In den Fragen und Antworten der CNIL wird ausdrücklich darauf hingewiesen, dass die Verwendung von Google Analytics nach wie vor gegen die Datenschutzgrundverordnung verstößt. Darüber hinaus erklärte sie, dass es keine Umstände gibt, unter denen dies nicht der Fall ist.
Im vorliegenden Artikel gehen wir auf die Aussagen der CNIL während der Fragerunde ein.
- Schrems II und die Verletzung von Privacy Shield 1.0
- Aktualisierung des Privacy Shield 2.0
- Schlussfolgerung aus der CNIL-Fragestunde
- Lösungen
- Warum ist uns das wichtig?
Auf geht's!
Schrems II und die Verletzung von Privacy Shield 1.0
Die aktuelle Situation mit Google Analytics wurde durch das Schrems-II-Urteil ausgelöst, das den Privacy Shield 1.0 für ungültig erklärte. Nach der Datenschutz-Grundverordnung (DSGVO) sind Datenübertragungen in Länder außerhalb der EU nur dann möglich, wenn angemessene Sicherheitsvorkehrungen getroffen werden können. Der Datenschutzschild diente als Mechanismus zum Schutz dieser Datenübertragungen.
Mit Schrems II wurde der Datenschutzschild außer Kraft gesetzt: Kurz gesagt, die EU fordert Datenschutzrechte für ihre Bürger, die von der US-Regierung nicht eingehalten werden. Google gilt per Gesetz als "Anbieter elektronischer Kommunikationsdienste" und muss daher Daten von EU-Bürgern herausgeben, wenn der US-Geheimdienst danach fragt.
Als Reaktion darauf erklärten die DSB (österreichische Datenschutzaufsichtsbehörde) und die CNIL, dass die Verwendung von Google Analytics gegen die DSGVO verstößt und dass EU-Unternehmen, die Google Analytics weiterhin verwenden, mit einer Geldstrafe belegt werden können.
Aktualisierung des Privacy Shield 2.0
In der Zwischenzeit haben die USA und die EU eine politische Vereinbarung angekündigt, die das außer Kraft gesetzte Privacy Shield ersetzen soll. Wir haben hier darüber geschrieben und auf die Tatsache hingewiesen, dass die Vereinbarung rechtlich nicht haltbar ist. Es handelt sich vielmehr um eine politische Vereinbarung. Es gibt immer noch kein rechtliches Dokument, und es wird eine Weile dauern, bis es fertig ist.
Dies wurde auch von der CNIL während ihrer Fragestunde letzte Woche festgestellt. Sie wiesen ausdrücklich darauf hin, dass die gemeinsame Erklärung keinen rechtlichen Rahmen darstellt und nicht als Grundlage dienen kann. Die CNIL geht davon aus, dass es bis zum Ende des Jahres dauern wird, bis eine Einigung zustande kommt. Wenn die Vereinbarung jedoch abgeschlossen ist, wird sie mit ziemlicher Sicherheit erneut rechtlich angefochten werden, um festzustellen, ob sie nicht genauso mangelhaft ist wie das Privacy Shield 1.0. Zur Verdeutlichung: Privacy Shield 1.0 wurde im Juli 2020 für ungültig erklärt. Es dauerte bis Februar 2022, bis die DSB und die CNIL eine proaktive Durchsetzung vornahmen.
Schlussfolgerung aus der CNIL-Fragestunde
Laut der französischen Datenschutzbehörde ist die wichtigste Schlussfolgerung aus der Fragerunde, dass Google Analytics weiterhin illegal ist. Die CNIL bestätigte auch, dass sie zwischen der ersten Ankündigung im Februar und dem jetzigen Zeitpunkt förmliche Bescheide an Unternehmen verschickt hat. Die Unternehmen haben einen Monat Zeit, um der Aufforderung nachzukommen, andernfalls werden sie mit einer Geldstrafe belegt.
Die CNIL fordert insbesondere, dass EU-Websites Änderungen an ihrer Verwendung von Google Analytics vornehmen sollten. Sie erklärte jedoch auch, dass die Verwendung von Google Analytics mit den vorliegenden Informationen unter keinen Umständen legal sei. Google schlug verschiedene Lösungen vor, um dieses Problem anzugehen. Diese wurden alle von der CNIL verworfen.
Google bestätigte, dass die Daten auf amerikanischem Boden gehostet werden und dass keine Änderung in den Augen der CNIL den Datentransfer von personenbezogenen Daten verhindern würde. Google schlug zwei Lösungen vor:
- Die Anonymisierung der personenbezogenen Daten.
- Die Verwendung von eindeutigen Kennungen
Die CNIL verwarf beide Vorschläge, da Google nicht nachweisen konnte, dass die Daten vor dem Datentransfer in die USA anonymisiert wurden.
Darüber hinaus stellt die CNIL fest, dass Google mehr Lösungen anbietet, die IP-Adressen nachverfolgen, d. h. diese Dienste ermöglichen einen Abgleich der IP-Adressen und somit die Rückverfolgung des Surfverhaltens der Nutzer. Die CNIL wies auch darauf hin, dass die Verschlüsselung der Daten nicht ausreicht, solange Google die Verschlüsselungsschlüssel besitzt, so dass es auf persönliche Daten zugreifen kann, wenn es dies wünscht.
Aus den obigen Ausführungen lässt sich schließen, dass die Geldbußen wahrscheinlich steigen werden. Die Tatsache, dass es keine Umstände gibt, unter denen Google Analytics legal verwendet werden kann, sorgt für einfache Richtlinien. Daher war die Durchsetzung des Urteils noch nie so einfach.
Es gibt eine Debatte darüber, ob dies nur für die aktuelle Version von Google Analytics (Universal Analytics) gilt. Die kurze Antwort ist, dass es für jede Version und Einrichtung von Google Analytics gilt, also auch für die neueste Version Google Analytics 4. Wir haben in diesem Blog ausführlicher darüber geschrieben.
Lösungen
Die erste vorgeschlagene Lösung war die Datenverschlüsselung, bei der der Schlüssel zur Entschlüsselung der Daten in den Händen des Datenexporteurs (oder einer vertrauenswürdigen Drittpartei mit Sitz in der EU) liegen sollte. Auf diese Weise sind die Daten der EU-Bürger davor geschützt, an den US-Geheimdienst weitergegeben zu werden.
Eine andere Alternative wäre die Verwendung eines Proxy-Servers. Auf diese Weise gäbe es keinen direkten Kontakt zwischen dem Datenexporteur und Google, da der Proxy-Server als Vermittler fungieren würde.
Die letzte vorgeschlagene Option wäre, die ausdrückliche Zustimmung der Nutzer für die Datenübermittlung einzuholen. Dies ist jedoch keine praktikable Lösung, da es ein Graus wäre, jeden Besucher bei jedem Besuch um diese Zustimmung zu bitten. Dies könnte also nur unter außergewöhnlichen Umständen funktionieren.
Die Umsetzung der oben genannten Lösungen könnte jedoch kostspielig sein, und es stellt sich die Frage, ob diese auch den betrieblichen Anforderungen gerecht werden.
Wenn Ihnen das alles zu wenig ist und Sie sich nicht mehr mit dem GDPR-Problem herumschlagen wollen, gibt es datenschutzfreundliche Alternativen zu Google Analytics. Simple Analytics ist eine davon. Bevor wir unsere Lösungen schamlos als die beste Lösung anpreisen, haben wir alle datenschutzfreundlichen Alternativen geprüft und vier Lösungen gefunden, die Sie sich vielleicht ansehen sollten.
Warum ist uns das wichtig?
Wir sind ein unabhängiges Team von zwei Personen, denen der Datenschutz am Herzen liegt und die glauben, dass die Zukunft der Webanalyse von vornherein datenschutzfrei ist. Wenn Sie bereit sind, sich von Google Analytics zu verabschieden und die von uns entwickelte Lösung ausprobieren möchten, können Sie uns gerne eine Chance geben.