Dein wichtigster Touchpoint zur Digitalbranche.
Dein wichtigster Touchpoint zur Digitalbranche.
Digitalpolitik
Google Analytics rechtswidrig? Was du jetzt wissen musst

Google Analytics rechtswidrig? Was du jetzt wissen musst

Ein Gastbeitrag von Anders Pilgaard Andersen | 01.04.22

EU-Datenschutzbehörden werten die Verwendung von Google Analytics als Verstoß gegen die DSGVO. Das könnte direkte Auswirkungen auf andere US-Lösungen haben.

Die jüngsten Entscheidungen mehrerer EU-Datenschutzbehörden signalisieren, dass die Verwendung von Google Analytics gegen die EU-Datenschutzgrundverordnung (DSGVO) verstößt. Nicht nur bei den vielen Unternehmen die Google Analytics nutzen sollten nun die Alarmsignale angehen, sondern bei allen, die in den USA ansässige Adtech- oder Martech-Plattformen und -Lösungen nutzen. Denn auch diese sammeln und übertragen sensible Daten in die USA.

Aufschrei gegen Google Analytics

Die jüngste Kaskade von Entscheidungen und Erklärungen zeigt, dass die EU-Behörden den Zugriff der USA auf die Daten europäischer Bürger:innen nicht länger dulden werden.

Anfang Januar rügte der Europäische Datenschutzausschuss (EDPB) das Europäische Parlament öffentlich, weil es durch die Verwendung von Google Analytics gegen die Datenschutzgrundverordnung verstoßen hatte. Eine Woche später veröffentlichte die österreichische Datenschutzbehörde eine Entscheidung, in der sie feststellte, dass die Verwendung von Google Analytics gegen die „Schrems II“-Entscheidung des EuGH und damit die DSGVO verstößt. Der Einschätzung der österreichischen Datenschutzbehörde folgten bald darauf ähnliche Grundsatzentscheidungen oder Erklärungen der niederländischen, dänischen und französischen Datenschutzbehörden.

In diesen Verfügungen wird allgemein festgestellt, dass die derzeitige Regelung – bei der Daten über europäische Bürger:innen gesammelt, in die USA übermittelt und dort gespeichert werden – gegen Artikel 44 der Datenschutz-Grundverordnung verstößt. Die Behörden stellten insbesondere fest, dass die Übermittlung personenbezogener Daten in die USA diese nicht mehr ausreichend vor dem Zugriff durch US-Regierungsorgane schützt.

In der Vergangenheit konnten die EU und die USA derartige Probleme durch das inzwischen außer Kraft gesetzte Privacy Shield lösen. Doch die EU-Sichtweise scheint sich eindeutig geändert zu haben, wie die vielen ähnlichen Urteile innerhalb kurzer Zeit eindeutig zeigen. Die Tatsache, dass in einem Fall die französischen Datenschutzbehörden eine Compliance-Frist von gerade einmal einem Monat angeordnet haben zeigt die Dringlichkeit, mit der in Zukunft bei dem Thema zu rechnen sein wird.

Wendepunkt für US Tech Stacks

Die Urteile gegen Google Analytics stellen angesichts der weit verbreiteten Nutzung von in den USA ansässigen Werbetechnologieanbieter:innen einen möglichen Wendepunkt für die Branche dar. Jede derartige Plattform, die ähnlich wie Google Analytics Cookie-Daten europäischer User verarbeitet, dürfte im Nachgang ebenfalls betroffen sein.

Die französische Datenschutzbehörde erklärte bereits, dass die aktuelle Entscheidung auch für andere Tools gelte, die auf Websites verwendet werden und die Daten europäischer Internetnutzer:innen in die Vereinigten Staaten übermitteln. Und die dänische Datenschutzbehörde wies auf weitere Entscheidungen in der gesamten EU hin, die in Kürze getroffen werden.

Werbetreibende und Publisher müssen handeln

Das IAB Europe arbeitet weiterhin daran, das Transparency and Consent Framework (TCF) zum ersten DSGVO-gestützten Zertifizierungssiegel oder Verhaltenskodex gemäß Artikel 41-42 der DSGVO für die Adtech-Branche zu machen.* Ein solches Siegel oder ein Verhaltenskodex für das TCF als Rahmenwerk würde allen Beteiligten in der Online-Werbebranche, von Werbetreibenden und Technologieanbieter:innen bis hin zu Publishern und Endnutzer:innen, Klarheit bringen.

Aber können es sich Unternehmen, die in den USA ansässige Adtech- und Martech-Unternehmen einsetzen, leisten, auf weitere Klarheit oder Leitlinien des IAB Europe oder der EU-Behörden zu warten? Oder zumindest, was sollten Werbetreibende und Publisher jetzt tun?

Der erste Schritt besteht darin, Interessenvertreter:innen aus den Bereichen Marketing, Recht und Compliance, IT-Betrieb und IT-Sicherheit zusammenzubringen, um mit der Beantwortung der folgenden Fragen zu beginnen:

  • Welche Daten werden gesammelt? Wo werden sie gespeichert? Wer kann auf sie zugreifen? Es geht um ein umfassendes Bild des eigenen Datenflusses inklusive aller Dienstleister:innen und Sub-Dienstleister:innen.
  • Wie wirken sich aktuelle vertraglichen Verpflichtungen auf die eigenen Compliance-Anforderungen aus?
  • Was kann aus technischer und sicherheitstechnischer Sicht noch getan werden? Können Daten vor der Weitergabe anonymisiert werden? Sind Clean Rooms eine Alternative?
  • Bist du auf der Grundlage der Antworten zuversichtlich, dass du weiterhin mit in den USA ansässigen Anbieter:innen arbeiten kannst, oder solltest du Alternativen in Betracht ziehen?

Stark regulierte Branchen, die sehr auf die Einhaltung von Vorschriften achten müssen (etwa Finanzunternehmen, Versicherungen oder Telekommunikationsunternehmen), sind wahrscheinlich bereits dabei, auf der Grundlage der aktuellen Entscheidungen zu eruieren, wie sie mit ihren Werbetechnologieanbieter:innen weiterarbeiten können und wollen. Aber eigentlich sollte jedes in der Europäischen Union tätige Unternehmen, das Daten über seine Kund:innen sammelt, sofort eine Datensammelpause einlegen und eine Neubewertung entlang der oben beschriebenen Fragen vornehmen, um festzustellen, ob es mit aktuellen und weiteren zu erwartenden Entscheidungen in Bezug auf Dienste von in den USA ansässigen Plattformen konform geht.


Die Nachricht vom 25. März 2022 über eine neue politische Einigung zwischen US-Präsident Biden und EU-Kommissionspräsidentin Von der Leyen über einen neuen transatlantischen Datentransfer zwischen der EU und den USA ist eine positive Entwicklung. Allerdings ist das Schlüsselwort hier und jetzt „politisch“. Und warum? Weil wir in Wirklichkeit weit von einem konkreten, rechtlich genehmigten neuen Abkommen entfernt sind und weil die US-Überwachungsgesetze weiterhin so gestaltet sind wie bisher. Es dauert lange, bis sich auf US-Bundesebene etwas ändert. Wir haben gesehen, dass sowohl die EU als auch der Europäische Gerichtshof echte rechtliche Garantien für den Schutz der Daten der europäischen Betroffenen fordern, und es bleibt abzuwarten, ob diese gegeben werden können.

* Anmerkung der Redaktion: Im Februar 2022 hatte die belgische Datenschutzbehörde das TCF v2.0 in Bezug auf die Consent-Einholung für nicht DSGVO-konform erklärt; unter anderem seien sogar die TC Strings als ein personenbezogenes Element einzuschätzen (denn diese könnten mit der IP-Adresse kombiniert werden). Diesbezüglich arbeitet das IAB Europe jedoch mit der belgischen Behörde zusammen, um binnen sechs Monaten eine Ausarbeitung zu erstellen, die gewährleistet, das das TCF v2.0 weiterhin eingesetzt werden kann.

Kommentare aus der Community

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

*
*