Google Analytics und die DSGVO: Wann gibt es Rechtssicherheit?

Nutzer von Google Analytics erlebten in den vergangenen Jahren eine wahre Achterbahnfahrt. Nicht zuletzt aufgrund der fehlenden Rechtssicherheit im Rahmen der DSGVO und Schrems II.

Ein neues Daten-Abkommen zwischen EU und USA, das EU-US Data Privacy Framework (DPF), soll dieses Jahr die lang ersehnte Abhilfe schaffen. Transatlantische Datentransfers, und damit auch die Nutzung von US-Tools wie Google Analytics, sollen damit wieder erleichtert werden.

Doch kann es auch langfristig die nötige Rechtssicherheit gewährleisten?

In diesem Artikel erklären wir die datenschutzrechtlichen Implikationen von Google Analytics, die Auswirkungen des neuen Abkommens und wie Unternehmen am besten darauf reagieren können.

Transatlantische Datentransfers: Eine unendliche Geschichte

Die Übermittlung von personenbezogenen Daten aus der EU in die USA war schon in den Neunzigerjahren ein Problemfeld im Datenschutz. Den Gesetzgebern stellte sich die Frage, wie die Privatsphären-Interessen der Bürger mit dem berechtigten Interesse der Wirtschaft nach möglichst reibungslosen Transfers vereinbart werden könnten.

In diesem Sinne trat das Datentransfer-Framework Safe Harbor im Jahr 2000 in Kraft und gab US-Unternehmen die Möglichkeit, personenbezogene Daten aus der EU zu erhalten und dabei die strengen Datenschutzanforderungen der EU einzuhalten.

Das erleichterte den Transfer von Daten und die Nutzung von US-Tools ganz wesentlich.
Safe Harbor wurde von US-Unternehmen in großem Umfang für die Übermittlung personenbezogener Daten aus der EU genutzt, einschließlich Daten, die über Dienste wie Google Analytics erfasst wurden.

Im Jahr 2015 erklärte der Europäische Gerichtshof den Safe Harbor jedoch für ungültig, da er die Datenschutzrechte der EU-Bürger nicht ausreichend schützte.

Auf einmal waren Unternehmen und Organisationen auf beiden Seiten des Atlantiks mit massiver Rechtsunsicherheit konfrontiert, weil dem erleichterten Datentransfer die Grundlage entzogen war.

Aufgrund dieses Drucks wurde eilig ein Nachfolger für Safe Harbor geschaffen: Das Privacy Shield.

Zweiter Versuch: Privacy Shield

Doch das Schrems-II-Urteil des Europäischen Gerichtshofs vom Juli 2020 erklärte auch Privacy Shield für ungültig. Das Urteil hat Auswirkungen auf alle Unternehmen und Organisationen, die Google Analytics verwenden, da sich die Server von Google in den USA befinden und die von dem Dienst verarbeiteten personenbezogenen Daten in die USA übertragen werden können.

Nach Schrems II traten die Datenschutzbehörden u.a. aus Österreich, Frankreich und Dänemark auf den Plan. Sie befanden die von Google implementierten Datenschutz-Funktionen in Google Analytics für unzureichend, um den Schutz von personenbezogenen Daten in den USA zu gewährleisten.

Die Datenschutzbehörden erklärten die Nutzung von Google Analytics in der aktuellen Form für widerrechtlich und sprachen die dringende Empfehlung aus, den Dienst nicht mehr zu nutzen und auf Alternativen umzusteigen.
Die Rechtsunsicherheit für Unternehmen nahm also weiter zu.

Dritter Versuch: Data Privacy Framework (DPF)

Vorhang auf für den dritten Anlauf, in der Frage der Datentransfers Erleichterung und Rechtssicherheit für Unternehmen zu schaffen.

Im Herbst 2022 veröffentlichte die Biden-Regierung ein Executive Order über die neuen US-Datenschutzmaßnahmen bezüglich personenbezogener Daten aus der EU.

Das neue Übereinkommen wird EU-US Data Privacy Framework (DPF) heißen und voraussichtlich bis Mitte 2023 inkrafttreten.

Für viele Unternehmen, die US-Tools nutzen oder anderweitig auf Datentransfers in die USA angewiesen sind, würde das Inkrafttreten des neuen Frameworks eine Erleichterung bedeuten.

Allerdings herrscht nach wie vor große Unsicherheit, ob diese Verbesserungen von Dauer werden.

Wiederholt sich die Geschichte?

Datenschutz-Aktivisten haben bereits angekündigt, gerichtlich gegen den neuen Rahmen vorgehen zu wollen. Die große Frage lautet, ob die Zugeständnisse der US-Regierung an den Europäischen Gerichtshof ausreichen werden.

Die Datenschutz-NGO NOYB rund um den bekannten Aktivisten Max Schrems ist der Ansicht, dass dem nicht ist. Der EuGH werde auch dieses Übereinkommen für ungültig erklären. NOYB wird das DPF laut eigener Aussage bald nach dem Inkrafttreten anfechten.

Die Rechtsunsicherheit rund um transatlantische Datentransfers und damit auch die Nutzung von Google Analytics dürfte damit vorerst bestehen bleiben.

Was können Unternehmen also tun, um mit dieser Unsicherheit umzugehen und sich bestmöglich auf alle Eventualitäten vorzubereiten?

Praktische Tipps: Was Unternehmen bei Google Analytics jetzt beachten sollten

Die Nutzung von Google Analytics gilt für in der EU ansässige Unternehmen weiterhin als kritisch. Daher sollten sich Unternehmen zwangsläufig mit den Risiken der Nutzung und potenziellen Alternativen beschäftigen, um den Datenschutzanforderungen aus der DSGVO zu entsprechen. Im Folgenden wollen wir speziell darauf eingehen, was die Risiken einer weiteren Nutzung von Google Analytics beinhaltet und welche Auswirkungen jegliche Entscheidungen beim DPF haben.

Welche potenziellen Risiken birgt die Verarbeitung von Daten durch Google Analytics, unabhängig vom DPF?

Die Verarbeitung von Daten durch Google Analytics birgt einige potenzielle Risiken, unabhängig vom DPF. Eine mögliche Gefahr besteht in der Erstellung von Profilen, die aufgrund einer falschen Einstellung des Cookie-Banners ohne Einwilligung der Nutzer und ohne entsprechende Beachtung der Informationspflichten möglich wäre.

Welche Maßnahmen sollten Unternehmen ergreifen, um auf eine mögliche Ablehnung des DPF vorbereitet zu sein?

Um auf eine mögliche Ablehnung des DPF vorbereitet zu sein, sollten Unternehmen bestimmte Maßnahmen für rechtskonforme internationale Datentransfers ergreifen, auch wenn die Gesetzeslage gleich bleibt. Die Rechtsunsicherheit bestünde jedoch weiterhin.

Wie geht es weiter, wenn das DPF keine Lösung darstellt?

War es das mit Google Analytics und inwieweit sollten sich Unternehmen mit Alternativen beschäftigen?

Sollte das DPF keine Lösung darstellen, ist es denkbar, dass das Abkommen nach Inkrafttreten vom EUGH auf die Probe gestellt wird. Dann wäre abzuwarten, wie der EuGH das Datenschutzniveau der USA einstuft.

Das bedeutet zwangsläufig nicht das Aus für Google Analytics. Für viele Unternehmen, die keine Alternativen kennen, ist Google Analytics nämlich weiterhin unverzichtbar und wird auch unabhängig von datenschutzrechtlichen Bedenken weiterhin verwendet. Trotzdem sollten sich Unternehmen dringend mit Alternativen beschäftigen, unabhängig vom DPF.

Auch wenn das DPF akzeptiert wird, was gibt es für Unternehmen dann zu beachten?

Welche Schritte müssen Sie einleiten, um den Anforderungen daraus gerecht zu werden?

Auch wenn das DPF akzeptiert wird, gibt es für Unternehmen bestimmte Schritte zu beachten, um den Anforderungen daraus gerecht zu werden. Das Ziel ist es, die Sicherheitsinteressen der USA und die hohen Datenschutzstandards der Europäischen Union in Einklang zu bringen. Hier müssen in erster Linie die USA nachziehen und ihre Datenschutzstandards erhöhen. Für Unternehmen besteht diesbezüglich zunächst kein Handlungsbedarf, bis die genauen Vorgaben bekannt sind.

Am 13. Dezember 2022 hat die EU Kommission den Prozess zur Annahme des Angemessenheitsbeschlusses eingeleitet. Sollte der Angemessenheitsbeschluss der Kommission erlassen werden, gelten die USA im Sinne der DSGVO nicht mehr als unsicherer Drittstaat. Datentransfers zwischen der EU und den USA wären dann ohne die Standarddatenschutzklauseln möglich, was einer der Aspekte ist, der beachtet werden muss.

Wie ist die aktuelle Lage rund um den EU-US-Datenaustausch und das DPF zu bewerten, und wie ist die Zukunft von Datentransfers in Drittstaaten einzuschätzen?

Die aktuelle Lage rund um den EU-US-Datenaustausch und das DPF ist ungewiss. Es bleibt abzuwarten, ob und wann die Kommission einen Angemessenheitsbeschluss zugunsten der USA erlassen wird. Beide Parteien sind sichtlich um einen Konsens bemüht. Nichtsdestotrotz besteht gleichzeitig die Gefahr, dass die Bemühungen in einem “Schrems III”-Urteil des EuGH münden und nochmals massiv nachgebessert werden müssen.

Eine große Herausforderung für US-Unternehmen wird es sein, die datenschutzrechtlichen Standards der EU umzusetzen. Der durchschnittliche US-Dienstleister ist aktuell weit von den datenschutzrechtlichen Anforderungen der DSGVO entfernt. Es wird einen großen Handlungsbedarf auf diesem Gebiet geben. Grundsätzlich wurde jedoch durch den Präsidialerlass 14086 vom 7. Oktober (Executive Order) ein Schritt in die richtige Richtung gesetzt. Weitere Drittstaaten könnten dem Beispiel der USA folgen und eine Rechtsgrundlage zur Datenübermittlung schaffen.

Datenschutz automatisieren

Damit Sie sich und Ihr Unternehmen auf mögliche Änderungen beim DFA einstellen können, sollten Sie zunächst auf dem neuesten Stand bleiben bzw. kommen. Dies gilt nicht nur für externe Geschehnisse, sondern vor allem auch für die bisherigen Maßnahmen bei transatlantischen Datentransfers. Beispielsweise sollten Sie einen Überblick haben, welche Daten wie und wofür verarbeitet werden und mit wem und zu welchem Zweck diese geteilt werden. Ebenso sollen Sie wissen, ob, und wenn ja, welche Cookies auf Ihrer Webseite verwendet werden.

Eine Möglichkeit, die Sie nicht nur auf dem Laufenden hält, sondern dazu auch noch Ihren Datenschutz automatisiert, ist die Nutzung einer Plattform für Datenschutz. Diese kombiniert unter dem hybriden Ansatz „Datenschutz-as-a-Service“ persönliche Beratung mit automatisierten Prozessen. Mit der Datenschutz-Plattform von DataGuard behalten Sie den Überblick über offene und bereits abgeschlossene Datenverarbeitungsaktivitäten und kennen so immer den aktuellen Status Ihrer Compliance mit nationalen und internationalen Datenschutzgesetzen und -anforderungen.

Darüber hinaus können Sie Google Analytics mit dem richtigen Server-Side-Tracking auch einfach weiterverwenden – und zwar nachhaltig datenschutzkonform.

Die Tipps in diesem Artikel stammen von Inessa Meckler. Sie ist Juristin (Dipl. Jur.), CEO der IMB Consulting Corp. und zertifizierte Datenschutzbeauftragte bei DataGuard, wo vorwiegend Kunden aus den Bereichen Marketing, Werbung und PR sowie aus der Industrie und Fertigung berät. Darüber hinaus unterstützt sie die interne Rechtsabteilung als Juristin. Bereits während ihres Studiums hat sie sich vertieft mit den Bereichen Europarecht, Völkerrecht und Menschenrechtsschutz beschäftigt.

Biden unterschreibt Verordnung für Datenschutzabkommen. Wird sie halten? | Google Analytics legal weiternutzen – aber wie? | Data Privacy Framework: Was die Ablehnung der EU-Parlamentarier bedeutet | NOYB: Executive Order on US Surveillance unlikely to satisfy EU law 

Update: Im Juli 2023 genehmigte die EU-Kommission das neue EU-US-Datenschutzabkommen (DPF), das viele der Einschränkungen von Schrems II aufhebt und es für Organisationen wesentlich einfacher macht, personenbezogene Daten aus der EU in die USA zu übermitteln. Aller Voraussicht nach werden NGOs das neue Abkommen jedoch gerichtlich anfechten (mögliches “Schrems III”). Daher wird eine gewisse Rechtsunsicherheit bestehen bleiben, bis der Europäische Gerichtshofs (EuGH) in dieser Angelegenheit entscheidet. JENTIS Data Capture Platform ermöglicht zukunftssicheres, DSGVO-konformes Tracking, ungeachtet des Data Privacy Frameworks und möglicher Anfechtungen.