Die Datenschutz-NGO noyb hat Beschwerden gegen vier niederländische Websites eingereicht, die sich beschweren, dass Google Analytics nicht GDPR-konform ist.
Die Beschwerden sind noch nicht entschieden worden. Allerdings haben vier europäische Datenschutzbehörden bereits in ähnlichen Beschwerden von noyb gegen die Verwendung von Google Analytics entschieden und eine weitere (die dänische Datatilsynet) hat Google Analytics in einer Pressemitteilung praktisch aus Dänemark verbannt. Diese Behörden verfolgen ein koordiniertes Vorgehen, so dass andere EWR- und EU-Länder, wie die Niederlande, folgen könnten.
Außerdem kündigte die Autoriteit Persoonsgegevens in einer Pressemitteilung vom Januar 2022 (nur auf Niederländisch) an, dass sie die Verwendung von Google Analytics untersucht, so dass wir irgendwann eine Entscheidung erwarten können.
- Muss ich mir wegen der Datenschutzgrundverordnung in den Niederlanden Sorgen machen?
- Was ist die niederländische Datenschutzgesetzgebung?
- Warum die ganze Aufregung um die GDPR?
- Abschließende Überlegungen
Lassen Sie uns eintauchen!
Muss ich mir wegen der Datenschutzgrundverordnung in den Niederlanden Sorgen machen?
Die Niederlande sind ein Mitgliedstaat der Europäischen Union, daher gilt die GDPR für alle Datenverarbeitungsaktivitäten von niederländischen Unternehmen.
Die GDPR gilt auch für jeden Dienst, der auf den niederländischen Markt ausgerichtet ist. Wenn die Zielgruppe Ihrer Website die Niederlande einschließt und Sie Google Analytics verwenden, gilt sie auch für Sie.
Aber es gibt einen Haken - es gilt nur, wenn Sie personenbezogene Daten verarbeiten. Mit datenschutzfreundlichen Analysetools wie Simple Analytics erhalten Sie wertvolle Erkenntnisse, ohne personenbezogene Daten zu verarbeiten. Auf diese Weise müssen Sie die GDPR einhalten, da sie nicht für die Daten gilt, die Sie überhaupt verarbeiten.
Was ist die niederländische Datenschutzgesetzgebung?
Abgesehen von der GDPR haben die Niederlande ihre eigene Datenschutzgesetzgebung, zu der auch das niederländische GDPR-Umsetzungsgesetz gehört. Die Datenschutzgesetze werden von der niederländischen Datenschutzbehörde (Autoriteit Persoonsgegevens) durchgesetzt.
Die Niederlande unterliegen auch den Artikeln 7 und 8 der Charta der Grundrechte der Europäischen Union, die die Privatsphäre schützen und ein Recht auf den Schutz personenbezogener Daten gewähren.
Die Niederlande sind auch ein Mitgliedstaat des Europarates. Als solcher haben die Niederlande die Europäische Menschenrechtskonvention ratifiziert, die das Privatleben und den Schriftverkehr schützt. Die Niederlande haben auch das Übereinkommen 108 des Europarats ratifiziert, das einzige verbindliche internationale Abkommen zum Datenschutz.
Warum die ganze Aufregung um die GDPR?
Der jüngste Trend von Entscheidungen gegen Google Analytics ist Teil eines größeren rechtlichen Rätsels über Datenübertragungen zwischen dem EWR und den USA. Es geht also um viel mehr als um einzelne Länder wie die Niederlande, und es geht auch um mehr als um Google Analytics. Wir haben in unserem Blog bereits ausführlich darüber geschrieben, daher hier eine Kurzfassung.
Das Kernproblem ist die Staatsüberwachung. Nach der GDPR können europäische personenbezogene Daten nur sicher außerhalb des EWR übertragen werden. Dies ist für US-Datentransfers schwierig, da der US-Rechtsrahmen eine umfassende und invasive Überwachung der Daten ausländischer Bürger, einschließlich niederländischer Bürger, erlaubt.
> Zwei Datenübertragungsrahmen (Safe Harbor und Privacy Shield) zwischen der EU und den USA ermöglichten in der Vergangenheit GDPR-konforme Datenübertragungen, aber beide Rahmen wurden vom EU-Gerichtshof in den Rechtssachen Schrems I und II für ungültig erklärt. Ein dritter Rahmen ist auf dem Weg, wird aber sicherlich rechtlich angefochten werden. Da sich bereits ein Urteil in der Rechtssache Schrems III abzeichnet, bleibt die Zukunft des Datenverkehrs zwischen der EU und den USA ungewiss.
In der Zwischenzeit müssen niederländische Unternehmen auf verschiedene rechtliche Instrumente (in der Regel Standardvertragsklauseln) zurückgreifen, um Daten im Rahmen der Datenschutz-Grundverordnung rechtmäßig in die USA zu übertragen. Das Problem bei diesen Instrumenten ist jedoch, dass sie keinen Schutz gegen staatliche Überwachung bieten. Aus diesem Grund wurde im Schrem-II-Urteil klargestellt, dass sie durch zusätzliche Maßnahmen zum Schutz der Privatsphäre ergänzt werden müssen, wenn Daten in "unsichere" Länder, darunter die USA, übermittelt werden. Dies ist schwierig und bei den Übertragungen, die für bestimmte Cloud-basierte Dienste wie Google Analytics erforderlich sind, völlig unmöglich (wir haben darüber hier geschrieben).
Nach dem Schrems-II-Urteil im Jahr 2020 haben die meisten Unternehmen ihre Geschäfte mit US-basierten Dienstleistern wie gewohnt weitergeführt. In der Zwischenzeit reichte die NGO noyb 101 Beschwerden über Datenübertragungen gegen europäische Websites ein, die Google Analytics und Facebook Connect nutzen, um die Behörden zu einer strengeren Durchsetzung des Schrems-II-Urteils zu bewegen.
Datenschutzbehörden koordinierten ihr Vorgehen auf europäischer Ebene, um die Beschwerden kohärent zu behandeln. So haben die österreichischen, französischen, italienischen, und Ungarisch haben sich die Datenschutzbehörden in sehr ähnlichen Entscheidungen gegen die Verwendung von Google Analytics ausgesprochen, und die dänische Datenschutzbehörde hat im Wesentlichen dasselbe in einer Pressemitteilung getan. Obwohl die Entscheidungen einen einzelnen für die Verarbeitung Verantwortlichen betreffen, schaffen sie alle einen Präzedenzfall, der praktisch auf ein staatsweites Verbot hinausläuft, wie wir hier erläutert haben. Die angekündigte Entscheidung der Autoriteit Persoonsgegevens könnte einen ähnlichen Präzedenzfall für die Niederlande schaffen.
> Mit der Koordinierung auf europäischer Ebene und den einflussreichen französischen und italienischen Behörden als Vorreiter werden andere Datenschutzbehörden wahrscheinlich dem Beispiel folgen und eine härtere Gangart gegenüber Google Analytics einschlagen.
Abschließende Überlegungen
Glücklicherweise gibt es Alternativen zu Google Analytics, die keine personenbezogenen Daten erfassen und zu 100 % GDPR-konform sind. Simple Analytics ist eine davon. Wir sind der Meinung, dass Sie keine Cookies verwenden oder personenbezogene Daten sammeln müssen, um Einblicke in die Leistung Ihrer Website zu erhalten.
Umsetzbare Erkenntnisse zu gewinnen und Chancen aus der Website-Analyse zu erkennen, ist es möglich, ohne einzelne Website-Besucher zu verfolgen. Möchten Sie sehen, wie das aussieht? Sehen Sie sich unser Live-Dashboard hier an.
Wir glauben daran, das Internet zu einem sichereren und besucherfreundlichen Ort zu machen. Wenn Sie sich davon angesprochen fühlen, können Sie uns gerne testen