Die Österreichische Datenschutzbehörde hat in einer aktuellen Entscheidung (D155.027: 2021-0.586.257) festgestellt, dass Google Analytics (in alter Form) datenschutzwidrig ist, da für den Datentransfer in die USA kein ausreichendes Datenschutz-Niveau vorliegt.
Es ging um die Verwendung von Google Analytics auf der Webseite eines österreichischen Verlags im Jahr 2020.
Die Österreichische Datenschutzbehörde hat festgestellt, dass dies ein Verstoß gegen die DSGVO darstellt, da die USA kein ausreichendes Datenschutz-Niveau aufweisen:
"Der EuGH hat ausgesprochen, dass der EU-US Angemessenheitsbeschluss („Privacy Shield“) - ohne Aufrechterhaltung seiner Wirkung - ungültig ist (vgl. das Urteil vom 16. Juli 2020, C-311/18 Rz 201 f).
Die gegenständliche Datenübermittlung findet daher keine Deckung in Art. 45 DSGVO."
Auch ein Rückgriff auf die EU-Standardvertragsklauseln sei ausgeschlossen, wenn keine individuelle Prüfung erfolge:
"Wenn nun aber bereits der EU-US Angemessenheitsbeschluss aufgrund der Rechtslage in den USA für ungültig erklärt wurde, so kann fallbezogen nicht davon ausgegangen werden, dass der (bloße) Abschluss von SDK ein angemessenes Schutzniveau nach Art. 44 DSGVO für die gegenständliche Datenübermittlung gewährleistet.
Vor diesem Hintergrund hat der EuGH im angeführten Urteil vom 16. Juli 2020 auch festgehalten, dass „[...] Standarddatenschutzklauseln ihrer Natur nach keine Garantien bieten können, die über die vertragliche Verpflichtung, für die Einhaltung des unionsrechtlich verlangten Schutzniveaus zu sorgen, hinausgehen [...]“ und es „[...] je nach der in einem bestimmten Drittland gegebenen Lage erforderlich sein [kann], dass der Verantwortliche zusätzliche Maßnahmen ergreift, um die Einhaltung dieses Schutzniveaus zu gewährleisten“ (ebd. Rz 133).
Die gegenständliche Datenübermittlung kann daher nicht allein auf die zwischen den Beschwerdegegnern abgeschlossenen Standarddatenschutzklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO gestützt werden."
Anmerkung von RA Dr. Bahr:
Es bleibt abzuwarten, ob die Entscheidung der Behörde rechtskräftig wird oder ob sich hier ein gerichtlichen Verfahren anschließt.
Bei der Beurteilung der möglichen Konsequenzen ist es wichtig darauf hinzuweisen, dass hier Google Analytics in alter Form beurteilt wurde. Soll heißen: Vertragspartner war zum damaligen Zeitpunkt die Google LLC aus den USA.
Das ist heute aber nicht mehr Fall.
Denn Google hat vor einiger Zeit, nämlich zu Ende April 2021, die Vertragsparteien ausgetauscht, sodass nunmehr der Webseiten-Betreiber mit Google Ireland den Analytics-Vertrag schließt. Damit hat sich auch die US-Transfer-Problematik bis auf weiteres erledigt.
Insofern wäre es falsch zu behaupten, dass die Entscheidung den grundsätzlichen Einsatz des heutigen Google Analytics verbietet.
Es bleibt natürlich die Frage offen, inwieweit gewährleistet ist, dass Google Ireland keinerlei Daten an seinen Mutterkonzern in die USA transferiert.