Der Einsatz von Google Analytics in der EU könnte endgültig gegen die Datenschutzgrundverordnung (DSGVO) verstossen. Der Verein Noyb rund um Max Schrems hatte eine Musterbeschwerde bei der österreichischen Datenschutzbehörde (DSB) eingebracht.

© Viktor Hanacek, picjumbo.com

Nach diesem wegweisenden Urteil würde der Einsatz von GoogleAnalytics in europäischen Websites eine Verletzung der allgemeinen Grundsätze der Datenübermittlung gemäß Art. 44 DSGVO darstellen, da zumindest "eine einzigartige Nutzer-ID-Nummer, IP-Adresse und Browserparameter" an Google übermittelt werden, womit sich ein eindeutiges User-Profil samt verwendeter Geräte- bzw. Router-Adresse (IP) und Browser erstellen lässt. Da der Großteil aller Webseiten innerhalb der EU auf Google Analytics als Statistikprogramm setzt, hat das Urteil weitreichende Folgen.

Die Behörde argumentiert: mit Google abgeschlossene "Standardschutzklauseln" und andere bisher gesetzte Maßnahmen würden kein "angemessenes Schutzniveau" bieten, um die "Überwachungs- und Zugriffsmöglichkeiten durch US-Nachrichtendienste" zu verhindern. Diese Argumentation hat damit jedoch nicht nur Folgen für GoogleAnalytics, sondern jedwede Dienste, bei denen aufgrund ihrer technischen Ausgestaltung ein Zugriff von US-Behörden ohne Wissen der Betroffenen nicht ausgeschlossen werden kann. Dies betrifft zB. auch über GoogleMaps eingebunden Standortkarten, Schriften von Google-Fonts (so sie nicht "lokal" genutzt werden), Google's ReCaptcha-Service oder Cloud-Dienste wie Microsoft's OneDrive, Dropbox, die Google Cloud Platform oder Amazon Web Services - und zwar ganz unabhängig davon, ob die für EU-Kunden genutzten Server (angeblich) in der EU stehen. Es zählt alleine die gesetzlich Pflicht für US-Unternehmen, US-Behörden jederzeit Zugriff zu den verarbeiteten Daten zu gewähren (CloudAct). Dies bestätigt erneut ein Gutachten für die deutsche Datenschutzkonferenz, das der US-amerikanische Jurist Stephen Vladeck, der im Prozess rund um das Privacy Shield Sachverständiger für Facebook war.

Der österreichische Datenschutzaktivist Max Schrems sieht nun v.a. die Technologie-Anbieter wie Google, Microsoft und Co. in der Pflicht, ihre Services endlich so zu gestalten, dass europäische Datenschutzregeln eingehalten werden. Denn immerhin behaupten sie ja, ihre Services seien DSGVO-konform - und als Nutzer muss man dem wohl Vertrauen schenken bzw. hat man kaum eine Möglichkeit, das wirklich eingehend zu prüfen. Google schiebt jedoch erneut die Verantwortung auf die Unternehmen ab, die die Services einsetzen, indem man behauptet , dass die Firmen, welche die Tools einsetzen und nicht Google, kontrollieren, welche Daten gesammelt und wie diese ausgewertet werden - was die Realität geradezu auf den Kopf stellt.

Die Gefahr, dass nun alle Unternehmen in Österreich bestraft werden, die zB. Google Analytics nutzen, sieht Schrems derzeit trotzdem nicht - u.a. auch wegen der geringen personellen Ressourcen der Behörde. Wahrscheinlicher ist, dass auf europäischer Ebene in absehbarer Zukunft neue Verordnungen und Maßnahmen beschlossen werden. Und auch Google selbst müsste ein Interesse an einer Lösung haben, denn immerhin würde man sonst den unerschöpflichen Datenstrom zur Analyse des weltweiten Internet-Verhaltens verlieren - und damit die Basis der Werbeeinkünfte.