Österreich hat Google Analytics nicht verboten
Im vergangenen Monat wurden zahlreiche Fälle von Verstößen gegen die Datenschutz-Grundverordnung (DSGVO) in der Europäischen Union bekannt. Lokale Behörden haben behauptet, dass die Nutzung von Google Analytics durch Rechtsverletzer eine Datenverarbeitung aufgedeckt hat, die gegen die GDPR-Verpflichtungen verstößt - was die österreichische Datenschutzbehörde dazu veranlasste, Strafen für die Verletzung der GDPR-Normen zu verhängen.
Aber nicht das Produkt ist Gegenstand des Urteils, sondern die Übermittlung der Daten, ihre Verwendung und die Schutzmaßnahmen müssen auf den Prüfstand gestellt werden. Wenn Google Analytics als rechtswidrig eingestuft wird, wird das Urteil auch unmittelbare Auswirkungen auf alle Produkte und Dienstleistungen haben, die Daten in Länder außerhalb der EU übertragen.
Dieser Artikel soll zwar keine Rechtsberatung sein, aber ich möchte mögliche künftige Diskussionsbereiche für den Datentransfer zwischen der EU und den USA aufzeigen - und unmittelbare Schritte, die angesichts der jüngsten Entscheidung aus Österreich zu unternehmen sind.
Die Entwicklung der Datenschutzbestimmungen
Um das Wie und Warum zu verstehen, bedarf es einer Geschichtsstunde. Lange bevor die DSGVO in Kraft trat, gab es das Safe Harbor"-Abkommen zwischen der EU und den USA. Das Abkommen aus dem Jahr 2000 ermöglichte es Unternehmen, sich selbst zu zertifizieren, dass sie die Daten von EU-Bürgern schützen, wenn sie diese in US-Rechenzentren speichern. Das Abkommen hatte 15 Jahre lang Bestand, bis es vom Europäischen Gerichtshof für ungültig erklärt wurde.
Auf Safe Harbor folgte 2016 das Abkommen "Privacy Shield", das US-Unternehmen strengere Beschränkungen für den Zugriff auf und die Übermittlung von Daten von EU-Bürgern auferlegte. Doch im Jahr 2020 ereilte den Privacy Shield das gleiche Schicksal: Der Europäische Gerichtshof entschied in der Rechtssache C-11/18 - umgangssprachlich "Schrems II" genannt, eine Anspielung auf den österreichischen Rechtsanwalt und Verfechter von Datenschutzrechten Max Schrems.
Schrems begann seinen Kampf für den Schutz der Privatsphäre auf der Grundlage der Aussagen von Edward Snowden im Jahr 2013 über das PRISM-Programm, das der Nationalen Sicherheitsbehörde der Vereinigten Staaten (NSA) uneingeschränkten Zugang zu Daten gewährte. Schrems argumentierte, dass Facebook die NSA unterstützte und damit das Recht der EU-Bürger auf eine faire Verarbeitung ihrer Daten verletzte.
Derzeit gilt der Grundsatz: Wenn personenbezogene Daten die EU verlassen, reist das Recht mit ihnen. Man spricht hier von der Übermittlung personenbezogener Daten an Drittländer. Drittländer können zum Beispiel die USA, Australien, das Vereinigte Königreich oder andere Länder außerhalb der Europäischen Union sein. Die jüngsten Verstöße gegen die Datenschutz-Grundverordnung betreffen also nicht nur Google oder Daten, die in den USA gespeichert sind, sondern auch Adobe, Facebook, Amazon und alle anderen Unternehmen, die über geografische Grenzen hinweg als Datensammler fungieren.
Was bedeutet das für das Internet und die Daten?
Das Problem, das Schrems II (PDF) aufwirft, gilt grundsätzlich für das Internet als Ganzes: Die Sammlung von Analysedaten nutzt grundlegende Internettechnologien, die sich nicht von denen unterscheiden, die beim Laden eines Bildes durch einen Browser verwendet werden. Die Bildanforderung sendet immer noch Cookies und gibt die IP-Adresse des Nutzers an den Endpunkt der Anforderung weiter.
Dennoch erfordert die Art und Weise, wie Analysen verwendet und Daten verwaltet werden, Aufmerksamkeit und die Einhaltung von Vorschriften. Zunehmend ordnen die Datenschutzbehörden die Aussetzung der Übermittlung personenbezogener Daten an Drittländer an. Im März '21 stellte die bayerische Datenschutzbehörde eine unrechtmäßige Datenübermittlung von Deutschland in die USA durch MailChimp fest. Einen Monat später ordnete die portugiesische Datenschutzbehörde die Aussetzung der Übermittlung personenbezogener Daten durch Cloudflare in die USA und andere Länder außerhalb der EU an.
Stellen Sie sicher, dass Ihre Daten GDPR-konform sind
Die Verwendung von Google Analytics war schon immer Gegenstand von Kontrollen und Vorschriften. Daher ist es ratsam, sicherzustellen, dass Ihre Datenerfassung und -aktivierung mit den aktuellsten Vorschriften übereinstimmt. Betrachten Sie diese grundlegenden Schritte als mögliche Maßnahmen und wiederholen Sie sie mindestens jedes Quartal:
- Anonymisieren Sie IP-Adressen in Google Analytics. Dies wird sich auf die geografische Berichterstattung auswirken, stellt aber einen relativ geringen Kompromiss dar.
- Stellen Sie sicher, dass Ihr Cloud-Datenspeicher in der EU liegt. Dies ist eine Gelegenheit, alle Datenspeicherorte zu überprüfen.
- Stellen Sie sicher, dass Ihr Einwilligungsbanner konform ist. Implementieren Sie ein automatisiertes Scan-Verfahren, das in regelmäßigen Abständen läuft, um das Setzen von Cookies ohne Zustimmung schnell zu erkennen.
- Überprüfen Sie Ihre Cookie- und Datenschutzrichtlinien regelmäßig auf ihre Einhaltung.
Lassen Sie sich von Dritten rechtlich beraten, um die Einhaltung der Richtlinien zu gewährleisten oder um Fragen zu klären, die Sie haben. Ein Datenpartner wie Media.Monks kann Sie auch bei der Implementierung von Änderungen an Google Analytics unterstützen und automatisierte Lösungen zur Messung und Analyse der Datenerfassung im Hinblick auf die Zustimmungsbanner-Funktionalität bereitstellen.
Wie geht es jetzt weiter?
Gegenstand der Beschwerde der österreichischen Datenschutzbehörde ist die Übermittlung personenbezogener Daten in die USA, die nicht ausreichend vor dem Zugriff der US-Behörden geschützt sind. Bisher wurden Standardvertragsklauseln(SCCs) verwendet, um den Datentransfer zu ermöglichen, jedoch wurden Fragen hinsichtlich der Durchführbarkeit von SCCs in Bezug auf FISA aufgeworfen (PDF). Es wurden neue SCCs veröffentlicht, die zusätzliche Maßnahmen erfordern, die über die Verschlüsselung hinausgehen und sich insbesondere auf die Prüfung des Rechtssystems des Ziellandes beziehen. Google behauptet, diese Maßnahmen seien erfüllt worden (PDF).
Derzeit scheint es Schwierigkeiten zu geben, wenn sowohl die Verschlüsselungs- als auch die Transparenzanforderungen einander zu widersprechen scheinen. Überarbeitete SCCs oder ein Nachfolger von Safe Harbor und Privacy Shield scheinen die von Google bevorzugte Lösung zu sein, obwohl die praktischen Möglichkeiten und der Zeitplan für solche Lösungen noch unklar sind. Bis dahin trägt die Befolgung der oben genannten Schritte zur regelmäßigen Überprüfung der Einhaltung der Vorschriften viel dazu bei, dass Ihre Marke in gutem Ruf bleibt.
Verwandte
Themen
-
![Monks logo and the One Show logo]()
Blog-Beitrag
Monks wird von The One Show zur ersten AI-Pionierorganisation ernannt Von Monks 3 min Lesezeit -
![Picture collage of employees at ANA Conference]()
Blog-Beitrag
Fünf Schlüssel zur Erschließung der Kultur durch Partnerschaft Von Aki Spicer 6 min Lesezeit -
![A laptop on a wooden table surrounded by potted plants, with its screen displaying a digital illustration of a green plant with visible roots and leaves, overlaid with data and code graphics. The setting is lush and green, suggesting a connection between technology and nature. Sunlight filters through the foliage in the background.]()
Blog-Beitrag
Wie drei Marken Nachhaltigkeit zur zweiten Natur machen Von Regina Romeijn 4 min Lesezeit
Schärfen Sie Ihre Kanten in einer Welt, die nicht warten will
Melden Sie sich an, um E-Mail-Updates mit umsetzbaren Erkenntnissen, aktuellen Forschungsergebnissen und bewährten Strategien zu erhalten.
Monks benötigt die Kontaktinformationen, die Sie uns zur Verfügung stellen, um Sie über unsere Produkte und Dienstleistungen zu informieren. Sie können sich jederzeit von diesen Mitteilungen abmelden. Informationen darüber, wie Sie sich abmelden können, sowie über unsere Datenschutzpraktiken und unsere Verpflichtung zum Schutz Ihrer Daten finden Sie in unserer Datenschutzrichtlinie.