Der Experten-Blog im Datenschutz

Google-Analytics und die DSGVO: Ist der Einsatz rechtswidrig?

Google-Analytics und die DSGVO: Ist der Einsatz rechtswidrig?

Das Jahr 2021 war ein Rekordjahr in Sachen DSGVO-Bußgeldern. So wurde etwa von der Luxemburger Aufsichtsbehörde (CNPD) gegen Amazon ein Bußgeld in Hohe von 746 Millionen Euro wegen rechtswidrigem Nutzer-Tracking verhängt. Und auch gegen WhatsApp wurde die irische Datenschutzbehörde wegen der rechtswidrigen Weitergabe von Nutzerdaten an Facebook mit 225 Millionen Euro tätig. In diesem Jahr geraten nun Google-Dienste erneut in den Fokus. So nahm die österreichische Aufsichtsbehörde den Google-Dienst Analytics in Beschlag. Gefolgt von der französische Aufsichtsbehörde (CNIL), die nicht dafür bekannt ist mit dem Datenschutz hinter dem Berg zu halten.

US-Datentransfer auf dem Prüfstand

Der Datentransfer in die USA ist bereits seit geraumer Zeit problematisch. Nachdem der bereits 2. Angemessenheitsbeschluss für den Datentransfer in die USA - das EU-US Privacy Shield - vom Europäischen Gerichtshof mit dem Schrems-II-Urteil am 16. Juli 2020 gekippt wurde, war der Datentransfer nur noch unter strengen Voraussetzungen zulässig. Mit dem Privacy Shield hatten US-Unternehmen zuvor die Möglichkeit, sich auf ein angemessenes Datenschutzniveau zu verpflichten. Eine Nachfolgeregelung steht seither aus: Denn der wesentliche Kritikpunkt des anlasslosen Datenzugriffs aufgrund der nationalen Sicherheitsgesetze steht nach wie vor im Raum.

Entscheidungen mit hoher Tragweite

Der Datentransfer in die USA betrifft nun erneut auch den Statistik-Dienst Google-Analytics, der bereits in der Vergangenheit in der Kritik stand und weltweit am meisten verbreitet ist. Die österreichische Datenschutzbehörde entschied jüngst, dass der Einsatz in Europa rechtswidrig sei. Und Schützenhilfe gibt es auch von der französischen Datenschutzaufsicht. Laut Pressemitteilung der CNIL (externer Link) wies diese einen Website-Betreiber nun an, die Webseiten-Analyse DSGVO-konform zu gestalten oder den Dienst abzustellen. Hauptkritikpunkt ist nach wie vor, dass der Analyse-Dienst nicht datenschutzkonform eingesetzt werden könne. Insbesondere werde jedem Besucher ein Identifier zugeordnet, der ein personenbezogenes Datum bilde und die damit assoziierten Daten in die USA übertrage. Auch bei der aktiven IP-Anonymisierung sei letztlich nicht nachvollziehbar, dass diese nach der Datenübermittlung in die USA auch tatsächlich erfolge. Bereits zuvor hatte sich auch der Europäische Datenschutzausschuss (EDSA) entsprechend mit Google-Diensten und etwa auch dem Zahlungsdienst Stripe befasst.

Die behördlichen Entscheidungen und Aktivitäten basieren in erster Linie auf den Erkenntnissen der Schrems-Organisation NOYB (Europäisches Zentrum für digitale Rechte) und den von dieser eingereichten 101 Beschwerden, die zur Entscheidung des EuGH in der Rechtssache C-311/18 geführt hatten.

Auch das Jahr 2022 geht munter weiter

Nicht zuletzt tritt auch der Europäische Datenschutzausschuss (EDSA) bemerkenswert auf den Plan. Während in Krisen-Zeiten cloudbasierte Dienste florieren, soll nun auch der öffentliche Sektor koordiniert überprüft werden. So werden branchenübergreifend über 75 Stellen etwa in den Bereichen Gesundheit, Finanzen, Steuern und Bildung adressiert und förmliche Untersuchungen eingeleitet. Schwerpunkte der Prüfung sind neben den technischen und organisatorischen Sicherheitsvorkehrungen auch der zugehörige Drittlandtransfer durch Cloud-Dienste und Auftragsverarbeiter. Entsprechende Durchsetzungsmaßnahmen sind nach der Analyse zu erwarten. Die Pressemitteilung des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) kann auf dieser Seite abgerufen werden.

 

Ein Blick in die Glaskugel

Die Tätigkeiten europäischer Aufsichtsbehörden erreichen inzwischen eine hohe Tragweite für die Datenschutzpraxis. Der Trend verstetigt sich somit, dass die Datenübermittlung in die USA seit dem Schrems-II-Entscheid unabhängig weiterer Bedingungen als rechtswidrig einzustufen ist. Der Einsatz datenschutzfreundlicher Technologien ist damit auf dem Vormarsch.

Unternehmen sollten sich im Jahr 2022 nun zunehmend mit der digitalen Transformation beschäftigen. Insbesondere welche Lösungen genutzt werden und sich nach entsprechenden Alternativen umschauen, mit denen Risiken für die Rechte und Freiheiten Betroffener deutlich reduziert werden können. So ist auch im Jahr 2022 und den Folgejahren zu erwarten, dass sich die digitale Transformation in Europa grundlegend verändern und sich zunehmend unabhängiger gestalten wird. In dem Zuge ist bis auf weiteres auch mit weiteren Bußgeldern und einer restriktiveren Auslegung des Datenschutzrechts zu rechnen.

 

Wir beraten Unternehmen jeder Größe im externen Datenschutz.


Mit Rocketlegal.de im Datenschutz durchstarten

Wer schreibt hier?

Wir beraten als externe Datenschutzbeauftragte Unternehmen jeder Größe in den Bereichen Datenschutz, IT-Sicherheit & Compliance. Neben einem All-In-One-Portfolio innovativer Compliance- und Security-Lösungen bieten wir Schulungen und Fortbildungen in den Beratungsfeldern.

Externer Datenschutz-beauftragter

ab 150 EUR im Monat

inklusive DSMS und Webseiten-Audit

Externer Datenschutz

Stets aktuelle News in unserem Datenschutz Experten-Blog.

Rocketlegal | Datenschutz-Blogim Blogverzeichnis Bloggerei.de
Blogtotal
TopBlogs.de das Original - Blogverzeichnis | Blog Top Liste
Blogverzeichnis von Trusted Blogs
RSS-Feed für Abonnenten und Verzeichnisse

© 2022 Rocketlegal.de ImpressumDatenschutzerklärungAGNB

Im