Lassen Sie sich eines gesagt sein: Nein, Google Analytics ist in den USA nicht illegal. Die jüngsten rechtlichen Probleme von Google Analytics sind darauf zurückzuführen, dass die europäischen Behörden entschieden haben, dass die Verwendung von Google Analytics einen Verstoß gegen die GDPR-Bestimmungen zur außereuropäischen Datenübermittlung darstellt.
Da jedoch mehrere EU-Mitgliedstaaten die Verwendung von Google Analytics für rechtswidrig erklärt haben, lohnt es sich, hier tiefer zu graben und die sich verändernde Landschaft zu erkunden.
- Welche Regeln gelten für Google Analytics in den USA?
- Kann ich personenbezogene Daten von Europa in die USA übertragen?
- Was soll die ganze Aufregung um Google Analytics?
- Gesetzgebung zum Datenschutz in den USA, allgemein
- Abschließende Überlegungen
Lassen Sie uns eintauchen!
Welche Regeln gelten für Google Analytics in den USA?
Die Datenschutz-Grundverordnung gilt nicht für die USA, da sie nicht Mitglied der Europäischen Union oder des Europäischen Wirtschaftsraums sind. Dennoch müssen US-Unternehmen die GDPR einhalten, wenn sie auf den europäischen Markt abzielen oder Verhaltensweisen in der EU überwachen (dazu gehört auch die Verwendung von Google Analytics für eine Website, die auf eine europäische Zielgruppe abzielt).
Da es in den USA kein föderales Datenschutzgesetz gibt, hängen die Cookie-Bestimmungen von der Gesetzgebung des jeweiligen Bundesstaates ab. Nach dem kalifornischen Gesetz zum Schutz der Privatsphäre von Verbrauchern müssen Websites ihre Besucher beispielsweise über die Verwendung von Cookies informieren und einen Opt-out-Mechanismus vorsehen.
Kann ich personenbezogene Daten von Europa in die USA übertragen?
Zurzeit gibt es keinen Angemessenheitsbeschluss für die USA. Mit anderen Worten: Die Europäische Kommission hat die USA nicht als sicheres Land für Datenübermittlungen "grünes Licht" gegeben. Das bedeutet nicht, dass Sie keine personenbezogenen Daten in die USA übermitteln können, aber es wird schwieriger sein als die Übermittlung von Daten in ein EWR-Land oder ein Land, das unter den Angemessenheitsbeschluss fällt. Sie müssen sich auf einen von mehreren Mechanismen aus Kapitel V der Datenschutz-Grundverordnung stützen, um Ihre Übermittlung GDPR-konform zu machen (in der Regel Standardvertragsklauseln - SCCs).
Datenübermittlungen in die USA sind in dieser Hinsicht besonders heikel. Im Jahr 2013 deckte Edward Snowden mit seinen Enthüllungen invasive, groß angelegte US-Überwachungsprogramme für ausländische Daten auf. Die Enthüllungen führten schließlich dazu, dass der EU-Gerichtshof zwei Angemessenheitsbeschlüsse für die USA in den bahnbrechenden Urteilen Schrems I und II für ungültig erklärte. Der Gerichtshof stellte außerdem klar, dass Datenübermittlungen in die USA nur dann rechtmäßig sind, wenn der für die Datenverarbeitung Verantwortliche zusätzlich zu den "grundlegenden" Compliance-Mechanismen wie SCCs wirksame Garantien zum Schutz personenbezogener Daten einführt.
Die Einführung solcher Schutzmaßnahmen kann für bestimmte Dienste relativ einfach sein, für andere hingegen schwierig oder unmöglich. Google Analytics ist einer dieser Dienste, weshalb mehrere europäische Datenschutzbeauftragte ihn in den jeweiligen Mitgliedstaaten praktisch verboten haben.
Problematisch sind alle Cloud-basierten Dienste, die personenbezogene Daten im Verborgenen verarbeiten müssen. Wenn Sie solche Dienste nutzen, gehen Sie ein Risiko für die Einhaltung der Vorschriften ein. Sie sollten dieses Risiko in Betracht ziehen und nicht-US-basierte Alternativen prüfen (insbesondere europäische, da Sie sich nicht um die Implementierung von Standardvertragsklauseln oder anderen Kapitel-V-Mechanismen kümmern müssen).
Nachdem US-Präsident Joe Biden vor kurzem eine Durchführungsverordnung zur elektronischen Überwachung erlassen hat, leitete die Europäische Kommission das Verfahren zum Erlass einer Angemessenheitsentscheidung ein. Ein Angemessenheitsbeschluss wird höchstwahrscheinlich angenommen werden, aber er wird wahrscheinlich vor dem Europäischen Gerichtshof angefochten werden. Zwei solcher Entscheidungen wurden in der Vergangenheit für ungültig erklärt, daher ist es schwer vorherzusagen, wie ein "Schrems III"-Urteil ausfallen wird.
> Schließlich ist zu erwähnen, dass einige US-Anbieter wie Microsoft eine Datenlokalisierung anbieten, indem sie in der EU ansässige Rechenzentren nutzen. Die Lokalisierung kann Ihnen helfen, Ihr Compliance-Risiko zu minimieren, aber Sie sollten dennoch sorgfältig die Datenverwaltung bewerten und beurteilen, ob und unter welchen Bedingungen Datenübertragungen in die USA bei der Erbringung des Dienstes stattfinden dürfen.
Was soll die ganze Aufregung um Google Analytics?
Das rechtliche Rätsel um die Datenübermittlung in die USA hat erhebliche Konsequenzen für die Nutzung von Google Analytics und führte zu wichtigen Entscheidungen in mehreren Ländern. Wir haben auf unserem Blog ausführlich darüber geschrieben, hier also die Geschichte in Kurzform.
Wie wir schon sagten, erschwerte das Schrems-II-Urteil von 2020 den Datentransfer zwischen der EU und den USA erheblich. Trotzdem haben die meisten Unternehmen ihre Geschäfte wie gewohnt mit in den USA ansässigen Dienstleistern abgewickelt. In der Zwischenzeit reichte die Datenschutz-NGO noyb 101 Beschwerden gegen Google Analytics und Facebook connect ein, um die europäischen Datenschutzaufsichtsbehörden zu einer strengeren Durchsetzung des Schrems-II-Urteils zu bewegen.
Datenschutzbehörden koordinierten ihr Vorgehen gegen die Beschwerden auf europäischer Ebene. So haben die Österreichische, Französische, Italienisch und Ungarisch haben sich die Datenschutzbehörden in ähnlichen Entscheidungen gegen die Verwendung von Google Analytics ausgesprochen. Auch die dänische Datenschutzbehörde nahm in einer Pressemitteilung eine strenge Haltung ein. Alle Entscheidungen laufen auf ein staatsweites Verbot hinaus, wie wir hier erläutert haben.
Mit der Koordinierung auf europäischer Ebene und der Vorreiterrolle der einflussreichen französischen und italienischen Datenschutzbehörden werden andere Behörden wahrscheinlich dem Beispiel folgen und eine härtere Gangart gegenüber Google Analytics - und Datenübertragungen im Allgemeinen - einschlagen.
Gesetzgebung zum Datenschutz in den USA, allgemein
Die USA haben kein Bundesgesetz über den Datenschutz, aber der US-Kongress diskutiert derzeit einen Gesetzentwurf für ein Bundesgesetz über den Datenschutz (American Data Privacy and Protection Act). Außerdem haben fünf Bundesstaaten eigene Datenschutzgesetze verabschiedet (Kalifornien, Virginia, Colorado, Connecticut und Utah).
> In den USA gibt es keine Bundesbehörde zur Durchsetzung der Datenschutzvorschriften, obwohl die Federal Trade Commission manchmal versucht, diese Lücke in der Praxis zu füllen.
Abschließende Überlegungen
Ob Google Analytics nun in den USA illegal ist oder nicht, es ist auf jeden Fall nicht datenschutzfreundlich für Ihre Website-Besucher. In einer Welt, in der staatliche Überwachung und monopolistisches Fehlverhalten offensichtlicher denn je sind, setzen wir uns für ein unabhängiges Internet ein.
Mit Simple Analytics können Sie dennoch Einblicke gewinnen und Möglichkeiten aus der Analyse Ihrer Website entdecken, ohne Cookies zu verwenden oder persönliche Daten zu sammeln. Möchten Sie sehen, wie das aussieht? Sehen Sie sich unser Live-Dashboard hier an.
Wenn Sie das anspricht, probieren Sie uns aus. Es ist kostenlos.