Expert-Talk: "Was Software-Entscheider von der Formel 1 lernen können" Video-Podcast ansehen
Die Auswahl der richtigen Software gehört zu den anspruchsvollsten Aufgaben im Digitalisierungsgeschäft. Schließlich ist die Tragweite der Entscheidung sowohl strategisch als finanziell enorm. Ein iBusiness Expert Talk mit Synaigy-Chef Joubin Rahimi über das richtige Vorgehen.
Video-Podcast ansehen
Expert-Talk: "So kann man extrem nah am Kunden sein" Video-Podcast ansehen
Warum WhatsApp besonders gut dafür eingesetzt werden kann eine enge Kundenbindung herzustellen und damit das eigene Markenprofil zu schärfen, erklärt Katharina Kremming von MesssengerPeople.
Video-Podcast ansehen

Entscheidung: Für Google Analytics wird es nun richtig eng

17.01.2022 Gleich mehrere europäische Behörden haben in der vergangenen Woche den Daumen über die Verwendung von Google Analytics gesenkt. Schon bald könnte die Verwendung des beliebten Analysetools zweifelsfrei verboten sein.

 (Bild:  Gerd Altmann auf Pixabay)
Bild: Gerd Altmann auf Pixabay
iBusiness hat schon mehrfach gewarnt (siehe: Rechtspraxis - Diese Fallstricke lauern in Google Analytics Relation Browser , Praxis - Wie Google Analytics nach dem EuGH-Urteil rechtssicher bleibt Relation Browser und Mehr als nur der Like-Button - So müssen Sie auf das EuGH-Urteil reagieren Relation Browser ), nun scheint die Luft für das weit verbreitete Analyticswerkzeug von Google zur Homepage dieses Unternehmens Relation Browser endgültig dünn zu werden:


Worum geht es?

Im Kern geht es um die Frage, ob in den USA ein dem europäischen Recht vergleichbares Datenschutzniveau sichergestellt werden kann. Früher war das einfach: Im sogenannten "Safe Harbour"-Abkommen hatten EU und USA dies ausgehandelt und sich gegenseitig quasi amtlich bestätigt. 2015 kippte der Europäische Gerichtshof dieses Abkommen aber, weil er erheblich Mängel entdeckte (siehe iBusiness: EuGH kippt Safe-Harbour-Abkommen Relation Browser ).

Das Nachfolgeabkommen hieß Privacy Shield und wurde 2020 - im wesentlichen mit den gleichen Argumenten - ebenfalls durch den EuGH gekippt (siehe: Privacy-Shield gekippt - Das EuGH-Urteil und die Folgen Relation Browser ). Das Problem: US-Anbieter sind unter anderem durch den Cloud-Act und den Foreign Intelligence Surveillance Act (FISA) gesetzlich verpflichtet, auf Anforderung von US-Behörden (wie Geheimdiensten) Informationen herauszugeben, auf die sie Zugriff haben. Ausdrücklich auch ohne die Betroffenen darüber zu informieren. Dies widerspricht den europäischen Datenschutzanforderungen, deren Niveau nach DSGVO nicht unterschritten werden darf (zumindest nicht ohne Aufklärung und ausdrückliche Zustimmung der Verbraucher).

Das Gericht ließ aber zugleich eine winzige Auslegungslücke offen: Es erklärte, dass das Privacy Shield zwar gekippt sei, grundsätzlich aber ein Verfahren nach den EU-Standardvertragsklauseln angewendet werden könnte. Seither berufen sich Vertragsparteien nicht mehr auf die Rahmenvereinbarung "Privacy Shield", sondern sichern mittels dieser Klauseln selbst vertraglich zu, das europäische Datenschutzniveau einzuhalten.

Allerdings wurde bei diesem Vorgehen gerne übersehen, dass die EuGH-Richter ausdrücklich betonten, dass sie - mangels Auftrag - nicht geprüft hatten, ob die Vertragsklauseln im konkreten Fall auch von US-Unternehmen anwendbar seien. Denn es geht nicht nur um die Frage, ob die entsprechende Zusicherung abgegeben wird, sondern auch um die Frage, ob sie eingehalten werden kann. Letzteres sei aufgrund der US-Rechtslage gar nicht möglich, warnten Experten schon 2020.

Was ist nun passiert?

Um diese offene Frage zu klären, hat der Wiener Datenschutzaktivist Max Schrems ‘Max Schrems’ in Expertenprofilen nachschlagen im Juni vergangenen Jahres Beschwerde gegen 101 europäische Unternehmen aus allen 30 EU- und EWR-Mitgliedsstaaten erhoben (siehe iBusiness: Privacy-Shield-Aus - Datenaktivist reicht Beschwerde gegen 101 Firmen ein Relation Browser ). Er wirft ihnen vor, ihre Websites immer noch unter Verwendung von Google Analytics und Facebook zur Homepage dieses Unternehmens Relation Browser Connect zu betreiben. Dies hat letztlich zu der Entscheidungen der österreichischen Datenschutzbehörde geführt.

Die Entscheidung in den Niederlanden steht noch aus, die eindeutige Warnung lässt jedoch ahnen, dass auch dort zumindest große Bedenken vorherrschen.

Ob sich die bayerische Behörde zu einer anderen Einschätzung durchringen kann, ist noch offen. Allerdings müssten sie der Einschätzung ihrer österreichischen Kollegen schon sehr direkt widersprechen. Denn: Zu ihnen ist ein Fall herübergeschwappt, den die Wiener bereits negativ beurteilt haben. Weil das betroffene Unternehmen während der Beschwerdeprüfung aber an einen Münchner Verlag verkauft wurde, konnten die Österreicher nur das Verhalten bis zu diesem Stichtag beurteilen. Für die darauffolgende Zeit sind nun die Münchner zuständig. Sollten sie anders entscheiden, müssten sie also entweder eine geänderte Faktenlage vorbringen oder der österreichischen Einschätzung frontal widersprechen.

Wer ist betroffen?

Die österreichische DSB hat entschieden, dass der inkriminierte Website-Betreiber gegen die DSGVO verstieß, weil dieser personenbezogene Daten an Dritte (Google) weitergegeben hat. Abgewiesen hat die Behörde dagegen die Beschwerde gegenüber Google, weil diesem Anbieter keine Datenweitergabe nachgewiesen werden konnte. Beschwerdeführer Schrems erwägt mit dem Verein Noyb zur Homepage dieses Unternehmens Relation Browser gegen diesen Teil des Beschlusses vorzugehen.

Neben der niederländischen und der bayerischen Entscheidung stehen noch zahlreiche weitere Entscheidungen in der gesamten EU aus. Diese werden in den kommenden Monaten erwartet. Es ist daher zu erwarten, dass sich noch in diesem Jahr eine einheitliche Linie abzeichnen wird.

Betroffen ist aber nicht nur Google Analytics. Ganz konkret hat Schrems ja auch Beschwerden betreffend der Verwendung von Facebook Connect eingereicht. Über diese wird ebenfalls erst noch entschieden. Allgemein sind aber alle Datenverarbeitungen personenenbezogener Daten durch US-Anbieter betroffen - ganz gleichgültig, ob es sich um eine Marketing-Automation-Lösung, einen Mailer oder ein Analysedienst handelt.
Neuer Kommentar  Kommentare:
Schreiben Sie Ihre Meinung, Erfahrungen, Anregungen mit oder zu diesem Thema. Ihr Beitrag erscheint an dieser Stelle.
Dienstleister-Verzeichnis Agenturen/Dienstleister zu diesem Thema:
Experten-Profile Genannte Personen: