Eilmeldung: Die französische Datenschutzbehörde CNIL (Commission nationale de l’informatique et des libertés) ist zu dem Schluss gekommen, dass die Verwendung von Google Analytics gemäß der DSGVO illegal ist. Die CNIL hat damit begonnen, förmliche Mitteilungen an Website-Manager herauszugeben, die Google Analytics verwenden.
Dies folgt auf die Entscheidung der österreichischen Datenschutzbehörde vom Januar 2022, die Verwendung von Google Analytics gemäß der DSGVO für illegal zu erklären .
„Es ist interessant zu sehen, dass die verschiedenen europäischen Datenschutzbehörden alle zum gleichen Schluss kommen: Die Verwendung von Google Analytics ist illegal. Es gibt eine europäische Task Force und wir gehen davon aus, dass diese Aktion koordiniert wird und andere Behörden ähnlich entscheiden werden.“
Über die Entscheidung der CNIL
In diesem Musterfall hat die CNIL festgestellt, dass die Verwendung von Google Analytics durch eine unbenannte Website nicht mit der DSGVO konform ist, weil sie gegen Artikel 44 verstoßen hat, der die Übermittlung personenbezogener Daten außerhalb der EU verbietet, es sei denn, das Empfängerland kann einen angemessenen Datenschutz nachweisen.
Unter der DSGVO umfassen personenbezogene Daten eine Reihe von Identifikatoren, darunter E-Mail-Adresse, Rasse, Geschlecht, Telefonnummer, um nur einige zu nennen, aber die weniger offensichtlichen Identifikatoren umfassen beispielsweise IP-Adressen oder Cookie-IDs.
Die Entscheidung der CNIL basierte auf der Tatsache, dass die USA aufgrund der US-Überwachungsgesetze kein ausreichendes Datenschutzniveau der DSGVO erfüllen. Daher führte die Verwendung von Google Analytics durch die unbenannte Website zu Risiken für ihre Website-Besucher, wenn ihre persönlichen Daten in die USA exportiert wurden.
Zum Zeitpunkt des Verfassens dieses Artikels ist nicht bekannt, ob die CNIL eine Geldstrafe für den Verstoß gegen die DSGVO verhängt hat. Der Website-Manager der ungenannten Website wurde jedoch von der CNIL angewiesen, die DSGVO einzuhalten und gegebenenfalls die Verwendung von Google Analytics unter den aktuellen Bedingungen einzustellen.
Sofortiges Handeln für Google Analytics-Nutzer erforderlich
Die CNIL und andere in der EU ansässige Datenschutzbehörden haben ihre Haltung zu Google Analytics deutlich gemacht, und Untätigkeit wird wahrscheinlich zu Bußgeldern führen, die gemäß der DSGVO bis zu 20 Millionen Euro oder 4 % des weltweiten Umsatzes der Organisation betragen können – je nachdem, welcher Betrag höher ist .
Basierend auf der förmlichen Mitteilung der CNIL an den Website-Manager des Musterfalls sollten Google Analytics-Nutzer unverzüglich Maßnahmen ergreifen, um die Möglichkeit einer Übertragung personenbezogener Daten in die USA zu beseitigen, oder eine Google Analytics-Alternative finden, die DSGVO-konform ist.
