Die Schwedische Datenschutzaufsichtsbehörde – Integritetsskydds Myndigheten (IMY) – hat insgesamt vier Unternehmen im Zusammenhang mit deren Nutzung des Webanalyse-Tools Google Analytics überprüft. Ausgangspunkt waren entsprechende Beschwerden der Organisation None of Your Business (NOYB). Geprüft wurden die Unternehmen CDON, Coop, Dagens Industri und Tele2. Bei allen Unternehmen fand im Rahmen der Nutzung von Google Analytics eine Übertragung personenbezogener Daten in die USA statt. Gegen zwei der Unternehmen wurden daraufhin entsprechende Bußgelder verhängt. So beliefen sich die Verwaltungsstrafen bei Tele2 auf 12 Millionen Schwedische Kronen (SEK) und bei CDON auf 300.000 SEK. Tele2 hatte zwischenzeitlich die Nutzung des Dienstes eingestellt. Die drei weiteren Unternehmen wurden durch IMY angewiesen, ebenfalls auf die Nutzung zu verzichten.
Zum Hintergrund
Bei der Nutzung von Google Analytics werden personenbezogene Daten in die USA übertragen, welche zum Zeitpunkt der Entscheidung nicht als sicheres Drittland im Sinne der DSGVO galten. Die von den Unternehmen getroffenen technischen Sicherheitsmaßnahmen reichten der IMY demnach nicht aus, um das innerhalb der EU geforderte Schutzniveau sicherzustellen. Alle Unternehmen stützten die Datenübertragung auf die DSGVO-Standardvertragklauseln für internationale Datentransfers. Zusätzliche von Google und den Unternehmen selbst implementierte technische Sicherheitsmaßnahmen, welche einen Zugriff auf die personenbezogenen Daten durch US-Geheimdienste verhindern könnten, wurden als nicht ausreichend angesehen.
Mögliche Auswirkungen des TADPF auf die Entscheidung
Nun könnte man annehmen, dass die Entscheidung nach Inkrafttreten des neuen EU-US Data Privacy Framework (TADPF) nicht weiter Bestand haben könnte – der Entscheidung also ihre Grundlage entzogen wird und Google Analytics problemlos weitergenutzt werden kann?
Zumindest zeitweilig ist das der Fall – langfristig besteht aber keine Sicherheit. Denn wir durften zwischenzeitlich ja bereits lernen, dass auch trotz des neuen Abkommens der Streit um die Datenübermittlung in die USA weiter geht. Ein „Schrems-III-Verfahren“ steckt in den Startlöchern. Außerdem ist es nach wie vor kritisch zu sehen, dass Google die Analysedaten zu eigenenZwecken weiterverarbeitet, wozu höchstwahrscheinlich eine Einwilligung der betroffenen Nutzer eingeholt werden muss. Vor diesem Hintergrund empfehlen unsere Experten weiter, Vorsicht walten zu lassen und wenn möglich erst einmal Google Analytics noch durch einen EU-Anbieter mit EU-Hosting und einem stärkeren Bekenntnis zur Datensparsamkeit zu ersetzen. Weitere Maßnahmen erläutern Ihnen gerne unsere Datenschutzexperten.