Verwendung von Analytics illegal

Am 13.1.2022 veröffentlichte die österreichische Datenschutzbehörde ihren Bescheid über die Konformität der clientseitigen Standardimplementierung von Google Analytics. IP-Adressen und andere personenbezogene Daten wurden auf der Grundlage der Standard-SCCs von Google an Google-Server übermittelt.

Selbst mit der angeblichen „IP-Anonymisierung“ reichten diese Maßnahmen nicht aus, um personenbezogene Daten vor einem möglichen Zugriff durch die US-Geheimdienste zu schützen.

Laut Bescheid wurde „einer Verletzung der allgemeinen Grundsätze der Datenübermittlung gemäß Art. 44 DSGVO“ stattgegeben. Diese regelt die Weitergabe personenbezogener Daten an ein Drittland, oder an eine internationale Organisation. Im konkreten Fall seien zumindest „eine einzigartige Nutzer-ID-Nummer, IP-Adresse und Browserparameter“ an Google übermittelt worden. Das bedeutet, dass ein eindeutiges User-Profil des Nutzers erstellt werden kann.

Die mit Google abgeschlossenen „Standardschutzklauseln“ würden kein „angemessenes Schutzniveau“ bieten, etwa um die „Überwachungs- und Zugriffsmöglichkeiten durch US-Nachrichtendienste“ zu beseitigen, schreibt die Behörde in ihrer Begründung. Google hatte zuvor argumentiert, diverse technische und organisatorische Maßnahmen umgesetzt zu haben, um Daten europäischer Bürger vor einem Zugriff durch US-Behörden zu schützen.