Wie wir auf die absurd anmutende Idee der Rückkehr in die (digitale) Steinzeit kommen? Wenn es nach der Ansicht von Datenschutzaktivisten geht sollen Unternehmen die Verbindungen in die USA sofort kappen. Denn die österreichische Datenschutzbehörde (DSB) hält den Einsatz von Google Analytics für unzulässig. Der Datenschutzaktivist Max Schrems folgert daraus: „EU-Unternehmen können keine US-Cloud-Dienste mehr nutzen.“ Wie dunkel es dann technisch in Europa aussieht kann sich jeder leicht ausmalen.
Müssen sich Unternehmen nun Sorgen machen, in der technologischen Steinzeit zu landen?
Worum es ging
Der Datenschutzaktivist Max Schrems hatte mit seiner Organisation „noyb“ eine Musterbeschwerde bei der DSB eingereicht. Die Beschwerde richtete sich dabei gegen die Verarbeitung personenbezogener Daten durch einen österreichischen Webseiten-Betreiber (Verlag). Der hatte nämlich Google Analytics auf seiner Webseite implementiert. Die Anonymisierungsfunktion hatte der Betreiber nicht eingeschaltet.
Durch den Einsatz des Tools erhält Google bestimmte Daten, unter anderem die IP-Adresse sowie eine eindeutige Kennziffer. Diese Daten wurden seinerzeit (Sommer 2020) an die Google LLC in die USA übermittelt. Dabei bezog sich die Behörde auf Schrems II-Entscheidung des EuGH. Darin stellte der EuGH fest: Die USA bieten kein angemessenes Datenschutzniveau. Denn US-Gesetze würden Service Provider zur Herausgabe von Nutzerdaten verpflichten.
Was die DSB entschieden hat
In ihrer Entscheidung vom 22.12.2021 (veröffentlicht am 12.01.2021) vertritt die DSB die Auffassung, Google Analytics lasse sich in der Version von August 2020 nicht im Einklang mit den Vorgaben der DSGVO nutzen. Allerdings konnte die DSB den Einsatz von Google Analytics nicht untersagen. Denn der Verlag wurde zwischenzeitlich an ein deutsches Unternehmen verkauft. Damit sind die deutsche Behörden zuständig. Und auch die Entscheidung zum Bußgeld ließ die Behörde offen.
Wie die Entscheidung zu bewerten ist
Die Relevanz der Entscheidung ist hoch. Denn die europäischen Datenschutzbehörden haben bei dieser Entscheidung in einer Taskforce zusammengearbeitet. Wir erwarten daher weitere Entscheidungen – auch solche deutscher Behörden. Wir bewerten die Entscheidung wie folgt:
- Der Einsatz von Google Analytics birgt Risiken. Wenn Sie das Tool einsetzen, stellen Sie unbedingt sicher, dass die Anonymisierungsfunktion aktiviert ist. Sicherer wäre es, bis zu einer Entscheidung einer deutschen Datenschutzbehörde das Tool zu deaktivieren.
- Die Entscheidung ist unseres Erachtens auf die aktuelle Version von Google Analytics nicht vollständig übertragbar. Denn inzwischen wird das Tool von der Google Ireland Limited angeboten. Ob Google die Daten dennoch in die USA übermittelt ist uns allerdings nicht bekannt.
- Die Behauptung von Max Schrems, „EU-Unternehmen können keine US-Cloud-Dienste mehr nutzen.“ ist in dieser Pauschalität sicher nicht richtig. Die Entscheidung der DSB leidet an materiellen Mängeln. So überspannt die DSB etwa den Anwendungsbereich der DSGVO. Für sehr gewagt halten wir auch die Auslegung des Anwendungsbereichs der kritisierten US-Gesetze. Denn die DSB verweist einfach auf die EuGH-Entscheidung. Sie prüft aber nicht, ob Google tatsächlich in deren Anwendungsbereich fällt.
- Zudem kommt es darauf an, welche zusätzlichen Maßnahmen ein Unternehmen zum Schutz der Daten einsetzt. Auch fallen nicht alle Service Provider unter die US-Geheimdienstgesetzt FISA § 702.
Noch sind wir also nicht in der Steinzeit. Aber wir bewegen uns aktuell durch den Datenschutz in Richtung digitales Mittelalter. Bei dem Einsatz von US-Cloud Providern raten wir jedenfalls aktuell zur Vorsicht. Lassen Sie sich bei der Auswahl und der Bewertung der DSGVO-Compliance beraten und verfolgen Sie die weitere Rechtsentwicklung aufmerksam. Kommen Sie gerne auf uns zu. Wir bieten umfassende Expertise in diesem Bereich, weil wir regelmäßig Unternehmen (Konzerne und mittelständische Unternehmen) in Fragen des internationalen Datentransfers beraten.