Die französischen Datenschutzbehörden haben am Donnerstag festgestellt, dass die Verwendung von Google Analytics gegen die Datenschutzgrundverordnung (DSGVO) der Europäischen Union verstößt. Dies geschah fast einen Monat, nachdem eine ähnliche Entscheidung in Österreich getroffen wurde.
Die Nationale Kommission für Informatik und Freiheit (CNIL) entschied, dass die transatlantische Übermittlung von Google-Analytics-Daten in die USA „nicht ausreichend geregelt“ ist. Sie begründete dies mit einem Verstoß gegen die Artikel 44 ff. der Datenschutzverordnung, die die Übermittlung personenbezogener Daten an Drittländer oder internationale Einrichtungen regeln.
Die unabhängige Aufsichtsbehörde wies insbesondere auf das Fehlen eines gleichwertigen Schutzes der Privatsphäre und das Risiko hin, dass „amerikanische Geheimdienste auf personenbezogene Daten zugreifen, die in die USA übermittelt werden, wenn die Übermittlungen nicht ordnungsgemäß geregelt sind“.
„Obwohl Google zusätzliche Maßnahmen zur Regulierung von Datenübertragungen im Zusammenhang mit der Google-Analytics-Funktionalität ergriffen hat, reichen diese nicht aus, um die Zugänglichkeit dieser Daten für US-Geheimdienste auszuschließen“, so die CNIL. „Es besteht daher ein Risiko für französische Website-Nutzer, die diesen Dienst nutzen und deren Daten exportiert werden.“
Als Teil der Anordnung empfahl die CNIL einer der beanstandeten Websites, die DSGVO einzuhalten, indem sie die Google-Analytics-Funktionalität nicht mehr nutzt oder ein alternatives Tool zur Überwachung des Website-Verkehrs einsetzt, das keine Übertragung in Länder außerhalb der EU vorsieht.
Außerdem betonte die Aufsichtsbehörde, dass Dienste zur Messung und Analyse der Besucherzahlen von Websites wie Google Analytics nur „zur Erstellung anonymer statistischer Daten verwendet werden sollten, so dass eine Ausnahme von der Einwilligungspflicht möglich ist, wenn der für die Datenverarbeitung Verantwortliche sicherstellt, dass keine illegalen Übermittlungen stattfinden.“
Meta Platforms, der Eigentümer von sozialen Netzwerken wie Facebook, Instagram und WhatsApp, warnt davor, dass eine Gesetzgebung, die vorschreibt, wie die Nutzerdaten von EU-Bürgern in die USA übertragen werden, dazu führen könnte, dass Meta Platforms seine Dienste aus der Region abzieht.
„Wenn kein neuer transatlantischer Rahmen für den Datentransfer verabschiedet wird und wir nicht in der Lage sind, uns weiterhin auf SCCs (Standardvertragsklauseln) zu stützen oder auf andere alternative Möglichkeiten des Datentransfers von Europa in die USA zurückzugreifen, werden wir wahrscheinlich nicht in der Lage sein, eine Reihe unserer wichtigsten Produkte und Dienste, einschließlich Facebook und Instagram, in Europa anzubieten“, so das Unternehmen in einem Anfang der Woche veröffentlichten Geschäftsbericht.
Das Urteil erging weniger als zwei Wochen, nachdem ein Landgericht in München festgestellt hatte, dass die Einbettung von Google Fonts auf einer Website und die Übermittlung der IP-Adresse an Google über die Bibliothek ohne die Zustimmung der Nutzer/innen gegen die DSGVO verstößt.