Schrems II lösen

Privatsphäre für die Menschheit

Mit der Einführung der Datenschutz-Grundverordnung (DSGVO) hat die EU ihre Position zum Datenschutz gestärkt und formalisiert. Die DSGVO unterstreicht, dass das Recht auf den Schutz personenbezogener Daten ein grundlegendes Menschenrecht ist und die Verarbeitung solcher Daten so gestaltet werden sollte, dass sie diesem Recht dient.

Überwachung für die nationale Sicherheit

Die USA stellen die nationale Sicherheit stärker in den Vordergrund. Durch FISA und den CLOUD-Act können nationale Sicherheitsbehörden auf sämtliche Daten zugreifen, die von amerikanischen Unternehmen gespeichert werden – unabhängig davon, wo sich die Server weltweit befinden. Edward Snowden wird oft mit der Enthüllung dieser Praktiken in Verbindung gebracht.

Unternehmen ignorieren Änderungen. Max Schrems verklagt 101 von ihnen.

Einen Monat nach dem Fall des Privacy Shields haben die Unternehmen nichts am Marketing-Stack geändert. Amerikanische Tools wie Facebook- und Google-Produkte wurden (und werden immer noch) wie zuvor eingesetzt und stützen sich auf veraltete Datenübertragungsmechanismen. Um gegen diese vorsätzliche Untätigkeit vorzugehen, verklagt Max Schrems 101 Unternehmen.

Google Analytics wurde in Österreich für nicht konform befunden.

Am 13.1.2022 veröffentlichte die österreichische Datenschutzbehörde ihren Bescheid über die Konformität der clientseitigen Standardimplementierung von Google Analytics. IP-Adressen und andere personenbezogene Daten wurden auf der Grundlage der Standard-SCCs von Google an die Google-Server übermittelt. Selbst mit der angeblichen “IP-Anonymisierung” reichten diese Maßnahmen nicht aus, um personenbezogene Daten vor einem möglichen Zugriff durch die US-Geheimdienste zu schützen.

Domino-Effekt: Europäische Datenschutzbehörden ziehen mit Empfehlungen/Urteilen nach.

Neben den niederländischen und dänischen Datenschutzbehörden empfiehlt auch die norwegische Datenschutzbehörde den Unternehmen, sich Alternativen zur standardmäßigen client-seitigen Google Analytics-Implementierung zu suchen. Sie fügen hinzu: “Wir wissen, dass auch andere europäische Datenaufsichtsbehörden weitere Entscheidungen zu Google Analytics treffen werden.” UPDATE: Wie vorhergesagt, kommt CNIL in Frankreich zu einer ähnlichen Entscheidung und fordert ein Unternehmen auf, innerhalb von 30 Tagen eine Lösung zu finden.

Internationaler Datentransfer – GA ist das erste Tool, aber auch andere sind davon betroffen.

Im österreichischen Fall wurde GA für nicht konform befunden, weil personenbezogene Daten in die USA gesendet und auf den Servern eines amerikanischen Unternehmens verarbeitet/gespeichert wurden. Es ist wichtig zu verstehen, dass es zwar noch kein Urteil für andere Tools gibt, diese aber ebenfalls betroffen sind und eine Lösung benötigen.