Google Analytics als Datenschutzverstoß und neues TTDSG
Die österreichische Datenschutzaufsicht („Datenschutzbehörde“) hat den unveränderten Einsatz des Webanalyse-Tools Google Analytics als Verstoß gegen die Datenschutz-Grundverordnung eingeordnet (22.12.2021, www.siehe.eu/k4020).
Grund: Der Einsatz des Analysetools bedeute, dass an den Dienstleister, die Google LLC mit Sitz in den USA, Cookie-Daten und die IP-Adresse ins Drittland USA gesendet würden. Die Überwachungs- und Zugriffsmöglichkeiten der US-Nachrichtendienste verhindern ein angemessenes Datenschutzniveau (nach Artikel 44 DSGVO). Standardvertragsklauseln können nur helfen, wenn sie hinreichende zusätzliche Maßnahmen vorsehen.
Aber: Die aktuelle Einordnung hängt auch davon ab, dass die Leistungen von der US-Gesellschaft und nicht beispielsweise nur von der Google Ireland Ltd erbracht werden. Hier fehlt, soweit ersichtlich, eindeutige Festlegungen von Google. Auch könnten zusätzliche Maßnahmen ergriffen werden, um mit Standarddatenschutzklauseln ein angemessenes Datenschutzniveau zu erreichen.
Fazit: Auch wenn keine Gerichtsentscheidung vorliegt, wird damit die Luft für den unveränderten Datentransfer in die USA dünner. Die niederländische Aufsicht beschäftigt sich ebenfalls kritisch mit dem Google Analytics-Transfer-Vorwürfen (www.siehe.eu/k4021). Ergänzend sei auf den Beitrag unseres Mitglieds Christian Bennefeld hingewiesen. Er hat in einem sehr prägnanten Beitrag „Google Analytics in Deutschland verboten!“ (www.siehe.eu/k4022) dargelegt, wie sich die „Orientierungshilfe der Aufsichtsbehörden für Anbieter:innen von Telemedien“ (www.siehe.eu/k4016, instruktiv, wenn auch mit 32 Seiten kein wirklicher Praktiker Guide ) auf Google Analytics auswirkt.