Lassen Sie es mich Ihnen direkt sagen: Nein, Google Analytics ist in Brasilien nicht illegal. Google Analytics geriet unter Beschuss mehrerer europäischer Behörden, weil es nicht mit den GDPR-Vorschriften für außereuropäische Datenübertragungen konform ist. Die GDPR findet in Brasilien keine Anwendung, da das Land nicht Mitglied der Europäischen Union oder des Europäischen Wirtschaftsraums ist.
> Brasilianische Unternehmen müssen jedoch die GDPR einhalten, wenn sie auf den europäischen Markt abzielen oder das Verhalten in der EU überwachen (dies schließt die Verwendung von Google Analytics auf einer Website ein, die auf ein europäisches Publikum abzielt). Daher lohnt es sich, hier tiefer zu graben.
- Brasilianisches Datenschutzrecht
- Welche Regeln gelten für Google Analytics in Brasilien?
- Kann ich personenbezogene Daten von Europa nach Brasilien übermitteln?
- Was soll die ganze Aufregung um Google Analytics?
- Abschließende Überlegungen
Lassen Sie uns eintauchen!
Brasilianisches Datenschutzrecht
Die brasilianische Bundesverfassung erkennt die Privatsphäre als Grundrecht an und wurde vor kurzem geändert, um ein Recht auf Datenschutz einzuführen. Damit garantiert die Verfassung nun sowohl den Schutz der Privatsphäre als auch den Datenschutz als eigenständige Rechte, ähnlich wie die Charta der Grundrechte der Europäischen Union.
Das wichtigste brasilianische Datenschutzgesetz ist das Allgemeine Datenschutzgesetz von 2018. Die GDPR hat dieses Gesetz in vielerlei Hinsicht stark beeinflusst. Brasilien hat auch ein Durchsetzungsmodell ähnlich dem der Europäischen Union übernommen und 2020 eine unabhängige nationale Datenschutzbehörde eingerichtet.
Welche Regeln gelten für Google Analytics in Brasilien?
Cookies sind nach der LGPD personenbezogene Daten, aber der brasilianische Rechtsrahmen ist weniger streng als der europäische, und eine Einwilligung ist nicht immer erforderlich.
Die brasilianischen Datenschutzbehörden haben ausführliche Leitlinien zu Cookies veröffentlicht. Als Faustregel gilt, dass Cookies von Drittanbietern und die Verwendung von Cookies zu Marketingzwecken die Zustimmung des Nutzers erfordern. Unverzichtbare Cookies und Cookies für Webanalysen können dagegen ohne Zustimmung verwendet werden, sofern bestimmte Anforderungen erfüllt sind.
Die Anforderungen an die Cookie-Banner und -Richtlinien ähneln denen, die in der GDPR festgelegt sind.
Kann ich personenbezogene Daten von Europa nach Brasilien übermitteln?
Zurzeit gibt es noch keinen Angemessenheitsbeschluss für Brasilien. Mit anderen Worten: Die Europäische Kommission hat Brasilien nicht als sicheres Land für den Datentransfer "grünes Licht" gegeben.
Sie können immer noch personenbezogene Daten nach Brasilien übermitteln, aber es wird schwieriger sein als die Übermittlung von Daten in ein EU/EWR-Land oder ein Land, das unter einen Angemessenheitsbeschluss fällt.
Was soll die ganze Aufregung um Google Analytics?
Der jüngste Trend zu Entscheidungen gegen Google Analytics ist Teil eines größeren rechtlichen Rätsels über Datenübertragungen zwischen dem EWR und den USA. Das Problem betrifft Brasilien nicht direkt, aber es betrifft brasilianische Websites, die Google Analytics verwenden, sofern sie auf den europäischen Markt und das europäische Publikum ausgerichtet sind. Wir haben darüber bereits ausführlich in unserem Blog geschrieben, daher hier eine Kurzfassung.
Das Kernproblem ist die Staatsüberwachung. Nach der Datenschutz-Grundverordnung können europäische personenbezogene Daten nur sicher außerhalb des EWR übertragen werden. Dies ist für US-Datentransfers schwierig, weil der US-Rechtsrahmen eine umfassende und invasive Überwachung der Daten ausländischer Bürger erlaubt.
Zwei verschiedene Datenübermittlungsrahmen (Safe Harbor und Privacy Shield) zwischen der EU und den USA ermöglichten in der Vergangenheit GDPR-konforme Datenübermittlungen, aber beide Rahmen wurden vom EU-Gerichtshof in den Rechtssachen Schrems I und II für ungültig erklärt. Ein dritter Rahmen ist auf dem Weg, wird aber zweifelsohne vor rechtlichen Herausforderungen stehen. Da ein Urteil in der Rechtssache Schrems III bereits absehbar ist, bleibt die Zukunft des Datenverkehrs zwischen der EU und den USA ungewiss.
In der Zwischenzeit müssen Unternehmen auf verschiedene rechtliche Instrumente (in der Regel Standardvertragsklauseln) zurückgreifen, um Daten im Rahmen der Datenschutz-Grundverordnung rechtmäßig in die USA zu übertragen. Das Problem bei diesen Instrumenten ist jedoch, dass sie keinen Schutz gegen staatliche Überwachung bieten. Aus diesem Grund hat der Gerichtshof in der Rechtssache Schrems II klargestellt, dass sie durch zusätzliche Maßnahmen zum Schutz der Privatsphäre ergänzt werden müssen, wenn Daten in "unsichere" Länder übermittelt werden. Dies ist bei den Übermittlungen, die für bestimmte Cloud-basierte Dienste wie Google Analytics erforderlich sind, schwierig und völlig unmöglich (wir haben darüber hier geschrieben). Die staatliche Überwachung ist der Grund dafür, dass die Übermittlung von Daten in die USA in der Regel schwieriger ist als die Übermittlung nach Brasilien, auch wenn ein Angemessenheitsbeschluss für beide Länder gilt.
Nach dem Schrems-II-Urteil im Jahr 2020 haben die meisten Unternehmen ihre Geschäfte mit in den USA ansässigen Dienstleistern wie gewohnt weitergeführt. In der Zwischenzeit reichte die NGO noyb 101 Beschwerden über Datenübertragungen gegen europäische Websites ein, die Google Analytics und Facebook Connect nutzen, um die Behörden zu einer strengeren Durchsetzung des Schrems-II-Urteils zu bewegen.
Datenschutzbehörden koordinierten ihr Vorgehen auf europäischer Ebene, um die Beschwerden kohärent zu behandeln. So haben die österreichischen, französischen, italienischen, und Ungarisch haben sich die Datenschutzbehörden in sehr ähnlichen Entscheidungen gegen die Verwendung von Google Analytics ausgesprochen, und die dänische Datenschutzbehörde hat im Wesentlichen dasselbe in einer Pressemitteilung getan. Während die Entscheidungen einen einzelnen für die Verarbeitung Verantwortlichen betreffen, schaffen sie alle einen Präzedenzfall, der praktisch auf ein staatenweites Verbot hinausläuft, wie wir hier erläutert haben.
Mit der Koordination auf europäischer Ebene und den einflussreichen französischen und italienischen Behörden als Vorreiter werden andere Datenschutzbehörden wahrscheinlich dem Beispiel folgen und eine härtere Haltung gegenüber Google Analytics einnehmen.
Abschließende Überlegungen
Ob Google Analytics in Brasilien nun illegal ist oder nicht, es ist definitiv nicht datenschutzfreundlich für Ihre Website-Besucher. Wir sind der Meinung, dass Sie Einblicke in Ihre Website gewinnen können, ohne die Privatsphäre Ihrer Besucher zu verletzen. Aus diesem Grund haben wir Simple Analytics als datenschutzfreundliche Alternative zu Google Analytics entwickelt.
Mit Simple Analytics können Sie Einblicke in Ihre Website-Analysen gewinnen und Möglichkeiten entdecken, ohne Cookies zu verwenden oder persönliche Daten zu sammeln. Möchten Sie sehen, wie das aussieht? Sehen Sie sich unser Live-Dashboard hier an. Wenn Sie sich angesprochen fühlen, können Sie uns gerne ausprobieren