Kanzlei Dr. Bahr
Navigation
Kategorie: Onlinerecht

Datenschutzbehörde Frankreich: Verwendung von Google Analytics (in alter Form) ist datenschutzwidrig

Die Französische Datenschutzbehörde CNIL erklärt in einer aktuellen Pressemitteilung, dass Google Analytics (in alter Form) datenschutzwidrig ist, da für den Datentransfer in die USA kein ausreichendes Datenschutz-Niveau vorliegt.

Es ging um die Verwendung von Google Analytics  auf der Webseite eines französischen Anbieters im Jahr 2020.

Die Franzosen stellen nun fest, dass der damals erfolgte US-Transfer unerlaubt erfolgte, denn es seien keine ausreichenden Schutzmaßnahmen durch den Anbieter ergriffen worden:

"The CNIL concludes that transfers to the United States are currently not sufficiently regulated. Indeed, in the absence of an adequacy decision (which would establish that this country offers a sufficient level of data protection with regard to the GDPR) concerning transfers to the United States, the transfer of data can only take place if appropriate guarantees are provided for this flow in particular.

However, the CNIL found that this was not the case. Indeed, although Google has adopted additional measures to regulate data transfers in the context of the Google Analytics functionality, these are not sufficient to exclude the accessibility of this data for US intelligence services.

There is therefore a risk for French website users who use this service and whose data is exported."

Verletzt sei insbesondere Art. 44 DSGVO, der vorschreibe, dass ein Datentransfer in ein Drittland nur dann erfolgen dürfe, wenn für ein ausreichendes Datenschutzniveau gesorgt sei:

"The CNIL notes that the data of Internet users is thus transferred to the United States in violation of Articles 44 et seq. of the GDPR. The CNIL therefore ordered to the website manager to bring this processing into compliance with the GDPR, if necessary by ceasing to use the Google Analytics functionality (under the current conditions) or by using a tool that does not involve a transfer outside the EU. The website operator in question has one month to comply.

Regarding website audience measurement and analysis services, the CNIL recommends that these tools should only be used to produce anonymous statistical data, thus allowing for an exemption from consent if the data controller ensures that there are no illegal transfers. The CNIL has launched an evaluation programme to determine which solutions are exempt from consent.

The CNIL has issued other orders to comply to website operators using Google Analytics.

The investigation by the CNIL and its counterparts also extends to other tools used by sites that result in the transfer of data of European Internet users to the United States. Corrective measures in this respect may be adopted in the near future."

Anmerkung von RA Dr. Bahr:
Es bleibt abzuwarten, ob die Entscheidung der Behörde rechtskräftig wird oder ob sich hier ein gerichtlichen Verfahren anschließt.

Erst vor kurzem hatte die Österreichische Datenschutzbehörde identisch entschieden, vgl. unsere Kanzlei-News v. 13.01.2022.

Bei der Beurteilung der möglichen Konsequenzen ist es wichtig darauf hinzuweisen, dass hier Google Analytics  in alter Form beurteilt wurde. Soll heißen: Vertragspartner war zum damaligen Zeitpunkt die Google LLC  aus den USA.

Das ist heute aber nicht mehr Fall. Denn Google hat vor einiger Zeit, nämlich zu Ende April 2021, die Vertragsparteien ausgetauscht, sodass nunmehr der Webseiten-Betreiber mit Google Ireland  den Analytics-Vertrag schließt. Damit hat sich auch die US-Transfer-Problematik bis auf weiteres erledigt.

Insofern wäre es falsch zu behaupten, dass die Entscheidung den grundsätzlichen Einsatz des heutigen Google Analytics  verbietet.

Es bleibt natürlich die Frage offen, inwieweit gewährleistet ist, dass Google Ireland  keinerlei Daten an seinen Mutterkonzern in die USA transferiert.

Rechts-News durch­suchen

07. November 2024
Scorewerte wie der SCHUFA-Basisscore gelten als Meinungsäußerungen und unterliegen daher nicht dem DSGVO-Recht auf Berichtigung nach Art. 16 DSGVO.
ganzen Text lesen
06. November 2024
Ein wiederholter und umfangreicher Auskunftsanspruch nach Art. 15 DSGVO ist nicht automatisch rechtsmissbräuchlich, auch wenn er eine spätere Klage…
ganzen Text lesen
05. November 2024
Die Weitergabe von Eigentümerdaten (Name und Anschrift) aus dem Liegenschaftskataster an Kaufinteressenten ist erlaubt. Das Geburtsdatum darf jedoch…
ganzen Text lesen
04. November 2024
Die SCHUFA darf Negativeinträge mindestens drei Jahre speichern, da dies der Einschätzung zur Kreditwürdigkeitseinschätzung dient.
ganzen Text lesen

Rechts-News durchsuchen