Bereits im Januar geriet das juristische Fundament des Statistikdienstes Google Analytics EU-weit ins Wanken. Nachdem die österreichische Datenschutzbehörde festgestellt hat, dass die Verwendung von Google Analytics auf Websites in Europa nicht mit der Datenschutz-Grundverordnung vereinbar ist, warnt nun auch die niederländische Datenschutzbehörde, dass der Einsatz von Google Analytics möglicherweise bald nicht mehr erlaubt ist.
Am 22.12.2021 wurde die Entscheidung der österreichischen Datenschutzbehörde (DSB) bezüglich der Musterbeschwerde von noyb bekannt. Diese stufte die Übermittlung personenbezogener Daten in die USA aufgrund der Nutzung des Trackingtools Google Analytics auf einer österreichischen Website als nicht DSGVO-konform und damit als Datenschutzverstoß ein.
Insbesondere vor dem Hintergrund, dass Google als Anbieter elektronischer Kommunikationsdienste nach US-amerikanischem Recht der Überwachung durch die US-Nachrichtendienste unterliegt, ist problematisch. Aber auch die in der DSGVO angeführten Standardvertragsklauseln zur Absicherung der Datenübermittlung reichten dem DSB nicht aus, ein angemessenes Datenschutzniveau zu gewährleisten. Alle von Google in dem Zusammenhang ergriffenen Maßnahmen, wie z. B. Verschlüsselung der Daten in den Datenzentren, böten keinen hinreichenden Schutz, da auf Anfrage der US-Behörden die Schlüssel zur Entschlüsselung der Daten von Google herausgegeben werden müssen.
Aufgrund der Ereignisse in Österreich überarbeitete die niederländische Behörde für persönliche Daten (Autoriteit Persoonsgegevens – AP) ihre eigene Anleitung zur datenschutzfreundlichen Einrichtung von Google Analytics und versah sie gleichzeitig mit dem Hinweis, dass Google Analytics in der EU bald verboten sein könne. Weiterhin teilte sie mit aktuell ebenfalls zwei Beschwerden über die Verwendung von Google Analytics zu untersuchen, deren Ergebnis sie Anfang 2022 bekannt geben möchte.
Die Einzelfallentscheidung des DSB ist zwar nicht so ohne Weiteres auf andere Sachverhalte übertragbar, zeigt jedoch die grundsätzlichen Problematiken bei der Nutzung von Google Analytics auf und dürfte wegweisenden Charakter haben.
Aufgrund des aktuellen Beanstandungsrisikos bei der Übermittlung personenbezogener Daten in Drittländer wie den USA sollten Verantwortliche alternative Trackingtools in Betracht ziehen. Für das reine Besuchertracking existieren bereits eine Reihe von Produkten, die ohne eine Datenübermittlung in Drittländer auskommen und insgesamt als datenschutzfreundlicher gelten.
Wie sich das Ganze weiter entwickeln wird und welche Entscheidungen andere nationale Datenschutzbehörden fällen, bleibt abzuwarten.