Funktion von Google Analytics
Google Analytics ist das beliebte und weitverbreitete Web-Tool von Google. Das Tool wird verwendet, um den Datenverkehr einer Webseite zu analysieren. Es verschafft Einblicke in Echtzeit über die Webseiten-Aktivitäten wie z.B. die Verweildauer, die Anzahl von Seiten pro Sitzungsdauer oder die Besucheranzahl. Dies gibt unter anderem Aufschluss darüber, wie, wie viel, wie lange und von wem eine Webseite besucht wird. Diese Daten zeigen den Webseitenbetreibern auf, wo die Schwachstellen und Stärken ihrer Webseite liegen. Aufgrund dessen können die Webseitenbetreiber ihre Webseite optimieren.
Was sind die datenschutzrechtlichen Probleme bei der Nutzung von Google Analytics?
In der Schrems II Entscheidung (2020) des EuGHs wurde das Privacy Shield für ungültig erklärt, da die US-Gesetzgebung nicht das angemessene Schutzniveau bietet. Das Privacy Shield war einer der meistverwendeten Mechanismen personenbezogene Daten von der EU in die USA zu übertragen. Der Entscheid des EuGHs hatte zudem einen Einfluss auf die SCCs, wodurch für die Gültigkeit der SCCs nun zusätzliche Voraussetzungen zu erfüllen sind.
Kurz nach diesem Entscheid wurden 101 Beschwerden gegen EWR-Webseiten, welche Google Analytics oder Facebook Connect nutzten und personenbezogene Daten in die USA transferierten, durch die Non-Profit-Organisation NOYB eingereicht. Mehrere europäische Datenschutzbehörden beschäftigen sich derzeit mit diesen Fällen. Unter anderem haben die österreichische Datenschutzbehörde wie auch die französische Datenschutzbehörde (CNIL) bereits Urteile gegen Webseitenbetreiber erlassen, in denen sie die Verwendung von Google Analytics als nicht DSGVO-konform betrachten. Es drängt sich daher die Frage auf, ob der Einsatz von Google Analytics datenschutzkonform sei.
Wie können Analysetools datenschutzkonform verwendet werden?
Es ist wichtig vorwegzunehmen, dass Google Analytics in ganz unterschiedlicher Weise implementiert werden kann und dies Auswirkungen auf die Datenschutzkonformität haben kann. Kürzlich hat die CNIL einen Beitrag herausgegeben, der eine datenschutzkonforme Verwendung von Google Analytics unter gewissen Umständen ermöglicht. Als mögliche Lösung wurde der Einsatz eines Proxy-Servers vorgeschlagen, wodurch keine direkte Verbindung zwischen dem Endgerät des Internetnutzers und den Servern von Google Analytics besteht. Es sind dabei jedoch eine Reihe von zusätzlichen Kriterien zu beachten.
Neben der vom CNIL vorgeschlagenen Verwendung eines Proxy-Servers, kann auch die explizite Einwilligung für den Einsatz von Google Analytics in Betracht gezogen werden. Folgendes ist dabei insbesondere zu betrachten: Für einen Datentransfer in ein Drittland besteht die Möglichkeit, eine explizite Einwilligung des Datensubjekts einzuholen. Für den Einsatz von Google Analytics bedeutet dies, dass zusätzlich zur Einwilligung betreffend den Einsatz von Google Analytics auch von jedem Nutzer eine explizite Einwilligung für den Transfer in die USA sowie zur Möglichkeit, dass diese Daten nach US-Recht rechtmässig durch ein Staatsorgan zugänglich sein können, gegeben wird. Wichtig ist dabei eine umfassende und klare Informationsbereitstellung, so dass eine gültige Einwilligung gegeben werden kann.
Bestehen seitens der Webseitenbetreibern Unsicherheiten in Bezug auf die Einwilligung als Grundlage für den Transfer von personenbezogenen Daten, kann als weitere Alternative auf europäische Analysetools zurückgegriffen werden. Es bestehen bereits verschiedene europäische Analysetools, bei denen die Datenspeicherung in der EU erfolgt.
Wie weiter?
Aufgrund der noch zahlreichen hängigen Verfahren in Bezug auf Google Analytics ist es zurzeit schwierig abzuschätzen inwieweit sich Google Analytics als datenschutzkonform erweisen wird. Es wird sich zeigen, ob es allenfalls sinnvoller ist, auf eine europäische Alternativlösung zurückzugreifen, um nicht Gefahr zu laufen, Sanktionen auferlegt zu bekommen.
Das Datenschutz-Team von PwC kann Ihr Unternehmen bei der Anpassung von Datenschutzerklärungen unterstützen. Zudem können wir Ihnen gleichwertige europäische Alternativlösungen aufzeigen.
#social#
Kontaktieren Sie uns
Lorena Rota
Manager, MLaw, Data Privacy & Security Healthcare, PwC Switzerland
Tel.: +41 58 792 2750