Google Analytics und der Datenschutz
Bereits im Newsletter vom Juli 2021 wurden die Auswirkungen des wegweisenden Urteils „Schrems II“ angeschnitten. In diesem Urteil entschied der EuGH, dass die Rechtsgrundlage für die Übermittlung von personenbezogenen Daten in die USA und an US-Dienstleister nicht mehr das Privacy Shield-Abkommen sein kann. Dieses vereinfachte die Nutzung von US-Diensten, da es für den Nutzer solcher Dienste die Einhaltung eines angemessenen Datenschutzniveaus garantierte.
Jetzt stecken diese Nutzer jedoch in einer Zwickmühle. Das gegenwärtige Problem der Datenschützer ist, dass nach der DSGVO ein angemessenes Datenschutzniveau bei Transfers an Drittstaaten sichergestellt sein muss. Dies umfasst auch wirksame Rechtsmittel gegen den Zugriff auf die personenbezogenen Daten. Die US-Geheimdienste haben jedoch das Recht, auf sämtliche Daten bei US-Dienstleistern zuzugreifen und müssen – sofern sie Ausländer betreffen – keine Mitteilung an den Betroffenen machen bzw. diesem keinen Rechtsweg hiergegen eröffnen. Das Problem ist so grundlegend, dass es auch weiterhin keine allgemeingültige Lösung hierfür gibt, obwohl es durchaus Bemühungen gab.
Das bringt uns nun zu dem Bescheid der österreichischen Datenschutzbehörde vom 13.01.2022. Anstatt die Dienste anzupassen, haben die meisten Anbieter schlicht den Text der Datenschutzbestimmungen und die technisch organisatorischen Maßnahmen (TOMs) erweitert. Da dies das grundlegende Problem jedoch nicht lösen kann, hat die DSB entschieden, dass die Nutzung von Google Analytics gegen die DSGVO verstößt. Da sich die US-Geheimdienste gegenüber Drittstaaten nicht regulieren lassen werden, wird es in Zukunft wohl darauf ankommen, wie die US-Dienstleister reagieren. Die Problematik bei der Nutzung der Dienste ist seit mehr als einem Jahr faktisch unverändert. Bisher hatten die meisten Datenschutzbehörden sich ruhig verhalten und diverse Flickenlösungen hingenommen. Dies wird wohl kein dauerhafter Zustand bleiben.
Noch zeigen die US-Dienstleister wenig Bemühungen, die Daten durch Verarbeitung in der EU konsequent vor dem Zugriff von US-Geheimdiensten zu schützen. Daher sollte man den Einsatz von selbst gehosteten oder europäischen Alternativen prüfen. Die Nutzung ewiger Behelfslösungen in Form von Standardvertragsklauseln und weiteren TOMs der Anbieter wird im Licht dieser Entscheidung zunehmend schwieriger.
Bildnachweis: stock.adobe.com / Aleksei / 283467203