Google Analytics verstößt gegen die DS-GVO
Wir möchten Sie über aktuelle Medienberichte (z.B. Heise) zur Nutzungsmöglichkeit von Google Analytics informieren:
Nach Ansicht der Datenschutzbehörde der Republik Österreich verstößt die Verwendung von Google Analytics gegen die DS-GVO.
Obwohl die österreichische Behörde die Verwendung von Google Analytics für unzulässig hält, hat sich dieser Auffassung bisher keine deutsche Behörde angeschlossen.
Selbst wenn sich diese Auffassung auch in Deutschland festigen sollte, wäre Google Analytics weiterhin mit einer rechtskonformen Einwilligung der Nutzer möglich.
Unsere Bewertung der Meldung:
Nach der aktuell veröffentlichten Entscheidung der Datenschutzbehörde der Republik Österreich verstößt die Nutzung von Google Analytics auf Webseiten gegen Art. 44 DS-GVO.
Die Entscheidung wird u. a. damit begründet, dass die durch Google Analytics verarbeiteten personenbezogenen Daten (z. Bsp. einzigartige Nutzer-Identifikations-Nummern, IP-Adresse und Browserparameter) in den USA verarbeitet werden und damit der Überwachung durch US-Geheimdienste unterliegen.
Die österreichische Behörde führt zur weiteren Begründung ihrer Entscheidung an, dass die Überwachung durch US-Geheimdienste nicht durch vertragliche Regelungen zwischen einem Webseitenbetreiber und Google ausgeschlossen werden kann. Von daher wird das von Art. 44 DS-GVO geforderte Schutzniveau bei einer Verarbeitung außerhalb der EU nicht eingehalten, so dass eine Verarbeitung von personenbezogenen Daten durch Google Analytics gegen die DS-GVO verstoße.
Neben der Datenschutzbehörde der Republik Österreich wird auch eine Entscheidung durch die niederländische Behörde für persönliche Daten zu der Zulässigkeit der Verwendung von Google Analytics auf Webseiten bzw. Apps erwartet.
In Deutschland befasst sich gerade der bayerische Landesbeauftragte für den Datenschutz mit einer identischen Prüfung zur Vereinbarkeit der Nutzung von Google Analytics. Eine Entscheidung dazu liegt z. Zt. noch nicht vor.
Ohne eine Stellungnahme durch eine deutsche Behörde oder ein deutsches Gericht hat die österreichische Entscheidung keine Rechtswirkung für die Datenverarbeitung in Deutschland.
Nach den bisherigen Stellungnahmen der deutschen Aufsichtsbehörden zu einer Verarbeitung von personenbezogenen Daten außerhalb der EU und insbesondere in den USA, muss damit gerechnet werden, dass sich die deutschen Aufsichtsbehörden ebenfalls gegen die Zulässigkeit einer Verwendung von Google Analytics ohne Einwilligung der Nutzer, aussprechen werden.
Ausblick: Sollte in Zukunft eine derartige Entscheidung in Deutschland erfolgen ist eine Nutzung von Google Analytics weiterhin mit der Einwilligung der Webseitenbesucher DS-GVO zulässig. Sie müssten dann lediglich in der Datenschutzerklärung den Hinweis zu Google Analytics um einen Passus zur möglichen Verarbeitung dieser Daten in den USA durch Geheimdienste erweitern. Hierzu gibt es von den deutschen Aufsichtsbehörden keine verbindlichen Vorgaben oder Orientierungshilfen. Sollten Sie bereits jetzt Maßnahmen vorsorglich ergreifen wollen, können Sie uns natürlich jederzeit für Text- und Umsetzungsvorschläge kontaktieren.
Wir halten die Entwicklung aufmerksam im Auge und werden Sie bei deutschen Stellungnahmen oder Urteilen sofort informieren.