Die österreichische Datenschutzbehörde hat festgestellt, dass die Nutzung des Webanalyse-Dienstes Google Analytics aufgrund der Datenübermittlung in die USA als rechtswidrig anzusehen ist. Google verstößt nach Auffassung der Datenschutzbehörde insbesondere gegen die allgemeinen Grundsätze der Datenübertragung nach Art. 44 DSGVO. Auch die deutschen Aufsichtsbehörden äußern sich entsprechend. In den Niederlanden laufen ebenfalls zwei Verfahren, um diese Frage auf nationaler Ebene zu klären. Die Datenschutzbehörden warnen derzeit davor, dass der Statistikdienst Google Analytics bald nicht mehr erlaubt sein könnte. Der Grund hierfür ist, dass der Einsatz des Tools auf Webseiten in der Europäischen Union nicht mit der Datenschutz-Grundverordnung (DSGVO) vereinbar ist.
Kritik der Datenschützer
Der Webanalyse-Dienst Google Analytics steht aufgrund mehrerer Faktoren in der Kritik. Insbesondere die Speicherung sowie Übermittlung von vollständigen IP-Adressen an die USA wird von Datenschützern kritisiert. Zudem wird bemängelt, dass Google seine Nutzer nur unzureichend über die eigenen Datenschutzbestimmungen und die erhobenen Daten aufklärt. In der Konsequenz wurde der Statistikdienst als nicht datenschutzkonform eingestuft.
Insbesondere im Hinblick auf die Cookie-Urteile des EuGHs wurden bereits mehrfach Bußgeldverfahren im Zusammenhang mit Google Analytics eingeleitet. Hierbei ging es vorwiegend um die fehlende ausdrückliche Einwilligung von Nutzern. Mit einem Consent-Tool kann der Nutzer der Datenübertragung und Speicherung von Daten explizit zustimmen.
Warum Google Analytics verboten ist
Laut einem Teilbescheid der österreichischen Datenschutzbehörde GZ. D155.027 vom 22. Dezember 2021 ist die Verwendung Google Analytics als rechtswidrig anzusehen, da der Statistikdienst personenbezogene Daten erhebt und an Google überträgt. Nach US-Recht unterliegt das Unternehmen Google der Überwachung durch US-Geheimdienste. Dieser Umstand schließt die zuverlässige Gewährleistung eines angemessenen Schutzniveaus nach Art. 44 DSGVO aus. Einige Unternehmen setzten auf Standardvertragsklauseln, welche mit Google geschlossen wurden. Diese helfen jedoch nicht, wie der EuGH in seiner Entscheidung im Jahr 2020 zum „Privacy Shield“ (Schrems II) feststellte.
Entscheidend für die rechtliche Beurteilung der Verwendung Google Analytics ist die Möglichkeit, ob sich US-Geheimdienst die personenbezogenen Daten besorgen könnte und ergänzende Maßnahmen zur Einhaltung des Schutzniveaus nicht ausreichend möglich sein sollen.