Update, auch für CNIL Datenübertragung an Google Analytics rechtswidrig
Nur zwei Wochen nach der bahnbrechenden Entscheidung der österreichischen Datenschutzbehörde, dass die kontinuierliche Nutzung von Google Analytics gegen die DGSGVO verstößt, folgt die französische Datenschutzbehörde (CNIL) dieser Entscheidung und ordnet an, dass ein französischer Websitebetreiber die Nutzung von Google Analytics stoppen muss. Beide Entscheidungen stützen sich auf die 101 Musterbeschwerden von noyb, die nach dem Urteil des Europäischen Gerichtshofs zur Ungültigkeit des Privacy Shield eingereicht wurden. noyb erwartet ähnliche Entscheidungen der anderen Behörden
Pressemitteilung der CNIL (EN)
Weitere Informationen zur Entscheidung der österreichischen Datenschutzbehörde
2020: EuGH-Urteil trifft erste Unternehmen. Im Juli 2020 hat der EuGH sein »Schrems II« Urteil verkündet, in dem er feststellt, dass eine Ãœbermittlung an US Provider, die unter FISA 702 und EO 12.333 fallen, gegen die Exportverbote für Daten in der DSGVO verstößt. Der EuGH erklärte daraufhin das »Privacy Shield« für ungültig, nachdem dieser bereits das vorherige System (»Safe Harbor«) im Jahr 2015 für ungültig erklärt hatte. Während sich IT Unternehmen zuerst schockiert gaben, haben US Anbieter und EU Unternehmen die Entscheidung weitgehend ignoriert. Genau wie Microsoft, Facebook oder Amazon hat sich Google auf sogenannte »Standardvertragsklauseln« verlassen, um den Datentransfer fortzusetzen und seine europäischen Geschäftspartner zu beruhigen.
Max Schrems, Vorsitzender von noyb.eu: »Die verschiedenen europäischen Datenschutzbehörden kommen alle zu demselben Schluss: Die Verwendung von Google Analytics ist illegal. Die europäischen Behörden koordinieren die Entscheidungen in einer Task Force und wir gehen davon aus, dass andere Behörden bald ähnlich entscheiden werden.«
Die Entscheidung ist für fast alle EU Websites relevant. Google Analytics ist das am weitesten verbreitete Statistikprogramm. Obwohl es viele Alternativen gibt, die in Europa gehostet werden oder selbst gehostet werden können, verlassen sich viele Websites auf Google und übermitteln damit ihre Nutzerdaten an den US Multi. Ebenso werden viele andere US Dienste genutzt, die einen Zugriff durch US-Geheimdienste ermöglichen. Die Tatsache, dass die Behörden nun nach und nach US Dienste für illegal erklären könnten, erhöht den Druck auf EU Unternehmen und US Provider, auf sichere und legale Optionen zu setzen. Hier ist vor allem die Verarbeitung ohne faktischen Zugriff von US Unternehmen wichtig.
Langfristige Lösung. Langfristig scheint es zwei Möglichkeiten zu geben: Entweder bieten US-Gesetze besseren Datenschutz für Ausländer um die US Industrie zu unterstützen, oder US Anbieter müssen ausländische Daten außerhalb der Vereinigten Staaten verarbeiten.
Max Schrems: »Langfristig brauchen wir entweder einen angemessenen Datenschutz in den USA, oder wir werden am Ende getrennte Produkte für die USA und die EU haben. Ich persönlich würde einen besseren Schutz in den USA bevorzugen, aber das ist Sache des US-Gesetzgebers.«
noyb.eu – Europäisches Zentrum für Digitale Rechte. Der Verein noyb.eu treibt seit Mai 2018 die Durchsetzung von Europäischen Datenschutzrechten voran und hat bisher mehr als 140 Verfahren gegen zahlreiche vorsätzliche Verstöße eingebracht – unter anderem gegen Unternehmen wie #Google, #Apple, #Facebook und #Amazon. Mehr als 4.500 Fördermitglieder ermöglichen die Arbeit von noyb.eu.