Google Analytics ist tot – es lebe Google Analytics GA4! Und wo bleibt das neue Privacy Shield?

Nach der österreichischen, hat nun auch die französische Datenschutzbehörde Google Analytics wegen des US-Datentransfers für unzulässig erklärt.

Begründet wird dies auch diesmal mit dem möglichen Zugriff von US-Geheimdiensten auf Daten der EU-Bürger und deren mangelnden Abwehrrechten, welche von der Google LLC aus den USA verarbeitet werden. Die französische Behörde hat darüber hinaus angekündigt, auch andere US-Dienste prüfen zu wollen. Des Weiteren ist damit zu rechnen, dass auch andere EU-Datenschutzbehörden ähnliche Entscheidungen in naher Zukunft treffen könnten.

Die Entscheidungen beruhen auf einer abgestimmten Rechtsauffassung aller europäischen Datenschutzbehörden. Allein die Nutzung der Standardvertragsklauseln könne kein dem europäischem Schutzniveau gleichwertiges Datenschutzniveau im Empfängerland USA gewährleisten, da durch Verträge zwischen den Parteien nicht die Rechtslage vor Ort geändert werde und ein (unrechtmäßiger) Zugriff von US-Behörden auf europäische Daten nicht ausgeschlossen sei.

Diese Problematik betrifft nicht nur Google Analytics, sondern alle US-Dienstleister. Zwar sind bisher keine Bußgelder oder Untersagungsverfügungen durch deutsche Aufsichtsbehörden hinsichtlich Google Analytics bekannt. Website-Betreiber sollten sich aber bewusst sein, dass Beschwerden von betroffenen Personen seitens der Behörden sehr wohl nachgegangen wird und das entsprechende Beschwerden unvermeidlich kommen werden.

Umso wichtiger wäre, dass eine Nachfolgeabkommen zum Privacy Shield endlich zwischen den USA und den Europäern verabschiedet würde und die USA den Europäern einen vollwertigen Schutz vor Zugriff auf ihre Daten durch US-Geheimdienste garantiert. Anderenfalls wird es wieder nur eine Frage der Zeit bis das Nachfolgeabkommen erneut durch den EuGH für unwirksam erklärt wird. In diesem Zusammenhang sickern erfreuliche Nachrichten aus den USA nach Europa durch. So sei ein neuer Privacy Shield laut einem US-Magazin bereits für den Mai 2022 angekündigt worden. Hier bleibt abzuwarten, ob dies wirklich eintritt und wenn ja, ob sich die USA dazu durchringen können, die notwendigen Garantien eines Schutzes der Daten zu geben.

Fazit:

Wichtig ist, dass die Entscheidungen zu Google Analytics in alter Form ergangen sind, bei dem noch bis Ende April 2021 die Google LLC aus den USA Betreiber des Dienstes war. Das ist heute aber nicht mehr Fall, da nun Google Ireland den Analytics-Vertrag schließt und die Verantwortung übernommen hat. Daher kann man nicht sagen, dass die Entscheidungen den grundsätzlichen Einsatz des heutigen Google Analytics in seiner Version 4 verbieten.

Allerdings bleibt natürlich ein Risiko, dass die Google Ireland Daten an den Mutterkonzern in die USA transferieren könnte. Daher bleibt ohne weiteres Privacy Shield ein Risiko bei der Nutzung von Google Analytics, was nur komplett auszuschließen ist, wenn EU-Dienste eingesetzt werden.

Bei der Entscheidung für einen Einsatz von Google Analytics 4 ist auf folgende Punkte zu achten:

    1. Es sollte ein Vertrag zur Auftragsverarbeitung mit Google abgeschlossen werden, welcher online und digital unter „Verwaltung > Kontoeinstellungen“ in der Rubrik „Zusatz zur Datenverarbeitung“ angeschlossen werden kann.
    2. Es sollte vorzugsweise eine möglichst kurze Speicherdauer in der Spalte „Property“ auf „Dateneinstellungen > Datenaufbewahrung“ gewählt werden.
    3. In der Datenfreigabeeinstellungen sollten so wenig Freigaben wie möglich erteilt werden. Hier sollte in den „Kontoeinstellungen“ der Haken in der Checkbox „Google-Produkte & -Dienste“ entfernt werden, um keine Gemeinsame Verantwortlichkeit mit Google für den Webseitenbetreiber zu erzeugen. Dies ist zumindest die Position der Aufsichtsbehörden.
      Des Weiteren empfiehlt sich die „Account Specialists“ zu deaktivieren. Außerdem kann der Haken bei „Benchmarking“ und „Technischer Support“ entfernt werden.
    4. Eine Einwilligung ist einzuholen, am besten mit einem Consent-Managing-Tool, in welche die Umfänge der Datenverarbeitung sowie der Transfermöglichkeit in die USA erläutert sind.
    5. In der Datenschutzerklärung müssen Informationen zum Umfang der Datenerhebung, der Rechtsgrundlage, der Speicherdauer bzw. der Kriterien für Festlegung der Dauer sowie ein Hinweis auf das Widerrufsrecht und dessen Umsetzung und ein Hinweis zu anonymizeIp enthalten sein, welche bei der Google Analytics 4 voreingestellt ist.

 

Simple Share Buttons