Hohe Geldstrafe wegen des Einsatzes von Google Analytics
Eine Reihe an europäische Datenschutz-Behörden in Österreich, Frankreich, Italien, oder Dänemark haben im letzten Jahr festgehalten, dass die Verwendung von Google Analytics gegen die Datenschutzgrund-Verordnung (DSGVO) verstößt. Doch nun wurde erstmals auch eine finanzielle Strafe gegen Unternehmen verhängt, die EU-US-Datentransfers via dem Tool ohne ausreichende zusätzliche Maßnahmen durchführen.
Die schwedische Datenschutzbehörde (IMY) hat wegen rechtswidrigen Datentransfers aus der EU in die USA Maßnahmen gegen gleich vier Unternehmen ergriffen.
Der Telekommunikationsanbieter Tele2 wurde mit einer Geldstrafe von 12 Millionen SEK (1 Million Euro) belegt, während der Online-Händler CDON eine Strafe von 300.000 SEK (25.000 Euro) erhielt. Grund für die Sanktionen war die Nutzung von Google Analytics auf ihren Webseiten ohne ausreichende zusätzliche Maßnahmen.
Auch Coop Schweden und Dagens Industry wurden abgemahnt und aufgefordert, die Nutzung von Google Analytics einzustellen.
Die Entscheidung der schwedischen Datenschutzbehörde markiert einen wesentlichen Schritt in der Durchsetzung der DSGVO und der Schutz personenbezogener Daten. Es ist eine klare Botschaft an Unternehmen, dass Verstöße gegen die Datenschutzbestimmungen auch in Bezug auf Datentransfers in die USA mit empfindlichen Geldstrafen geahndet werden können.
Was sind die wesentlichen Erkenntnisse aus den Entscheidungen der schwedischen Datenschutzbehörde?
Erstens, dass die Entscheidungen mehrerer EU-Datenschutzbehörden, wonach Google Analytics ohne zusätzliche Maßnahmen nicht rechtskonform ist, nun auch exekutiert werden.
Zweitens, dass es nicht ausreicht, wenn der Betreiber einer Webseite die IP-Anonymisierung von Google Analytics nutzt. Auch wenn dies ausschließlich auf europäischen Servern geschieht, kann nach aktuellen Entscheidungen der schwedischen Datenschutzbehörde die IP-Adresse in den USA anhand der gesamten übermittelten Daten auf eine bestimmte Person zurückgeführt werden.
Drittens, dass Strafmaß auch davon abhängt, ob neben den von Google empfohlenen Maßnahmen, die für sich alleine nicht ausreichen, auch weitere Maßnahmen getroffen wurden, um die personenbezogenen Daten zu schützen.
Warum wurden zwei Unternehmen mit Geldbußen belegt und zwei nicht?
Bei allen vier Unternehmen wurde erschwerend bewertet, dass der Datentransfer automatisch und systematisch erfolgt und einen großen Datenumfang über eine lange Zeit betrifft. Ohne Milderungsgründe würde dies zu einer Geldbuße führen.
Tele2 hat sich aber ausschließlich auf die IP-Anonymisierung von Google Analytics verlassen und keine weiteren Schutzmaßnahmen ergriffen. Dies beeinflusste die Einschätzung der Behörde negativ und es folgte eine vergleichsweise hohe Strafe.
Die Milderungsgründe für die Unternehmen, die nicht bestraft wurden, bestanden darin, dass sie Proxy-Server verwendet haben.
Eines der Unternehmen nutzte Server-Side-Tracking und hat IP-Adressen ersetzt und an Google gesendet. Jedoch wurden unter anderem ClientIDs, Google ClickIDs und TransactionIDs weiterhin mitgesendet, wodurch die Personen wieder identifizierbar wurden. Der Einsatz von Server-Side-Tracking war allerdings ausreichend, um eine Geldbuße zu vermeiden.
Ein Unternehmen hatte einen Proxy-Server eingesetzt, die IP-Adressen um ein Oktett gekürzt und die Cookie-Identifier gehasht. Jedoch reicht die Kürzung der IP-Adresse laut Behörde nicht aus, um die Identifizierung einer Person zu verhindern, wenn gleichzeitig zusätzliche Daten, wie etwa das Gerät des Besuchers und die Besuchszeit, mitgesendet werden.
Es wurde auch positiv bewertet, wenn Data Mapping und eine Risikoabschätzung durchgeführt wurden, um zu verstehen, was mit den Daten passiert.
Was bedeutet das für die betroffenen Unternehmen?
Die Entscheidungen sind noch nicht rechtskräftig und können angefochten werden. Erst wenn die Beschwerdefrist verstrichen ist und keine weiteren Rechtsmittel zur Verfügung stehen, wird die Entscheidung rechtskräftig. Innerhalb eines Monats nach Rechtskraft müssen die Unternehmen die Verwendung von Google Analytics einstellen oder zusätzliche Maßnahmen einführen.
Haben die Entscheidungen auf alle Anwender von Google Analytics Auswirkungen?
In der Pressemitteilung wird ausdrücklich festgehalten, dass die Entscheidungen auch Auswirkungen auf andere Unternehmen haben, die Google Analytics einsetzen.
Was können Unternehmen in dieser Situation tun?
Sie sollten sich auch bei GA4 nicht darauf verlassen, dass die von Google angebotenen Maßnahmen ausreichend sind.
Server-Side-Tracking mit Datenschutz-Funktionalitäten wie Pseudonymisierung von personenbezogenen Daten sind wirksame Maßnahmen, um den Schutz personenbezogener Daten auch in den USA zu gewährleisten und US-Tools wie Google Analytics weiterzuverwenden.
Welche Auswirkungen könnte das neue EU-US Data Privacy Framework haben, das allerdings noch nicht in Kraft ist?
Das Problem liegt darin, dass eine wichtige Rechtsgrundlage mit dem Ende des Privacy Shield weggefallen ist und Standardvertragsklauseln nicht ausreichen, um personenbezogene Daten in den USA zu schützen. Die Rechtslage könnte sich durch das neue Data Privacy Framework ändern.
Es ist aber wichtig zu beachten, dass das DPF keine Rückwirkung auf bereits abgeschlossene Datenverarbeitungen haben wird. Nicht rechtskonforme Datenverarbeitungen können also nicht im Nachhinein korrigiert werden. Sobald Strafen rechtskräftig werden, müssen sie auch bezahlt werden.
Datenschutzkonformer Einsatz von Google Analytics mittels Server-Side-Tracking
Die JENTIS Data Capture Platform ermöglicht Ihnen die konforme Nutzung von Google Analytics durch den Einsatz von serverseitigem Tracking mit integrierter Pseudonymisierung. Erfahren Sie hier mehr.
Update: Im Juli 2023 genehmigte die EU-Kommission den neuen EU-US-Datenschutzrahmen (DPF), der viele der Einschränkungen von Schrems II aufhebt und es für Organisationen wesentlich einfacher macht, personenbezogene Daten aus der EU in die USA zu übermitteln. Aller Voraussicht nach werden NGOs das neue Abkommen jedoch gerichtlich anfechten (mögliches „Schrems III“). Daher wird eine gewisse Rechtsunsicherheit bestehen bleiben, bis der Europäische Gerichtshofs (EuGH) in dieser Angelegenheit entscheidet.
Quelle: IMY
Mehr Information
Google Analytics 4: So nutzen Sie es DSGVO-konform weiter
Google Analytics-Alternativen suchen oder dabei bleiben? Wir skizzieren die Optionen, wie Sie Ihr Analytics datenschutzkonform machen.
Nur mit JENTIS: Google Analytics 4 zu 100% serverseitig nutzen
Case Study: Mit der Data Capture Platform von JENTIS nutzen Sie Google Analytics 4 zu 100% serverseitig und erfassen die maximale Datenqualität.
Ist Google Analytics für Europäer tabu?
Was Unternehmen jetzt bedenken sollten. Eine Analyse von Thomas Tauchner.