, antwortete die CNIL mit einem eindeutigen „Nein.“ Google bestätigte der französischen Behörde, dass alle von Google Analytics gesammelten Daten tatsächlich auf US-Boden gehostet werden.

„Selbst wenn kein Transfer stattfindet, kann die Verwendung von Softwarelösungen, die von außerhalb der Europäischen Union ansässigen Unternehmen angeboten werden, zu Schwierigkeiten beim Zugriff auf die Daten führen“, so die Behörde weiter.

Google hat zusätzliche Garantien wie die Datenanonymisierung und -Verschlüsselung vorgeschlagen, aber keine davon wurde von der CNIL als ausreichend befunden.

Bezüglich der Anonymisierung räumt die CNIL ein, dass Google eine Funktion zur Anonymisierung von IP-Adressen anbietet. Sie gilt jedoch nicht für alle Übermittlungen, und Google konnte nicht nachweisen, dass eine solche Anonymisierung vor der Übermittlung in die USA erfolgt sei.

Nach Ansicht der französischen Datenschutzbehörde reicht auch die Verwendung eindeutiger Identifikatoren nicht aus, da deren Verwendung durch die Verknüpfung mit anderen Daten identifiziert werden kann.

Die CNIL ist sich darüber im Klaren, dass Google Analytics nicht das einzige von Google für Unternehmen angebotene System ist, und stellt fest, dass „diese in Frankreich weit verbreiteten Dienste es ermöglichen, die IP-Adresse zu überprüfen und so den Browserverlauf der meisten Nutzer auf einer großen Anzahl von Websites zurückzuverfolgen.“

Die CNIL äußerte sich auch zu den von Google vorgeschlagenen Verschlüsselungslösungen und erklärte, diese wären unwirksam, da Google Verschlüsselungscodes anbietet und aufbewahrt, die es dem Unternehmen ermöglicht, auf personenbezogene Daten zuzugreifen, wenn es dies wünscht.

Unternehmen, die dieses Tool weiterhin nutzen möchten, benötigen die ausdrückliche Zustimmung der betroffenen Personen.

Frankreich schließt sich Österreich an und erklärt Google Analytics für illegal

Google bietet keine ausreichenden Garantien für den Schutz der über Google Analytics gesammelten Daten in Europa, teilte die französische Datenschutzbehörde CNIL am Donnerstag (10. Februar) mit.

Keine dauerhafte Lösung

Dies stellt jedoch keine „dauerhafte und langfristige Lösung“ dar, da diese Ausnahmeregelung nur für nicht-systematische Übermittlungen gilt, so die CNIL weiter.

Die Datenaufsichtsbehörde sagte auch, dass die Verwendung eines Proxys zur Vermeidung eines direkten Kontakts zwischen den Geräten der Nutzer:innen und den Google-Servern ebenfalls „in Betracht gezogen werden könnte.“

Aber sie warnte auch davor, dass „die Umsetzung der unten beschriebenen Maßnahmen kostspielig und komplex sein kann und nicht immer den betrieblichen Anforderungen von Fachleuten entspricht.“

Nach Datenschutz-Debakel: Konkurrenten von Google Analytics wittern Aufschwung

Alternativen zu Google Analytics könnten von der Verbotswelle der bisherigen Praxis von Google Analytics profitieren, falls sich weitere EU-Staaten der Einschätzungen der österreichischen und französischen Datenschutzbehörden anschießen würden.

[Bearbeitet von Alice Taylor]

Subscribe to our newsletters

Subscribe