Um es kurz zu machen: Nein, Google Analytics ist in Australien nicht illegal. Die jüngsten rechtlichen Probleme von Google Analytics sind darauf zurückzuführen, dass die europäischen Behörden entschieden haben, dass die Verwendung von Google Analytics einen Verstoß gegen die GDPR-Vorschriften für außereuropäische Datenübertragungen darstellt.
Da jedoch mehrere EU-Mitgliedstaaten die Verwendung von Google Analytics für rechtswidrig erklärt haben, lohnt es sich, hier etwas tiefer zu graben und die sich verändernde Landschaft zu erkunden.
- Welche Regeln gelten für Google Analytics in Australien?
- Kann ich personenbezogene Daten von Europa nach Australien übermitteln?
- Worum geht es bei der ganzen Aufregung um Google Analytics?
- Datenschutzgesetze in Australien, allgemein
- Abschließende Überlegungen
Lassen Sie uns eintauchen!
Welche Regeln gelten für Google Analytics in Australien?
Die Datenschutz-Grundverordnung gilt nicht in Australien, da es kein Mitgliedstaat der Europäischen Union oder des Europäischen Wirtschaftsraums ist. Dennoch müssen australische Unternehmen die GDPR einhalten, wenn sie auf den europäischen Markt abzielen oder das Verhalten von Nutzern in der EU überwachen**(dies schließt die Verwendung von Google Analytics für eine Website ein, die auf ein europäisches Publikum abzielt**).
Das australische Recht schreibt vor, dass Websites den Nutzer über die Verwendung von Cookies informieren müssen. Eine ausdrückliche Zustimmung ist jedoch nicht erforderlich. Das bedeutet, dass Google Analytics ohne Einholung der Zustimmung des Nutzers eingesetzt werden kann.
Kann ich personenbezogene Daten von Europa nach Australien übermitteln?
Die Europäische Kommission hat keinen Angemessenheitsbeschluss für Australien gefasst. Das bedeutet, dass das Land nicht als sicheres Ziel für Datenübertragungen eingestuft wurde.
Datenübermittlungen nach Australien sind zwar immer noch möglich, aber im Vergleich zu Ländern, für die ein Angemessenheitsbeschluss vorliegt, mit mehr Aufwand verbunden. Datenübermittlungen nach Australien erfordern die Anwendung eines der in Kapitel V der Datenschutz-Grundverordnung aufgeführten rechtlichen Mechanismen (der häufigste sind die Standardvertragsklauseln der Europäischen Kommission, die in einen Vertrag mit dem Empfänger aufgenommen werden müssen). Außerdem muss eine Datenübermittlungs-Folgenabschätzung (DTIA) durchgeführt werden.
Worum geht es bei der ganzen Aufregung um Google Analytics?
Der jüngste Trend zu Entscheidungen gegen Google Analytics ist Teil eines größeren rechtlichen Rätsels über Datenübertragungen zwischen dem EWR und den USA. Das Problem betrifft Australien nicht direkt, aber es betrifft australische Websites, die Google Analytics verwenden, sofern sie auf den europäischen Markt und das europäische Publikum ausgerichtet sind. Wir haben in unserem Blog ausführlich darüber geschrieben, daher hier eine Kurzfassung.
Das Kernproblem ist die staatliche Überwachung. Nach der Datenschutz-Grundverordnung können europäische personenbezogene Daten nur sicher außerhalb des EWR übertragen werden. Bei Datenübertragungen in die USA ist dies schwierig, da der US-Rechtsrahmen eine umfassende und invasive Überwachung der Daten ausländischer Bürger erlaubt. Nehmen wir an, ein australisches Unternehmen sammelt mit Google Analytics die personenbezogenen Daten von Nutzern in der EU. In diesem Fall werden die Daten zur Verarbeitung durch Google in die USA übermittelt, was das Risiko birgt, dass die Daten von US-Behörden überwacht werden.
Zwei verschiedene Datenübertragungsrahmen (Safe Harbor und Privacy Shield) zwischen der EU und den USA ermöglichten in der Vergangenheit GDPR-konforme Datenübertragungen, aber beide Rahmen wurden vom EU-Gerichtshof in den Fällen Schrems I und II für ungültig erklärt. Ein dritter Rahmen ist auf dem Weg, wird aber zweifellos rechtlich angefochten werden. Da sich ein Urteil in der Rechtssache Schrems III bereits abzeichnet, bleibt die Zukunft des Datenverkehrs zwischen der EU und den USA ungewiss.
In der Zwischenzeit müssen die Unternehmen auf verschiedene rechtliche Instrumente (in der Regel Standardvertragsklauseln) zurückgreifen, um Daten gemäß der Datenschutz-Grundverordnung rechtmäßig in die USA zu übermitteln. Das Problem bei diesen Instrumenten ist jedoch, dass sie keinen Schutz gegen staatliche Überwachung bieten. Aus diesem Grund hat der Gerichtshof in der Rechtssache Schrems II klargestellt, dass sie durch zusätzliche Maßnahmen zum Schutz der Privatsphäre ergänzt werden müssen, wenn Daten in "unsichere" Länder übermittelt werden. Dies ist bei den Übermittlungen, die für bestimmte Cloud-basierte Dienste wie Google Analytics erforderlich sind, schwierig und völlig unmöglich (wir haben hier darüber geschrieben).
Nach dem Schrems-II-Urteil im Jahr 2020 haben die meisten Unternehmen wie gewohnt mit in den USA ansässigen Dienstleistern zusammengearbeitet. In der Zwischenzeit koordinierten die Datenschutzbehörden ihr Vorgehen bei Datenübermittlungen auf europäischer Ebene. So haben die österreichische, die französische, die italienische und die ungarische Datenschutzbehörde in ähnlichen Entscheidungen die Verwendung von Google Analytics untersagt. Auch die dänische Datenschutzbehörde nahm in einer Pressemitteilung eine strikte Haltung ein. Alle Entscheidungen laufen praktisch auf ein landesweites Verbot hinaus, wie wir hier erläutert haben. Andere Datenschutzbehörden werden wahrscheinlich dem Beispiel folgen und eine strengere Haltung gegenüber Google Analytics einnehmen.
Datenschutzgesetze in Australien, allgemein
Auf Bundesebene ist das wichtigste australische Datenschutzgesetz der Privacy Act von 1988. Das Gesetz wird durch die Gesetzgebung der Bundesstaaten und durch andere Gesetze ergänzt, die bestimmte Sektoren wie Finanzdienstleistungen regeln. Der Australian Information Commissioner ist die unabhängige Datenschutzbehörde des Landes und spielt eine wichtige Rolle bei der Durchsetzung der Datenschutzgesetze.
Es sei darauf hingewiesen, dass das australische Recht die Verletzung der Privatsphäre nicht als unerlaubte Handlung anerkennt (d. h. als eine bestimmte Ursache oder Art von Rechtsstreitigkeiten im Privatrecht). Aus diesem Grund kann die Durchsetzung von Datenschutzrechten in Australien komplizierter sein als in anderen Common-Law-Ländern wie den USA und dem Vereinigten Königreich.
Abschließende Überlegungen
Unabhängig davon, ob Google Analytics in Australien illegal ist oder nicht, ist es definitiv nicht datenschutzfreundlich für Ihre Website-Besucher. In einer Welt, in der staatliche Überwachung und monopolistisches Fehlverhalten offensichtlicher denn je sind, streben wir nach einem unabhängigen Internet.
Mit Simple Analytics können Sie dennoch Einblicke gewinnen und Möglichkeiten aus Ihren Website-Analysen entdecken, ohne Cookies zu verwenden oder persönliche Daten zu sammeln. Möchten Sie sehen, wie das aussieht? Werfen Sie hier einen Blick auf unser Live-Dashboard.
Wenn Sie sich angesprochen fühlen, probieren Sie uns aus. Es ist kostenlos.