Die französische Datenschutzbehörde sagt Nein zur Nutzung von Google Analytics.

 

 

Die Cnil hat am 10. Februar 2022 einen namentlich nicht genannten Webseitenbetreiber wegen der Nutzung von Google Analytics, einem Dienst zur Datenverkehrsanalyse von Webseiten, verwarnt. Dieser hat nun einen Monat Zeit, die Vorschriften zu erfüllen. Andernfalls droht ihm eine Geldstrafe in Höhe von bis zu 4 % seines weltweiten Jahresumsatzes.

Dies ist eine wichtige Entscheidung, da sie potenziell die Nutzung dieses Dienstes durch alle europäischen Unternehmen beendet. Dieser Dienst wird jedoch sehr häufig genutzt.

101 Beschwerden, sechs französische Websites im Visier

Die österreichische Behörde Noyb unter dem Vorsitz von Maximilian Schrems – der mehrere Verfahren gegen große US-amerikanische Technologieunternehmen initiiert hat – hatte sich einige Monate zuvor an die französische Behörde gewandt. Noyb hatte im Rahmen einer globalen Aktion, die sich gegen 101 Websites richtete, die Google Analytics oder Facebook Connect verwendeten, eine Reihe von Beschwerden bei mehreren europäischen Datenschutzbehörden eingereicht. Sechs französische Unternehmen waren betroffen: Leroy Merlin, die Huffington Post, Décathlon, Free, Auchan und Sephora.

Noyb ist der Ansicht, dass diese beiden Dienste die persönlichen Nutzerdaten von Europäern illegal in die USA übermitteln. Die Cnil hat sich nun dieser Meinung angeschlossen.

Unzureichend geregelte Transfers

Durch die Nutzung von Google Analytics wird jedem Nutzer eine eindeutige Kennung zugewiesen. Diese nutzerspezifische Kennung sowie die mit ihr verbundenen Daten „werden von Google in die Vereinigten Staaten übermittelt„. „Diese Datenübermittlungen“ sind „derzeit allerdings nicht ausreichend rechtlich festgelegt„, erklärt die französische Behörde. „Es besteht somit ein Risiko für die Nutzer französischer Webseiten, die dieses Tool nutzen und deren Daten exportiert werden„.

Die juristische Argumentation ist nicht neu„, erklärt Alan Walter, ein auf neue Technologien und geistiges Eigentum spezialisierter Rechtsanwalt bei der Kanzlei Walter Billet Avocats, auf Anfrage von L’Usine Digitale. Er bezieht sich damit auf die wichtige Entscheidung des Europäischen Gerichtshofs vom Juli 2020, das sogenannte „Schrems II“-Urteil. Dies erklärte das „Privacy Shield“ für ungültig. Hierbei handelt es sich um eine Absprache zwischen der US-amerikanischen Regierung und der EU-Kommission, bei der festgelegt wurde, dass Daten nur dann in ein Drittland übermittelt werden dürfen, wenn diese dort durch ein angemessenes Schutzniveau (Allgemeine Datenschutzverordnung (DSGVO)) sichergestellt sind.

Das Privacy Shield ist ein so genannter Angemessenheitsbeschluss. Bei Nichtvorliegen müssen die an der Datenübermittlung beteiligten Parteien „Standardvertragsklauseln“ unterzeichnen, eine Art standardisierter Vertrag, der von der Europäischen Kommission herausgegeben wird. „Werden diese von einer europäischen und einer US-amerikanischen Einrichtung unterzeichnet und ordnungsgemäß ausgefüllt, so ist die Übermittlung personenbezogener Daten rechtmäßig„, so der Jurist.

Zu dem Begriff „ordnungsgemäß ausgefüllt“ hat sich die Cnil nun positioniert. „Selbst wenn Google die zusätzlichen Maßnahmen akzeptiert hat (…), so reichen diese nicht aus, um die Möglichkeit des Zugriffs von US-Geheimdiensten“ auf die über Google Analytics verarbeiteten Daten „auszuschließen“, entschied die Cnil.

Anonymisierung von Daten: eine Alternative?

Die Situation ist eindeutig: Die Unternehmen dürfen Google Analytics „unter den derzeitigen Bedingungen“ nicht verwenden, so die Schlussfolgerung der Cnil. Es scheint jedoch eine zweite Möglichkeit zu geben: „die Anonymisierung der Daten„, bei der die DSGVO umgangen werden kann, erklärt der Jurist. Diese Methode erfordert jedoch technische Garantien: Die Identifizierung der Person muss unmöglich und „irreversible“ sein, so die Cnil. Das Konzept von Google Analytics beruht jedoch auf dem personenbezogenen Charakter der Daten.

Die französische Behörde beabsichtigt nicht, es dabei zu belassen. Sie hat weitere Abmahnungen gegen Webseiten-Betreiber ausgesprochen, die Google Analytics verwenden. Sie weist ferner darauf hin, dass ihre gemeinsam mit anderen europäischen Behörden durchgeführten Untersuchungen sich auch auf andere Tools erstrecken, die von Webseiten verwendet werden und zu einer Übermittlung von Daten europäischer Internetnutzer in die USA führen. Sie warnt davor, dass in Kürze Schutzmaßnahmen ergriffen werden könnten.

Diese Situation führt also dazu, dass Unternehmen und öffentliche Einrichtungen auf Lösungen umsteigen, die von französischen oder europäischen Akteuren vermarktet werden. Es sei denn, es wird ein neues Privacy Shield verabschiedet. In dem Fall würde sich der Rechtsrahmen erneut ändern. Eine Einigung dürfte in den nächsten Monaten dennoch nicht zu erwarten sein, da das Vorhaben für Washington so umfassend ist, bevor Brüssel einem neuen Text zustimmt.

Quelle: Magazin « L’Usine Digitale » https://www.usine-digitale.fr/article/la-cnil-dit-non-a-l-utilisation-de-google-analytics.N1783687#xtor=EPR-9&email=communication.science@ambafrance-de.org

Redaktion: Alice Vitard