CNIL erklärt Nutzung von Google Analytics für rechtswidrig

Die französische Datenschutzaufsichtsbehörde CNIL hält den Einsatz von Google Analytics als nicht mit der Datenschutz-Grundverordnung (DSGVO) vereinbar.

Google Analytics ermöglicht es dem Betreiber einer Webseite, Statistiken über die Nutzung seiner Webseite zu erstellen, indem jedem Besucher der Webseite eine eindeutige Kennung zugewiesen wird. Diese Kennung, die nach Ansicht der Aufsichtsbehörden ein personenbezogenes Datum darstellt, und die damit verbundenen Daten werden bei der Nutzung von Google Analytics zusätzlich in die USA übertragen.

Der von dem österreichischen Juristen Max Schrems gegründete Datenschutzverein Noyb reichte hinsichtlich der Nutzung von Google Analytics 101 Musterbeschwerden bei den Datenschutzaufsichtsbehörden der EU-Staaten ein. Die CNIL hat sich nunmehr mit diesen Beschwerden befasst und in Zusammenarbeit mit ihren europäischen Kollegen die Bedingungen analysiert, unter denen die mithilfe von Google Analytics gesammelten Daten in die USA übertragen werden. Dabei kam die CNIL zu der Auffassung, dass diese Übertragungen rechtswidrig sind, und hat einen französischen Webseitenbetreiber dazu verpflichtet, Google Analytics zumindest unter den derzeitigen Bedingungen nicht mehr zu verwenden, da die Übermittlungen in die USA derzeit nicht ausreichend geregelt seien. Denn in Ermangelung eines Angemessenheitsbeschlusses (der feststellen würde, dass dieses Land ein ausreichendes Datenschutzniveau im Hinblick auf die DSGVO bietet) für Übermittlungen in die USA könne eine Datenübermittlung nur dann stattfinden, wenn insbesondere für diesen Datenfluss geeignete Garantien vorgesehen sind. Dies sei derzeit nicht der Fall. Google habe zwar zusätzliche Maßnahmen ergriffen, um die Datenübermittlung im Rahmen der Google Analytics-Funktion zu regeln, diese würden jedoch nicht ausreichen, um die Möglichkeit des Zugriffs von US-Geheimdiensten auf diese Daten auszuschließen. Es bestehe somit ein Risiko für die Nutzer von Webseite, die auf Google Analytics zurückgreifen und deren Daten exportiert werden.

Die CNIL kommt zu dem Schluss, dass die Daten der Internetnutzer auf diese Weise unter Verstoß gegen die Art. 44 ff. der DSGVO in die USA übermittelt werden. Sie fordert den betreffenden französischen Webseitenbetreiber daher auf, diese Verarbeitungen mit der DSGVO in Einklang zu bringen, falls nötig, indem er die Google Analytics-Funktionalität (unter den derzeitigen Bedingungen) nicht mehr nutzt oder ein Tool verwendet, das keine Übermittlung außerhalb der EU zur Folge hat. Der betreffende Websitebetreiber hat einen Monat Zeit erhalten, um die Anforderungen zu erfüllen.

In Bezug auf Dienste zur Messung und Analyse des Besuchers einer Webseite empfiehlt die CNIL, dass diese Tools nur zur Erstellung anonymer statistischer Daten verwendet werden sollten, was eine Befreiung von der Einwilligungspflicht ermöglicht, wenn der für die Verarbeitung Verantwortliche sicherstellt, dass keine illegalen Transfers stattfinden.

Bereits zwei Wochen von CNIL hatte die österreichische Datenschutzaufsichtsbehörde entschieden, dass die kontinuierliche Nutzung von Google Analytics gegen die DSGVO verstoße. Auch die niederländische Datenschutzbehörde hat bereits einen Beschluss gegen Google Analytics angekündigt. Es ist sicherlich nur eine Frage der Zeit, bis sich die anderen europäischen Datenschutzaufsichtsbehörden dieser Ansicht anschließen.

Fundstelle: Pressemitteilung der CNIL vom 10. Februar 2022 – abrufbar im Internet unter https://www.cnil.fr/fr/utilisation-de-google-analytics-et-transferts-de-donnees-vers-les-etats-unis-la-cnil-met-en-demeure