24 / 2022

Datenschutzbehörden in Österreich und Frankreich: Einsatz von Google Analytics verstößt gegen DS-GVO

|   24 / 2022

Google Analytics ist ein Trackingtool des Anbieters Google LLC bzw. Google Ireland Limited („Google“), mit dem u. a. das Verhalten von Besuchern von Websites ausgewertet werden können. Google Analytics weist jedem Website-Besucher eine einzigartige Nutzer-ID-Nummer, die zusammen mit der IP-Adresse des Endgeräts des Website-Besuchers an Google – und damit in die USA – übermittelt werden.

Bereits am 22.12.2021 entschied die österreichische Datenschutzbehörde, dass der Einsatz von Google Analytics gegen die Vorgaben der DS-GVO verstößt (abrufbar unter: noyb.eu/sites/default/files/2022-01/E-DSB%20-%20Google%20Analytics_DE_bk_0.pdf). Zum gleichen Ergebnis kam die französische Datenschutzbehörde (CNIL) in ihrer Entscheidung vom 10.02.2022 (abrufbar in Französisch unter: www.cnil.fr/sites/default/files/atoms/files/med_google_analytics_anonymisee.pdf sowie in Englisch unter: www.cnil.fr/sites/default/files/atoms/files/decision_ordering_to_comply_anonymised_-_google_analytics.pdf). Beide Behörden gingen davon aus, dass Google Analytics personenbezogene Daten, nämlich die Nutzer-ID-Nummer zusammen mit u. a. der IP-Adresse, in ein Drittland ohne angemessenes Datenschutzniveau, nämlich die USA, übermittelt, ohne dass die Voraussetzungen der DS-GVO für eine zulässige Übermittlung personenbezogener Daten an ein Drittland erfüllt seien. Zwar verwendet Google sog. Standardvertragsklauseln (SCC) und ergreift wohl auch zusätzliche Maßnahmen. Diese zusätzlichen Maßnahmen seien aber nicht ausreichend, da Google – und damit auch die US-Nachrichtendienste – die Möglichkeit habe, im Klartext auf die übermittelten Daten zuzugreifen.In einer aktuellen Stellungnahme vom 07.06.2022 führt die CNIL aus, dass eine datenschutzkonforme Nutzung von Google Analytics dann möglich sein kann, wenn sichergestellt ist, dass nur pseudonymisierte Daten an Google übermittelt werden. Dies könne, so die CNIL, dadurch erreicht werden, dass der Betreiber der Website, auf der Google Analytics eingesetzt wird, einen Proxy-Server verwendet, um jeden direkten Kontakt zwischen dem Endgerät des Nutzers und Google zu verhindern. Die Stellungnahme ist abrufbar unter www.cnil.fr/fr/cookies-et-autres-traceurs/regles/google-analytics-et-transferts-de-donnees-comment-mettre-son-outil-de-mesure-daudience-en-conformite.

Zwar liegen bislang keine Stellungnahmen der deutschen Datenschutzbehörde zu Google Analytics vor. Dass diese zu einer abweichenden Einschätzung gelangen, ist aber unwahrscheinlich. Damit besteht auch in Deutschland das Risiko, dass die Verwendung von Google Analytics in der bisherigen Form untersagt wird.

Bei Rückfragen:
RA Patrick Steinhausen, LL.M. (steinhausen@heimes-mueller.de)