Die Französische Datenschutzbehörde CNIL erklärt in einer aktuellen Pressemitteilung, dass Google Analytics (in alter Form) datenschutzwidrig ist, da für den Datentransfer in die USA kein ausreichendes Datenschutz-Niveau vorliegt.
Es ging um die Verwendung von Google Analytics auf der Webseite eines französischen Anbieters im Jahr 2020.
Die Franzosen stellen nun fest, dass der damals erfolgte US-Transfer unerlaubt erfolgte, denn es seien keine ausreichenden Schutzmaßnahmen durch den Anbieter ergriffen worden:
"The CNIL concludes that transfers to the United States are currently not sufficiently regulated. Indeed, in the absence of an adequacy decision (which would establish that this country offers a sufficient level of data protection with regard to the GDPR) concerning transfers to the United States, the transfer of data can only take place if appropriate guarantees are provided for this flow in particular.
However, the CNIL found that this was not the case. Indeed, although Google has adopted additional measures to regulate data transfers in the context of the Google Analytics functionality, these are not sufficient to exclude the accessibility of this data for US intelligence services.
There is therefore a risk for French website users who use this service and whose data is exported."
Verletzt sei insbesondere Art. 44 DSGVO, der vorschreibe, dass ein Datentransfer in ein Drittland nur dann erfolgen dürfe, wenn für ein ausreichendes Datenschutzniveau gesorgt sei:
"The CNIL notes that the data of Internet users is thus transferred to the United States in violation of Articles 44 et seq. of the GDPR. The CNIL therefore ordered to the website manager to bring this processing into compliance with the GDPR, if necessary by ceasing to use the Google Analytics functionality (under the current conditions) or by using a tool that does not involve a transfer outside the EU. The website operator in question has one month to comply.
Regarding website audience measurement and analysis services, the CNIL recommends that these tools should only be used to produce anonymous statistical data, thus allowing for an exemption from consent if the data controller ensures that there are no illegal transfers. The CNIL has launched an evaluation programme to determine which solutions are exempt from consent.
The CNIL has issued other orders to comply to website operators using Google Analytics.
The investigation by the CNIL and its counterparts also extends to other tools used by sites that result in the transfer of data of European Internet users to the United States. Corrective measures in this respect may be adopted in the near future."
Anmerkung von RA Dr. Bahr:
Es bleibt abzuwarten, ob die Entscheidung der Behörde rechtskräftig wird oder ob sich hier ein gerichtlichen Verfahren anschließt.
Erst vor kurzem hatte die Österreichische Datenschutzbehörde identisch entschieden, vgl. unsere Kanzlei-News v. 13.01.2022.
Bei der Beurteilung der möglichen Konsequenzen ist es wichtig darauf hinzuweisen, dass hier Google Analytics in alter Form beurteilt wurde. Soll heißen: Vertragspartner war zum damaligen Zeitpunkt die Google LLC aus den USA.
Das ist heute aber nicht mehr Fall. Denn Google hat vor einiger Zeit, nämlich zu Ende April 2021, die Vertragsparteien ausgetauscht, sodass nunmehr der Webseiten-Betreiber mit Google Ireland den Analytics-Vertrag schließt. Damit hat sich auch die US-Transfer-Problematik bis auf weiteres erledigt.
Insofern wäre es falsch zu behaupten, dass die Entscheidung den grundsätzlichen Einsatz des heutigen Google Analytics verbietet.
Es bleibt natürlich die Frage offen, inwieweit gewährleistet ist, dass Google Ireland keinerlei Daten an seinen Mutterkonzern in die USA transferiert.