In einer noch nicht abgeschlossenen Beschwerde kam die norwegische Datenschutzbehörde (Datatilsynet) zu dem vorläufigen Schluss, dass "die Verwendung von Google Analytics gegen die Übermittlungsvorschriften der DSGVO verstößt". Die Behörde veröffentlichte die Ergebnisse gestern auf ihrer Website (nur in norwegischer Sprache) und erwartet eine endgültige Entscheidung "frühestens Ende April".
Natürlich könnte die Behörde am Ende zu einem anderen Ergebnis kommen. Aber wir haben gute Gründe zu glauben, dass dies nicht der Fall sein wird und dass Norwegen sich bald Österreich, Frankreich, Italien, Finnland und Dänemark anschließen und Google Analytics praktisch verbieten könnte. Hier ist der Grund dafür.
(Update: Ein viel beachteter Fall von Datenübermittlung, an dem Meta beteiligt war, wurde zwei Monate später von der irischen Datenschutzbehörde entschieden. Infolgedessen wurde Meta zu einer Geldstrafe von 1,2 Milliarden Euro verur teilt und riskiert derzeit eine EU-weite Sperrung von Facebook. Die Gründe für diese Entscheidung sind dieselben, die auch zu den Verboten gegen Google Analytics geführt haben. Wir haben diesen wichtigen Fall im Detail besprochen)
- Google Analytics und Datenübertragungen
- Was haben die anderen Behörden genau gesagt?
- Was können wir von dieser Entscheidung erwarten?
- Das Gesamtbild
- Abschließende Überlegungen
Google Analytics und Datenübertragungen
Wir haben noch keine Entscheidung, aber wir können einen Blick auf das Gesamtbild werfen und eine fundierte Vermutung über das wahrscheinlichste Ergebnis und die Gründe dafür anstellen.
Die rechtlichen Probleme von Google Analytics mit der Datenschutz-Grundverordnung sind nicht neu: Wie wir bereits festgestellt haben, haben andere Datenschutzbehörden (DPA) bereits eine harte Haltung eingenommen. Die meisten ihrer Entscheidungen gehen auf eine koordinierte Reihe von Beschwerden der Datenschutz-NGO noyb zurück, die strategisch darauf abzielt, die Datenschutzbehörden zu einer strengeren Durchsetzung der Datenübertragungsregeln der DSGVO und des Schrems-II-Urteils des EU-Gerichtshofs zu bewegen.
Die Beschwerden von Noyb haben alle den gleichen Inhalt. Die Verwendung von Google Analytics erfordert die Übermittlung personenbezogener Daten (Cookies und IP-Adressen) an Google LLC mit Sitz in Kalifornien. Diese Übermittlung birgt jedoch das Risiko einer staatlichen Überwachung in den USA. Aus diesem Grund müssen personenbezogene Daten durch angemessene Garantien gegen Überwachung geschützt werden, wie der Gerichtshof in der Rechtssache Schrems II festgestellt hat. Noyb behauptet, dass die Datenübermittlungen diese erforderlichen Garantien (im Fachjargon als ergänzende Maßnahmen bezeichnet) vermissen lassen. Dies macht die Verwendung von Google Analytics unvereinbar mit der Datenschutz-Grundverordnung und dem Schrems-II-Urteil. Bisher haben die österreichischen, französischen und italienischen Behörden noyb zugestimmt, und die dänischen und finnischen Behörden haben unter anderen Umständen denselben Standpunkt vertreten.
(Es gibt noch mehr zu Schrems II und Datenübertragungen. Wir haben in einem anderen Blog ausführlicher über diese Themen geschrieben.)
Was haben die anderen Behörden genau gesagt?
Um es klar zu sagen: Alle Beschwerden und Entscheidungen beziehen sich technisch gesehen auf bestimmte Websites. Aus diesem Grund sagen wir, dass Google Analytics in einigen Ländern praktisch verboten ist. Theoretisch könnte eine andere Website Google Analytics rechtmäßig verwenden, indem sie andere und bessere Schutzmaßnahmen einführt.
Aber Theorie ist hier das Schlüsselwort. In der Praxis gibt es nur sehr wenige Schutzmechanismen gegen staatliche Überwachung. Die Sicherheit der Datenübermittlung zu gewährleisten, ist für viele Dienste schwierig und für Google Analytics praktisch unmöglich, da es auf Cookies basiert und die Cookie-Kennungen im Klartext verarbeiten muss, um zu funktionieren(wir haben mehr darüber geschrieben).
Jede Entscheidung kommt also praktisch einem landesweiten Verbot gleich, weshalb Googles rechtliche Fragen in der Datenschutzgemeinde große Aufmerksamkeit erregen.
Was können wir von dieser Entscheidung erwarten?
Wir haben keine Kristallkugel, aber wir können auf der Grundlage des Gesamtbildes eine fundierte Vermutung anstellen.
Die Behörden sind bei den Beschwerden von noyb bisher immer auf die gleiche Weise vorgegangen. Das liegt daran, dass sie ihr Vorgehen auf europäischer Ebene koordiniert haben, wie das Datatilsynet selbst in seiner Pressemitteilung feststellt. Aus diesem Grund wird die norwegische Behörde wahrscheinlich letztendlich gegen die Verwendung von Google Analytics entscheiden.
Es sei darauf hingewiesen, dass das Datatilsynet die Beschwerde als grenzüberschreitenden Fall behandelt. In der Praxis bedeutet dies, dass andere europäische Behörden eine Rolle spielen können, indem sie Einwände erheben. Wir gehen jedoch nicht davon aus, dass dies geschehen wird. Letztes Jahr hat die französische Behörde ihre Entscheidung gegen Google Analytics auch anderen Behörden vorgelegt, und damals wurden keine Einwände erhoben.
Es ist auch erwähnenswert, dass Norwegen kein EU-Land ist. Tatsächlich unterliegt Norwegen der Datenschutz-Grundverordnung, da es Teil des Europäischen Wirtschaftsraums ist. Sollte die Entscheidung von Datatilsynet bestätigt werden, wäre Norwegen das erste Nicht-EU-Land, das gegen Google Analytics in der Frage der Datenübermittlung entscheidet.
Das Gesamtbild
Es gibt viele datenschutzfreundliche Alternativen zu Google Analytics, und Simple Analytics ist eine davon. Wir glauben, dass ein Verbot von Google Analytics nicht das Ende der Welt bedeutet.
Aber das Problem der Datenübermittlung ist größer als Google Analytics. Viele in den USA ansässige Dienste erfordern die Übermittlung personenbezogener Daten und könnten als nächstes unter Beschuss geraten. Google Analytics loszuwerden ist relativ einfach (hallo Simple Analytics), aber auf Dienste wie Oracle und AWS zu verzichten, ist eine andere Sache.
Aus diesem Grund haben die USA und die Europäische Kommission einen neuen Rahmen für die Datenübermittlung ausgehandelt, um den Datentransfer zu erleichtern, und haben Schritte zu dessen Umsetzung unternommen. Im Dezember 2022 erarbeitete die Kommission einen Angemessenheitsbeschluss für die USA, der die Datenübermittlung mit einem bestimmten Land erheblich erleichtert. Der Beschluss muss noch von den Mitgliedstaaten genehmigt werden und wird sicherlich vor Gericht angefochten werden.
Es ist erwähnenswert, dass der EU-Gerichtshof bereits zwei Angemessenheitsbeschlüsse für die USA in den Fällen Schrems I und II für ungültig erklärt hat. Es ist schwer zu sagen, wie sich ein "Schrems III"-Fall entwickeln wird. Im Moment ist die Zukunft der Datenübermittlung noch ungewiss.
Abschließende Überlegungen
Gleiche Geschichte. Anderes Land. Hier gibt es nichts Neues zu sehen, denn wir haben gesehen, dass verschiedene EU-Länder zu den gleichen Schlussfolgerungen gekommen sind wie die norwegischen Behörden gerade. Doch jedes Land, das sich gegen Google Analytics wendet, stärkt die Forderung nach einem besseren Datenschutz. Mit dem Wechsel zu GA4 hat Google den immer lauter werdenden Ruf nach mehr Datenschutz aufgegriffen. Allerdings löst GA4 dieses Problem nicht.
Wir bei Simple Analytics haben den Ruf nach mehr Datenschutz ebenfalls aufgegriffen und beheben dieses Problem. Wir sind ein kleines und unabhängiges Team, das fest daran glaubt, dass das Internet ein Ort sein sollte, an dem die Privatsphäre respektiert wird. Sicherlich ist es möglich, die von Ihnen benötigten Einblicke zu erhalten und gleichzeitig 100%ig GDPR-konform zu sein, ohne dass Sie einen Cookiebanner benötigen. Noch nicht überzeugt? Probieren Sie es doch einfach selbst aus.