Google Analytics illegal? Was Sie jetzt wissen müssen

EU-Datenschutzbehörden sehen in der Verwendung von Google Analytics einen Verstoß gegen die DSGVO. Dies könnte direkte Auswirkungen auf andere US-Lösungen haben.

Aktuelle Entscheidungen mehrerer EU-Datenschutzbehörden signalisieren, dass der Einsatz von Google Analytics gegen die EU-Datenschutz-Grundverordnung (DSGVO) verstößt. Die Alarmsignale sollten jetzt nicht nur von den vielen Unternehmen geschlagen werden, die Google Analytics verwenden, sondern von allen, die in den USA ansässige Adtech- oder Martech-Plattformen und -Lösungen verwenden. Denn auch sie sammeln und übermitteln sensible Daten in die USA.

Aufschrei gegen Google Analytics

Die jüngste Kaskade von Entscheidungen und Erklärungen zeigt, dass die EU-Behörden den Zugriff der USA auf die Daten europäischer Bürger nicht länger tolerieren werden.

Anfang Januar hat der Europäische Datenschutzausschuss (EDPB) das Europäische Parlament öffentlich wegen Verstoßes gegen die Datenschutz-Grundverordnung durch den Einsatz von Google Analytics gerügt. Eine Woche später veröffentlichte die österreichische Datenschutzbehörde eine Entscheidung, in der sie feststellte, dass der Einsatz von Google Analytics gegen die „Schrems II“-Entscheidung des EuGH und damit gegen die DSGVO verstößt. Der Einschätzung der österreichischen Datenschutzbehörde folgten bald ähnliche Grundsatzentscheidungen oder Erklärungen der niederländischen, dänischen und französischen Datenschutzbehörden.

Diese Anordnungen weisen allgemein darauf hin, dass das derzeitige Regime – unter dem Daten über europäische Bürger gesammelt, in die USA übertragen und dort gespeichert werden – widerspricht Artikel 44 der Datenschutz-Grundverordnung verstößt. Insbesondere stellten die Behörden fest, dass die Übermittlung personenbezogener Daten in die USA diese nicht mehr ausreichend vor dem Zugriff durch US-Regierungsstellen schützt.

In der Vergangenheit konnten die EU und die USA solche Probleme durch das inzwischen nicht mehr existierende Privacy Shield lösen. Aber die EU-Perspektive scheint sich offenbar geändert zu haben, wie die vielen ähnlichen Urteile innerhalb kurzer Zeit deutlich zeigen. Die Tatsache, dass die französischen Datenschutzbehörden in einem Fall eine Erfüllungsfrist von nur einem Monat auferlegten, zeigt die Dringlichkeit, mit der das Thema in Zukunft zu rechnen hat.

Wendepunkt für US Tech Stacks

Die Urteile gegen Google Analytics stellen einen potenziellen Wendepunkt für die Branche dar, da in den USA ansässige Anbieter von Anzeigentechnologien weit verbreitet sind. Jede solche Plattform, die Cookie-Daten europäischer Nutzer ähnlich wie Google Analytics verarbeitet, ist wahrscheinlich ebenfalls betroffen.

Die französische Datenschutzbehörde hat bereits erklärt, dass die aktuelle Entscheidung auch für andere Tools gilt, die auf Websites verwendet werden, die die Daten europäischer Internetnutzer in die Vereinigten Staaten übertragen. Und die dänische Datenschutzbehörde wies auf weitere Entscheidungen in der gesamten EU hin, die demnächst getroffen werden.

Werbetreibende und Publisher müssen handeln

IAB Europe arbeitet weiter daran, das Transparency and Consent Framework (TCF) zum ersten DSGVO-gestützten Zertifizierungssiegel oder Verhaltenskodex gemäß Artikel 41-42 der DSGVO für die Adtech-Branche zu machen.* Ein solches Siegel oder Verhaltenskodex für das TCF als Rahmen würde allen Beteiligten in der Online-Werbebranche Klarheit bringen, von Werbetreibenden und Technologieanbietern bis hin zu Herausgebern und Endnutzern.

Aber können es sich Unternehmen, die in den USA ansässige Adtech- und Martech-Unternehmen nutzen, leisten, auf weitere Klarheit oder Anleitungen von IAB Europe oder EU-Behörden zu warten? Oder zumindest, was sollten Werbetreibende und Publisher jetzt tun?

Der erste Schritt besteht darin, Interessengruppen aus Marketing, Recht und Compliance, IT-Betrieb und IT-Sicherheit zusammenzubringen, um mit der Beantwortung der folgenden Fragen zu beginnen:

Welche Daten werden erhoben? Wo werden sie gespeichert? Wer kann darauf zugreifen? Es geht um ein umfassendes Bild des eigenen Datenflusses inklusive aller Dienstleister und Sub-Dienstleister.
Wie wirken sich aktuelle vertragliche Verpflichtungen auf Ihre eigenen Compliance-Anforderungen aus?
Was kann aus technischer und sicherheitstechnischer Sicht noch getan werden? Können Daten vor der Weitergabe anonymisiert werden? Sind Reinräume eine Alternative?
Sind Sie basierend auf den Antworten zuversichtlich, dass Sie weiterhin mit in den USA ansässigen Anbietern zusammenarbeiten können, oder sollten Sie Alternativen in Betracht ziehen?

Stark regulierte Branchen, die sehr Compliance-sensibel sind (wie Finanzen, Versicherungen oder Telekommunikationsunternehmen), finden wahrscheinlich bereits heraus, wie sie auf der Grundlage aktueller Entscheidungen weiterhin mit ihren Anzeigentechnologieanbietern zusammenarbeiten können und wollen. Tatsächlich sollte jedes Unternehmen, das in der Europäischen Union tätig ist und Daten über seine Kunden sammelt, die Datenerfassung sofort unterbrechen und anhand der oben beschriebenen Fragen neu bewerten, um festzustellen, ob es mit aktuellen und zukünftigen servicebezogenen Entscheidungen von in den USA ansässigen Plattformen konform geht.

Die Nachricht vom 25. März 2022 über eine neue politische Einigung zwischen US-Präsident Biden und EU-Kommissionspräsidentin von der Leyen über einen neuen transatlantischen Datentransfer zwischen der EU und den USA ist eine positive Entwicklung. Allerdings ist das Stichwort hier und jetzt „politisch“. Und warum? Weil wir in Wirklichkeit weit von einem konkreten, rechtlich sanktionierten New Deal entfernt sind und weil die US-Überwachungsgesetze dieselben bleiben. Es dauert lange, bis sich auf Bundesebene etwas ändert. Wir haben gesehen, dass sowohl die EU als auch der Europäische Gerichtshof echte rechtliche Garantien für den Schutz der Daten europäischer betroffener Personen benötigen, und es bleibt abzuwarten, ob diese gegeben werden können.

* Anmerkung der Redaktion: Im Februar 2022 hatte die belgische Datenschutzbehörde den TCF v2.0 in Bezug auf die Einholung von Einwilligungen für nicht DSGVO-konform erklärt; unter anderem sogar die TC-Saiten als personenbezogenes Element (da diese mit der IP-Adresse kombiniert werden könnten). Diesbezüglich arbeitet das IAB Europe jedoch mit den belgischen Behörden zusammen, um innerhalb von sechs Monaten einen Entwurf zu erstellen, der sicherstellt, dass der TCF v2.0 weiterhin verwendet werden kann.

Cookie	Dauer	Beschreibung
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.