Die Datenschutz-NGO noyb hat Beschwerden gegen drei irische Websites eingereicht, die sich darüber beschweren, dass die Verwendung von Google Analytics nicht GDPR-konform ist.
Über die Beschwerden wurde noch nicht entschieden. Allerdings haben vier europäische Datenschutzbehörden bereits in ähnlichen Beschwerden von noyb gegen die Verwendung von Google Analytics entschieden und eine weitere (die dänische Datatilsynet) hat Google Analytics in einer Pressemitteilung praktisch aus Dänemark verbannt. Diese Behörden verfolgen einen koordinierten Ansatz, so dass andere EWR- und EU-Länder, wie Irland, folgen könnten.
Außerdem hat die irische Datenschutzbehörde (DPC) eine Entscheidung zur Unterbrechung der Datenübermittlung für Meta verfasst und diese im Oktober 2022 dem Europäischen Datenschutzausschuss vorgelegt. Die Kernpunkte des Falles sind im Wesentlichen dieselben, um die es bei den Beschwerden von noyb gegen Google Analytics geht. Sollte der Ausschuss die Entscheidung des Datenschutzausschusses bestätigen, würde der Fall einen wichtigen Präzedenzfall auf europäischer Ebene und erst recht in Irland schaffen. Ein solcher Präzedenzfall hätte weitreichende Folgen für die gesamte EU, da viele multinationale Tech-Giganten ihren europäischen Hauptsitz oder Tochtergesellschaften in der Republik Irland haben.
- Muss ich mir wegen der GDPR in Irland Sorgen machen?
- Was ist die irische Datenschutzgesetzgebung?
- Warum die ganze Aufregung um die GDPR?
- Abschließende Überlegungen
Lassen Sie uns eintauchen!
Muss ich mir wegen der GDPR in Irland Sorgen machen?
Die Republik Irland ist ein Mitgliedstaat der Europäischen Union, daher gilt die GDPR für alle Datenverarbeitungsaktivitäten irischer Unternehmen.
Die GDPR gilt auch für alle Dienstleistungen, die auf den irischen Markt abzielen. Wenn die Zielgruppe Ihrer Website Irland einschließt und Sie Google Analytics verwenden, gilt sie auch für Sie.
Aber es gibt einen Haken - es gilt nur, wenn Sie personenbezogene Daten verarbeiten. Mit datenschutzfreundlichen Analysetools wie Simple Analytics erhalten Sie wertvolle Erkenntnisse, ohne personenbezogene Daten zu verarbeiten. Auf diese Weise müssen Sie die DSGVO nicht einhalten, weil sie für die Daten, die Sie verarbeiten, gar nicht gilt.
Was ist die irische Datenschutzgesetzgebung?
Der wichtigste Datenschutzrahmen ist die GDPR der Europäischen Union. Die Republik hat auch ihre eigenen Datenschutzgesetze, darunter das Datenschutzgesetz von 2018, das die GDPR umsetzt. Die Datenschutzkommission und die irischen Gerichte setzen diese Gesetzgebung durch.
> Die Republik Irland unterliegt auch den Artikeln 7 und 8 der EU-Grundrechtecharta, die die Privatsphäre und den Datenschutz schützt.
Die Republik Irland ist auch ein Mitgliedstaat des Europarates. Als solcher hat die Republik die Europäische Menschenrechtskonvention ratifiziert, die das Privatleben und den Schriftverkehr schützt. Irland hat auch das Übereinkommen 108 des Europarats ratifiziert, das bisher einzige verbindliche internationale Abkommen zum Datenschutz.
Warum die ganze Aufregung um die GDPR?
Der jüngste Trend von Entscheidungen gegen Google Analytics ist Teil eines größeren rechtlichen Rätsels über Datenübertragungen zwischen dem EWR und den USA. Es geht also um viel mehr als um einzelne Länder wie die Republik Irland, und es geht auch um mehr als um Google Analytics. Wir haben in unserem Blog bereits ausführlich darüber geschrieben, daher hier eine Kurzfassung.
Das Kernproblem ist die Staatsüberwachung. Nach der DSGVO dürfen europäische personenbezogene Daten nur dann in Länder außerhalb des EWR übertragen werden, wenn dies sicher geschieht. Dies ist für US-Datentransfers schwierig, da der US-Rechtsrahmen eine umfassende und invasive Überwachung der Daten ausländischer Bürger, einschließlich irischer Bürger, zulässt.
> Zwei Datenübertragungsrahmen (Safe Harbor und Privacy Shield) zwischen der EU und den USA ermöglichten in der Vergangenheit GDPR-konforme Datenübertragungen, aber beide Rahmen wurden vom EU-Gerichtshof in den Rechtssachen Schrems I und II für ungültig erklärt. Ein dritter Rahmen ist auf dem Weg, wird aber sicherlich rechtlich angefochten werden. Da sich bereits ein Urteil in der Rechtssache Schrems III abzeichnet, bleibt die Zukunft des Datenverkehrs zwischen der EU und den USA ungewiss.
In der Zwischenzeit müssen irische Unternehmen und europäische Unternehmen im Allgemeinen auf verschiedene rechtliche Instrumente (in der Regel Standardvertragsklauseln) zurückgreifen, um Daten gemäß der Datenschutz-Grundverordnung rechtmäßig in die USA zu übertragen. Das Problem bei diesen Instrumenten ist jedoch, dass sie keinen Schutz gegen staatliche Überwachung bieten. Aus diesem Grund hat der Gerichtshof in der Rechtssache Schrems II klargestellt, dass sie durch zusätzliche Maßnahmen zum Schutz der Privatsphäre ergänzt werden müssen, wenn Daten in "unsichere" Länder übermittelt werden. Dies ist bei den Übermittlungen, die für bestimmte Cloud-basierte Dienste wie Google Analytics erforderlich sind, schwierig und völlig unmöglich (wir haben darüber hier geschrieben).
Nach dem Schrems-II-Urteil im Jahr 2020 machten die meisten Unternehmen weiter wie gewohnt Geschäfte mit US-amerikanischen Dienstleistern. In der Zwischenzeit reichte die NGO noyb 101 Beschwerden über Datenübertragungen gegen europäische Websites ein, die Google Analytics und Facebook Connect nutzen, um die Behörden zu einer strengeren Durchsetzung des Schrems-II-Urteils zu bewegen.
Datenschutzbehörden koordinierten ihr Vorgehen auf europäischer Ebene, um die Beschwerden kohärent zu behandeln. So haben die österreichischen, französischen, italienischen, und Ungarisch haben sich die Datenschutzbehörden in sehr ähnlichen Entscheidungen gegen die Verwendung von Google Analytics ausgesprochen, und die dänische Datenschutzbehörde hat im Wesentlichen dasselbe in einer Pressemitteilung getan. Obwohl die Entscheidungen einen einzelnen für die Verarbeitung Verantwortlichen betreffen, schaffen sie alle einen Präzedenzfall, der praktisch auf ein staatsweites Verbot hinausläuft, wie wir hier erläutert haben. Sollte der DPC dasselbe tun, würde seine Entscheidung einen ähnlichen Präzedenzfall für Irland schaffen. Das Gleiche wird wahrscheinlich passieren, wenn der EDPB den Entscheidungsentwurf des DPC gegen Meta unterstützt.
Abschließende Überlegungen
Glücklicherweise gibt es Alternativen zu Google Analytics, die keine personenbezogenen Daten erfassen und zu 100 % GDPR-konform sind. Simple Analytics ist eine davon. Wir sind der Meinung, dass Sie keine Cookies verwenden oder personenbezogene Daten sammeln müssen, um Einblicke in die Leistung Ihrer Website zu erhalten.
Auch ohne die Nachverfolgung einzelner Website-Besucher ist es möglich, mit Hilfe von Website-Analysen verwertbare Erkenntnisse zu gewinnen und Chancen zu erkennen. Möchten Sie sehen, wie das aussieht? Sehen Sie sich unser Live-Dashboard hier an.
Wir glauben daran, das Internet zu einem sichereren und besucherfreundlichen Ort zu machen. Wenn Sie sich davon angesprochen fühlen, können Sie uns gerne testen.