Französische Aufsichtsbehörde CNIL untersagt Nutzung von „Google Analytics“

Aufsichtsbehörden

Die französische Aufsichtsbehörde CNIL hat heute ihre schon erwartete Entscheidung bzgl. des Einsatzes des Tools „Google Analytics“ durch den Betreiber einer Website in Frankreich veröffentlicht. Die Pressemitteilung findet sich hier: FR | EN

Welche Version von Google Analytics und welche Konfiguration den konkreten Fall betreffen, blieb leider offen. Denn da gibt es ja durchaus Unterschiede.

Untersagung der Nutzung von Google Analytics

Aus der Pressemitteilung kann man aber erahnen, dass es ein grundlegendes Problem mit der Datenverarbeitung in den USA gibt. Die betreffende Passage gebe ich hier mal ins Deutsche übersetzt wieder:

Die CNIL kommt zu dem Schluss, dass die Übermittlungen in die USA derzeit nicht ausreichend geregelt sind. Denn in Ermangelung eines Angemessenheitsbeschlusses (der feststellen würde, dass dieses Land ein ausreichendes Datenschutzniveau im Hinblick auf die DSGVO bietet) für Übermittlungen in die USA kann eine Datenübermittlung nur dann stattfinden, wenn insbesondere für diesen Datenfluss geeignete Garantien vorgesehen sind.

Die CNIL stellte jedoch fest, dass dies nicht der Fall war. Denn Google hat zwar zusätzliche Maßnahmen ergriffen, um die Datenübermittlung im Rahmen der Google Analytics-Funktion zu regeln, diese reichen jedoch nicht aus, um die Möglichkeit des Zugriffs von US-Geheimdiensten auf diese Daten auszuschließen.

Der betreffende Betreiber der Website hat jetzt einen Monat Zeit, den Einsatz von Google Analytics einzustellen bzw. ein Webanalyse-Tool einzusetzen, mit dem keine personenbezogenen Daten in die USA übertragen werden.

Offene Fragen

Die Pressemitteilung lässt viele Detailfragen offen:

  • Soll jetzt also allein schon eine Übertragung der IP-Adresse als personenbeziehbares Datum ausreichen, um zu dem Ergebnis zu kommen, dass ein nicht angemessenes Schutzniveau im konkreten Fall besteht?
  • Welche Verträge zwischen Websitebetreiber und Google sind Grundlage für die Entscheidung der CNIL?
  • Welche EU-Standardvertragsklauseln sind bei der Bewertung berücksichtigt worden?
  • Ist eine Einwilligung nach Art. 49 Abs. 1 lit. a) DSGVO als rechtliche Grundlage für die Datenübermittlung nicht denkbar?
  • Welche Version von Google Analytics und welche Konfiguration wurde verwendet (s.o.)?

Ich würde mir wirklich sehr wünschen, dass diese Entscheidungen der Aufsichtsbehörden Gegenstand einer gerichtlichen Überprüfung werden. Das würde uns allen helfen, hier mehr Klarheit im Hinblick auf die momentan schwierige Beurteilung von Drittlandsverarbeitungen zu bekommen.

Deutsche Übersetzung der Pressemitteilung der CNIL

Ich habe eine deutsche Übersetzung der Pressemitteilung mithilfe von Deepl erstellt:

Google Analytics ermöglicht es, Statistiken über die Nutzung einer Website zu erstellen. Die CNIL, die von der Vereinigung NOYB mit Beschwerden befasst wurde, hat in Zusammenarbeit mit ihren europäischen Kollegen die Bedingungen analysiert, unter denen die mithilfe dieses Tools gesammelten Daten in die USA übertragen werden. Die CNIL ist der Ansicht, dass diese Übertragungen rechtswidrig sind, und verpflichtet einen französischen Websitebetreiber, die DSGVO einzuhalten und dieses Tool unter den derzeitigen Bedingungen gegebenenfalls nicht mehr zu verwenden.

Google Analytics ist eine Funktion, die von Websitebetreibern wie z. B. Online-Shops integriert werden kann, um die Nutzung durch Internetnutzer zu messen. In diesem Rahmen wird jedem Besucher eine eindeutige Kennung zugewiesen. Diese Kennung (die ein personenbezogenes Datum darstellt) und die damit verbundenen Daten werden von Google in die USA übertragen.

Die CNIL erhielt von der Vereinigung NOYB mehrere Beschwerden über die Übertragung von Daten, die bei Besuchen von Websites mit Google Analytics gesammelt wurden, in die Vereinigten Staaten. Insgesamt wurden von NOYB in den 27 EU-Mitgliedstaaten und den drei anderen Staaten des Europäischen Wirtschaftsraums (EWR) 101 Beschwerden gegen 101 für die Datenverarbeitung Verantwortliche eingereicht, die angeblich personenbezogene Daten in die USA übermitteln.

Eine Analyse auf europäischer Ebene

Die CNIL hat in Zusammenarbeit mit ihren europäischen Kollegen analysiert, unter welchen Bedingungen die im Rahmen der Nutzung von Google Analytics gesammelten Daten in die USA übermittelt werden und welche Risiken für die betroffenen Personen bestehen. Dabei ging es insbesondere darum, gemeinsam die Konsequenzen aus dem “Schrems II”-Urteil des Gerichtshofs der Europäischen Union (EuGH) vom 16. Juli 2020 zu ziehen, mit dem das Privacy Shield für ungültig erklärt wurde. Der EuGH hatte auf das Risiko hingewiesen, dass die US-Geheimdienste auf in die USA übermittelte personenbezogene Daten zugreifen könnten, wenn die Übermittlungen nicht angemessen geregelt sind.

Die Folgen auf französischer Ebene

Die CNIL kommt zu dem Schluss, dass die Übermittlungen in die USA derzeit nicht ausreichend geregelt sind. Denn in Ermangelung eines Angemessenheitsbeschlusses (der feststellen würde, dass dieses Land ein ausreichendes Datenschutzniveau im Hinblick auf die DSGVO bietet) für Übermittlungen in die USA kann eine Datenübermittlung nur dann stattfinden, wenn insbesondere für diesen Datenfluss geeignete Garantien vorgesehen sind.

Die CNIL stellte jedoch fest, dass dies nicht der Fall war. Denn Google hat zwar zusätzliche Maßnahmen ergriffen, um die Datenübermittlung im Rahmen der Google Analytics-Funktion zu regeln, diese reichen jedoch nicht aus, um die Möglichkeit des Zugriffs von US-Geheimdiensten auf diese Daten auszuschließen.

Es besteht also ein Risiko für die Nutzer der französischen Website, die auf dieses Tool zurückgreifen und deren Daten exportiert werden.

Die CNIL stellt fest, dass die Daten der Internetnutzer auf diese Weise unter Verstoß gegen die Artikel 44 ff. der DSGVO in die USA übermittelt werden. Sie fordert den Websitebetreiber daher auf, diese Verarbeitungen mit der DSGVO in Einklang zu bringen, falls nötig, indem er die Google Analytics-Funktionalität (unter den derzeitigen Bedingungen) nicht mehr nutzt oder ein Tool verwendet, das keine Übermittlung außerhalb der EU zur Folge hat. Der betreffende Websitebetreiber hat einen Monat Zeit, um die Anforderungen zu erfüllen.

In Bezug auf Dienste zur Messung und Analyse des Publikums einer Website empfiehlt die CNIL, dass diese Tools nur zur Erstellung anonymer statistischer Daten verwendet werden sollten, was eine Befreiung von der Einwilligungspflicht ermöglicht, wenn der für die Verarbeitung Verantwortliche sicherstellt, dass keine illegalen Transfers stattfinden. Die CNIL hat übrigens ein Bewertungsprogramm gestartet, um festzustellen, welche Lösungen von der Zustimmungspflicht befreit sind.

Weitere Abmahnverfahren wurden von der CNIL gegen Websitebetreiber eingeleitet, die Google Analytics verwenden.

Die Untersuchungen der CNIL und ihrer Kollegen erstrecken sich auch auf andere Tools, die von Websites verwendet werden und zu einer Übermittlung von Daten europäischer Internetnutzer in die USA führen. Diesbezügliche Korrekturmaßnahmen könnten in Kürze verabschiedet werden.

Stephan Hansen-Oest

Ich bin Rechtsanwalt & Fachanwalt für IT-Recht. Auch wenn ich mich seit 1995 mit Datenschutzrecht beschäftige, bin ich sicher kein Datenschutz-Guru. Mein Ziel ist es, Menschen dabei zu helfen, den Datenschutz in Unternehmen einfach besser zu machen. Und ich freue mich über jeden, der meinen Newsletter abonniert. Wenn du unbedingt noch mehr zu mir wissen möchtest, kannst du dir mein Profil ansehen. Und wenn du Lust hast, am Datenschutz-Coaching teilzunehmen findest du hier mehr Informationen.