Das Jahr ist noch jung, aus datenschutzrechtlicher Sicht allerdings alles andere als ruhig. Die österreichische Datenschutzbehörde hat den Einsatz von Google Analytics als unzulässig erachtet, das Landgericht München den Einsatz von Google Fonts. Anfang Woche schien Mark Zuckerberg aufgrund der datenschutzrechtlichen Differenzen zwischen Europa und den USA mit einem Europa-Shutdown zu drohen.
Lesen Sie hier eine kurze Zusammenfassung der Geschehnisse sowie Empfehlungen zu Google Analytics.
Die Entscheide sorgen aktuell für viel Gesprächsstoff, wonach der Einsatz von Google Fonts und v.a. Google Analytics als unzulässig erachtet werden. Ohne auf die einzelnen Punkte dieser Entscheide im Detail einzugehen: bei beiden Entscheiden gibt es rechtliche Argumente, die entgegengehalten werden könnten. Insofern kann (noch) nicht abschliessend gesagt werden, ob die beiden Google-Dienste grundsätzlich unzulässig sind und nicht mehr eingesetzt werden dürfen. Aber – und dies dürfte für Sie wichtig sein – der Einsatz kann mit Risiken verbunden sein. Diese Risiken können Sie mit einer bewussten Auseinandersetzung der Thematik reduzieren. Wie Sie die Risiken im Zusammenhang mit Google Analytics reduzieren, lesen Sie weiter unten.
Mit genannten Entscheiden hat die Frage erneut an Bedeutung zugenommen, unter welchen Gegebenheiten ein Datentransfer in die USA möglich ist (zum Hintergrund hier). Dass nach dem Fall des Privacy Shields auf politischer Ebene an einer Lösung gearbeitet werden muss, war und ist klar. Nun werden die Stimmen immer lauter, dass die Herausforderungen nicht mehr von den Unternehmen getragen werden können.
So hiess es Anfang Woche, Mark Zuckerberg, Vorstandsvorsitzender der Meta Platforms (ehemals Facebook) drohe wegen den datenschutzrechtlichen Differenzen mit einem Europa-Shutdown der Dienste. Diese News haben für Furore gesorgt. Heisst, dass Facebook, Instagram und What’s App für europäische User nicht mehr zur Verfügung stehen würden resp. könnten. Gestern (08.02.2022) hat Meta auf seiner Webseite relativiert: «Meta is absolutely not threatening to leave Europe» (Meta hat absolut nicht vor, sich aus Europa zurückzuziehen). Vielmehr macht der Techgigant darauf aufmerksam, dass man – wie auch 70 andere Unternehmen – sich der Risiken infolge des internationalen Datentransfers bewusst sei. Und dies sei nicht neu.
Der Schock hat gesessen. Gleichzeitig zeigt er eines der möglichen Szenarien, was in Zukunft eintreten könnte. Ziehen weitere Datenschutzbehörden und Gerichte die begonnene Linie weiter, wonach ein rechtmässiger Datentransfer in die USA faktisch fast unmöglich ist, hätten US-Firmen für ihr Europa-Angebot europäische Serverlandschaften zu betreiben oder sie müssten sich eben aus dem Europa-Geschäft zurückziehen. Man darf hoffen, dass das letzte Wort auf politischer Ebene noch nicht gesprochen ist.
Die Schweiz ist zwar kein EU-Mitgliedstaat, man darf allerdings davon ausgehen, dass sich die Schweiz bei der Frage der Zulässigkeit eines Datentransfers von der Schweiz in die USA an den europäischen Gegebenheiten orientiert. So ist es bisher geschehen.
Zurück zu den aktuellen Herausforderungen im Alltag.
Weil Google Analytics eines der meistgenutzten Tracking-Tool ist, empfehle ich folgende Punkte zu beachten, damit Ihr Risiko reduziert werden kann:
Brauchen Sie das Tool tatsächlich?
Ja, diese Frage ist durchaus ernst gemeint. Das Tool wird – eben weil der Bekanntheitsgrad gross ist – nicht selten eingesetzt, ohne dass die funktionalen Möglichkeiten (aus-) genutzt werden. In diesem Fall sollten Sie sich die Frage stellen, ob für Sie Alternativen in Frage kommen könnten; alternative Trackingtools, mit welchen eine Datenbearbeitung in der Schweiz oder dem EU-/EWR-Raum erfolgt. Damit hätten Sie die Risiken eines Datentransfers in die USA vom Tisch.
IP-Adresse anonymisieren sowie weitere datenschutzfreundliche Einstellungen
In seiner Stellungnahme fasst Google die Möglichkeiten von datenschutzfreundlichen Einstellungen zusammen und bietet damit einen dienlichen Leitfaden: https://blog.google/around-the-globe/google-europe/google-analytics-facts/
Auftragsverarbeitungsvertrag (ADV) mit Google abschliessen
Schliessen Sie den digitalen ADV über Ihre Kontoeinstellungen mit Google ab.
Einwilligung über Consent Tool
Was anfänglich noch diskutiert wurde, ist in der Zwischenzeit überholt: ein Tracking basierend auf berechtigten Interessen wird als unzulässig erachtet. Vielmehr braucht es eine aktive Einwilligung der User, die Sie über ein Consent Tool (Cookie-Banner) einholen können.
Datenschutzerklärung überprüfen / aktualisieren:
Prüfen Sie, ob die Datenschutzerklärung den tatsächlichen Gegebenheiten entspricht und aktualisieren Sie diese gegebenenfalls.
______
Update vom 10.02.2022: Die französische Datenschutzbehörde (Commission Nationale de l’Informatique et des Libertés, kurz CNIL) hat ebenfalls einen Webseitenbetreiben wegen dem Einsatz von Google Analytics abgemahnt.
Die CNIL hält die Datenübertragung im Zusammenhang mit Google Analytics in die USA für rechtswidrig. Dies weil die von Google ergriffenen zusätzlichen Massnahmen nicht ausreichen, die Möglichkeit des Zugriffs von US-Geheimdiensten auf die Daten auszuschliessen.
Die CNIL hat Betreibern von Websites, die Google Analytics verwenden, weitere Anordnungen zur Einhaltung der Vorschriften erteilt. Gleichzeitig informiert sie, dass sie weitere Dienste prüfen wird.
Update vom 15.03.2022: Die Datenschutzstelle Fürstentum Liechtenstein (DSS) vertritt ebenfalls die Meinung, dass eine rechtliche Grundlage für den mit Google Analytics verbundenen Datentransfer in die USA fehlt, weshalb vom Einsatz von Google Analytics abzusehen ist. Die DSS hält fest, dass eine vom Webseitenbetreiber implementierte Anonymisierung der IP-Adressen nicht ausreicht, um eine Zulässigkeit doch zu bejahen.
Update vom 03.07.2022: Auch die italienische Datenschutzbehörde "Garante" schliesst sich der Meinung, dass der Einsatz von Google Analytics unter der DSGVO nicht zulässig ist.
______
In eigener Sache:
Weil Google Analytics bisher nur in "sehr bescheidenen Umfang" genutzt wurde, ist das Google Analytics Konto von ONLAW gelöscht worden. Aktuell wird eine alternative Lösung evaluiert sowie die weiteren Schritte umgesetzt. Die Datenschutzerklärung von ONLAW wird entsprechend aktualisiert.
______
Foto by Kai Pilger on Unsplash.