CNIL geht gegen client-seitiges Google Analytics vor

Am Donnerstag, 10.2.2022, veröffentlichte die französische Datenschutzbehörde CNIL eine Erklärung, zur “Verwendung von Google Analytics und Datenübertragungen in die Vereinigten Staaten – Die CNIL fordert einen Website-Betreiber auf, die Vorschriften einzuhalten.

Sie fasst die erste französische Entscheidungen zusammen, nachdem Max Schrems 101 Unternehmen in Europa (davon sechs in Frankreich) exemplarisch verklagt hat. Obwohl uns der Text der Bekanntmachung (das Schreiben an das Unternehmen) nicht vorliegt, um eine detaillierte Analyse durchzuführen, können wir aus der Erklärung der CNIL einige Schlussfolgerungen ziehen.

• Bei der Maßnahme der CNIL handelt es sich um eine vorläufige Maßnahme, nicht um eine endgültige Entscheidung. Die CNIL hat einem französischen Website-Betreiber eine förmliche Aufforderung zugestellt, “die Datenschutz-Grundverordnung einzuhalten und gegebenenfalls die Nutzung dieses Dienstes unter den derzeitigen Bedingungen einzustellen”.
• Ihr Ersuchen wurde mit anderen europäischen Datenschutzbehörden abgestimmt, was den gemeinsamen Ansatz zu diesem Thema widerspiegelt.
• Die förmliche Aufforderung gibt dem Website-Betreiber die Möglichkeit, dem Gesetz innerhalb einer Frist von einem Monat nachzukommen. Aus dem Text der Pressemitteilung der CNIL geht hervor, dass die Beendigung der Nutzung von GA oder die Verwendung eines EU-Tools in diesem Fall zwar möglich, aber nicht die einzige Option ist.
• In beiden Fällen (Frankreich und Österreich) ist eindeutig ein Dominoeffekt zu erkennen. Es gibt eine klare Botschaft von beiden Datenschutzbehörden: Die Dienste von GA können nicht ohne zusätzliche Maßnahmen genutzt werden, und um wirksam zu sein, müssen zusätzliche Maßnahmen die Möglichkeit des Zugriffs durch US-Geheimdienste ausschließen. Die einzelnen Formulierungen der französischen CNIL und der österreichischen Datenschutzbehörde stehen nicht im Widerspruch zueinander, sondern ergänzen sich. Die CNIL wies darauf hin, dass es möglich sein könnte, GA weiterhin für anonymisierte Daten zu verwenden, um “Website-Reichweitenmessungen und -Analysedienste” durchzuführen. Die österreichische Datenschutzbehörde sagte, dass die Anonymisierung von IP-Adressen (selbst wenn sie korrekt durchgeführt wird) nicht ausreicht, um personenbezogene Daten zu schützen, da es auch andere Identifikatoren gibt, die es ermöglichen, eine Person zu identifizieren.
• Die CNIL und andere europäische Datenschutzbehörden sehen in Google Analytics nur eines von vielen Tools, die aufgrund der nicht konformen Übermittlung personenbezogener Daten in die USA gegen die Datenschutz-Grundverordnung verstoßen. Sie fügen hinzu, dass “diesbezügliche Korrekturmaßnahmen in naher Zukunft ergriffen werden könnten”

Alles in allem kann man sagen, dass die Mitteilung der CNIL keineswegs überraschend oder ungerechtfertigt ist. Es ist nun mehr als 1,5 Jahre her, dass der EU-US-Datenschutzschild gefallen ist. Monat für Monat gibt es neue Fälle und Urteile, die die ursprüngliche Schrems-II-Entscheidung unterstützen.

Wir erwarten sehr bald ähnliche Entscheidungen aus anderen Ländern – bleiben Sie dran.

Update: Im Juli 2023 genehmigte die EU-Kommission das neue EU-US-Datenschutzabkommen (DPF), das viele der Einschränkungen von Schrems II aufhebt und es für Organisationen wesentlich einfacher macht, personenbezogene Daten aus der EU in die USA zu übermitteln. Aller Voraussicht nach werden NGOs das neue Abkommen jedoch gerichtlich anfechten (mögliches “Schrems III”). Daher wird eine gewisse Rechtsunsicherheit bestehen bleiben, bis der Europäische Gerichtshofs (EuGH) in dieser Angelegenheit entscheidet. JENTIS Data Capture Platform ermöglicht zukunftssicheres, DSGVO-konformes Tracking, ungeachtet des Data Privacy Frameworks und möglicher Anfechtungen.