Die Folgen von Schrems II: Google Analytics & Google Fonts
Die Nutzung von Google-Analytics auf Webseiten steht spätestens seit dem Schrems II-Urteil des EuGH aus dem Sommer 2020 unter keinem guten Stern: Seit dem Wegfall des Privacy Shields gilt die USA nicht mehr als sicheres Drittland und eine Datenübermittlung dorthin ist datenschutzkonform in der Praxis nicht mehr umsetzbar.
Nun hat die österreichische Datenschutzaufsichtsbehörde im Januar diesen Jahres eine richtungsweisende Entscheidung über die Nutzung von Google Analytics getroffen. Nach Einschätzung der Behörde verstößt die Nutzung des Tools im vorliegenden Fall gegen die in der DSGVO definierten Datenschutzgrundsätze. Bei dem Einsatz von Google Analytics kommt es zu einer Verletzung der Übermittlungsgrundsätze nach Artikel 44 DSGVO.
Die angewandten Maßnahmen, die ein gleichwertiges Schutzniveau bei der Verarbeitung der personenbezogenen Daten außerhalb der EU sicherstellen sollen, werden hier als nicht ausreichend bewertet. Es wird auf die Empfehlungen des EDSA verwiesen, der seit dem Schrems II-Urteil die Prüfung der Rechtslage im Drittland fordert. Die Empfehlungen des EDSA finden Sie hier.
Dieses Thema ist somit endgültig in der Praxis angekommen. Und das nicht nur in Österreich. Auch die niederländische Datenschutzaufsichtsbehörde hat bereits angekündigt, bezüglich Google Analytics bald eine eigene Entscheidung veröffentlichen zu wollen. Frankreich war damit bereits schneller. Die französische Aufsichtsbehörde CNIL hat in einer Stellungnahme vom 10.02.2022 die Datenübermittlungen in die USA unter den derzeitigen Bedingungen als nicht sicher eingestuft.
Zum Thema Google Fonts hat das Landgericht München Anfang Februar ein Urteil gesprochen. In dem vorliegenden Fall ging es um die Art der Einbindung der Fonts auf der Webseite des Beklagten mit der Weiterleitung der dynamischen IP-Adresse (personenbezogenes Datum) des Webseitenbesuchers an Google (USA). Für diese Übermittlung muss eine Rechtsgrundlage vorliegen, die die Übermittlung legitimiert. Im vorliegenden Fall des Landgerichts lag keine Einwilligung des Betroffenen vor. Und auch die von vielen Webseitenbetreibern genannte Rechtsgrundlage des berechtigten Interesses (Art. 6 Abs. 1 lit. f DSGVO) wurde vom Landgericht nicht gesehen:
„Ein berechtigtes Interesse der Beklagten i.S.d. Art. 6 Abs. 1 f) DSGVO, wie von ihr behauptet, liegt nicht vor, denn Google Fonts kann durch die Beklagte auch genutzt werden, ohne dass beim Aufruf der Webseite eine Verbindung zu einem Google-Server hergestellt wird und eine Übertragung der IP-Adresse der Webseitennutzer an Google stattfindet." so das Landgericht.
Damit hat das Landgericht dem Kläger recht gegeben und darüber hinaus den Beklagten zusätzlich zur Zahlung eines Schadensersatzes verpflichtet.
Aus aktuellen Informationen geht hervor, dass die Aufsichtsbehörden zu diesen Themen sehr verstärkt Kontrollen von Webseiten durchgeführt haben und aktuell auch noch durchführen. Einige von den abgeschlossenen Verfahren haben bereits mit einem Bußgeldverfahren geendet.
Eure Sandra von Datenschutz Prinz
Quellen:
https://noyb.eu/de/oesterr-dsb-eu-us-datenuebermittlung-google-analytics-illegal
https://openjur.de/u/2384915.html
Um hier diese Inhalte zu sehen, stimmen Sie bitte zu, dass diese in die Webseite von https://www.datenschutz-prinz.de/ geladen werden.
