Der vollständige Überblick: Von 101 noyb-Beschwerden bis zum Verbot von Google Analytics

Image of Carlo Cilento

Veröffentlicht am 16. Aug. 2022 und bearbeitet am 15. Aug. 2023 von Carlo Cilento

2022 war bisher ein heißes Jahr für den Datenschutz, denn die Aufsichtsbehörden haben zahlreiche Urteile gegen Google Analytics gefällt. Wir haben unser Bestes getan, um Sie über alle aktuellen Ereignisse auf dem Laufenden zu halten, aber selbst für uns ist es schwer, den Überblick zu behalten. Hier ist ein Überblick über die langwierige Datentransfer-Affäre, beginnend mit Schrems II im Jahr 2020 bis heute. Dies soll dazu dienen, besser zu verstehen, wo wir jetzt stehen und vielleicht einen kleinen Einblick zu bekommen, wo wir hinwollen.

  1. Zeitleiste
  2. Datenübermittlungen in aller Kürze
  3. Schrems II und Privacy Shield
  4. Die 101 Beschwerden von Noyb und die EDPB-Taskforce
  5. Österreich, Frankreich und Italien verbieten Google Analytics
  6. EDSB rügt Europäisches Parlament
  7. Irland (DPC) ordnet Meta an, Datenübertragungen auszusetzen
  8. Die Vergabekammer Baden-Württemberg
  9. Die Entscheidung der dänischen Datenschutzbehörde
  10. Die Verhandlungen über das Datentransferabkommen
  11. Aktualisierungen
  12. Abschließende Überlegungen
Logo of MichelinMichelin chose Simple AnalyticsJoin them

Lasst uns loslegen!

Zeitleiste

  • Juli 2020: Der EuGH erlässt das Vorabentscheidungsurteil zu Schrems II
  • August 2020: noyb reicht die 101 Beschwerden ein
  • September 2020: Der Europäische Datenschutzausschuss setzt eine Task Force ein
  • Dezember 2021: Entscheidung der österreichischen Datenschutzbehörde
  • Januar 2022: Entscheidung des Europäischen Datenschutzbeauftragten
  • Februar 2022: Entscheidung der französischen Datenschutzbehörde
  • Juni 2022: Entscheidung der italienischen Datenschutzbehörde
  • Juli 2022: Die irische Datenschutzbehörde kündigt den Entwurf eines Beschlusses zur Aussetzung der Datenübermittlung von Meta Ireland an
  • Juli 2022: Deutsche Vergabekammer hält US-Datentransfer für unrechtmäßig
  • Juli 2022: Entscheidung der dänischen Datenschutzbehörde

Datenübermittlungen in aller Kürze

Bevor wir uns mit der Schrems-II-Entscheidung befassen, brauchen wir etwas Kontext. Nach der Datenschutz-Grundverordnung sind Datenübermittlungen in Länder außerhalb des EWR nur möglich, wenn personenbezogene Daten angemessen geschützt sind. Dieser Schutz kann auf zwei Arten gewährleistet werden:

  1. Durch die Übermittlung von Daten in ein Drittland, das unter einen "Angemessenheitsbeschluss" fällt. Dabei handelt es sich um eine Entscheidung der Europäischen Kommission: Die Kommission bewertet die Datenschutzvorschriften in einem Drittland und gibt im Wesentlichen grünes Licht für Datenübermittlungen in dieses Land. Angemessenheitsbeschlüsse sind der einfachste und problemloseste Mechanismus für die Übermittlung von Daten, wurden aber nur für eine begrenzte Anzahl von Ländern angenommen.
  2. Durch Standardvertragsklauseln (SSC), die von der Europäischen Kommission entwickelt wurden und in eine rechtsverbindliche Vereinbarung mit dem Datenverarbeiter aufgenommen werden müssen. Bei der Übermittlung von Daten auf der Grundlage von Standardvertragsklauseln müssen die Unternehmen prüfen, ob die Klauseln in dem Drittland tatsächlich funktionieren. Mit anderen Worten: Der Datenexporteur kann nicht einfach SCCs in die Datenverarbeitungsvereinbarung aufnehmen und die Sache damit abhaken, sondern muss sicherstellen, dass die SCCs in der Praxis einen angemessenen Schutz bieten, und bei Bedarf zusätzliche Sicherheitsvorkehrungen treffen.

Schrems II und Privacy Shield

Für die USA gab es einen Angemessenheitsbeschluss" auf der Grundlage eines Datenübermittlungsabkommens, das als Privacy Shield bekannt ist. In der Rechtssache Schrems II entschied der Europäische Gerichtshof jedoch, dass das Privacy Shield keinen ausreichenden Schutz für personenbezogene Daten gewährleistet, und erklärte die Angemessenheitsentscheidung für ungültig.

Der Gerichtshof betonte jedoch, dass zusätzliche Garantien für die Übermittlung von Daten in die USA erforderlich sind, wenn man sich auf SCCs stützt: Ohne solche Garantien sind Übermittlungen auf der Grundlage von SCCs illegal. Die Bereitstellung dieser Garantien für eine Datenübermittlung in die USA ist keine leichte Aufgabe, da viele US-Unternehmen (einschließlich Google und Meta) im Rahmen der US-Überwachungsgesetze als "Anbieter elektronischer Kommunikation" gelten. Das bedeutet, dass sie jedem Ersuchen der NSA um Daten nachkommen müssen.

Leider kann ein Unternehmen in diesem Szenario nur wenig tun, um einen angemessenen Datenschutz zu gewährleisten. Darüber hinaus verlassen sich Tech-Giganten wie Google, AWS und Co. in der Regel auf Standardverträge, die sie entweder akzeptieren oder ablehnen, so dass ihre Kunden keinen Spielraum haben, um zusätzliche Schutzklauseln auszuhandeln.

In diesem heiklen Szenario haben einige Unternehmen einen risikobasierten Ansatz gewählt: Sie argumentieren im Wesentlichen, dass ihre Übermittlungen sicher sind, weil es unwahrscheinlich ist, dass die von ihnen exportierten Daten tatsächlich von einer FISA-Anordnung erfasst werden - auch wenn dies theoretisch möglich ist. Wie wir gesehen haben, haben einige Datenschutzbehörden begonnen, diesen Ansatz abzulehnen.

complete overview of banning google analytics

Die 101 Beschwerden von Noyb und die EDPB-Taskforce

Im Sommer 2020, unmittelbar nach dem Schrems-II-Urteil, reichte noyb 101 Beschwerden bei verschiedenen europäischen Aufsichtsbehörden ein. Noyb ist eine Datenschutz-NGO unter dem Vorsitz von Max Schrems (ja, der Schrems II-Typ). Die 101 Beschwerden drehen sich um Datenübertragungen und richten sich nicht direkt gegen Facebook oder Google: Sie richten sich gegen Websites von Online-Nachrichtenagenturen oder kommerziellen Unternehmen, die Meta oder Google als Datenverarbeiter nutzen.

Alle Beschwerden sind inhaltlich ähnlich und stellen eine Strategie dar, um die europäischen Datenschutzbehörden (die Datenschutzbehörden in den einzelnen Ländern) zu einer strengeren Durchsetzung der Datenschutz-Grundverordnung in Bezug auf Datenübertragungen zu bewegen.

Kurz gesagt: Websites nutzen die europäischen Unternehmen Google Ireland/Meta Platforms Ireland als Datenverarbeiter, die sich wiederum auf ihre Muttergesellschaften in den USA stützen, um die Daten zu verarbeiten (d. h. sie sind im juristischen Fachjargon Unterauftragsverarbeiter). Noyb hält die Datenübertragungen zwischen Google Ireland/Meta Platforms Ireland und ihren Muttergesellschaften nach der Datenschutz-Grundverordnung für rechtswidrig und argumentiert, dass es Unternehmen nicht gestattet sein sollte, Dienste zu nutzen, die solche Übertragungen erfordern (wie Google Analytics).

Im September 2020 kündigte der Europäische Datenschutzausschuss (EDPB) die Einrichtung einer Task Force an, die sich mit den 101 Beschwerden der noyb befassen soll. Es wurden nur wenige Details über die Arbeit der Task Force veröffentlicht, aber wir wissen, dass die Datenschutzbehörden daran gearbeitet haben, einen einheitlichen Ansatz für die Bearbeitung der Beschwerden zu finden. Die Bedeutung dieses Punktes kann nicht genug betont werden: Die jüngsten Entscheidungen, die für Schlagzeilen sorgten, spiegeln ein koordiniertes Vorgehen wider und machen es umso wahrscheinlicher, dass andere Aufsichtsbehörden diesem Beispiel folgen werden.

do you really need google analytics

Österreich, Frankreich und Italien verbieten Google Analytics

Die erste Entscheidung zu den 101 Beschwerden kam im Dezember 2021 von der österreichischen Datenschutzbehörde (DSB). Zwei weitere Beschwerden wurden im Jahr 2022 von zwei der einflussreichsten und angesehensten Aufsichtsbehörden Europas bestätigt: der französischen CNIL und der italienischen Garante.

Die Ähnlichkeiten zwischen den Entscheidungen spiegeln eindeutig einen gemeinsamen Ansatz bei der Durchsetzung von Kapitel V der Datenschutz-Grundverordnung wider:

  • Der risikobasierte Ansatz für Datenübermittlungen wurde ausdrücklich abgelehnt.
  • Die von Google eingeführten zusätzlichen Sicherheitsvorkehrungen wurden als unzureichend erachtet. Dazu gehört die (nicht Ende-zu-Ende-) Verschlüsselung der gespeicherten Daten, da die Entschlüsselungsschlüssel im Besitz von Google waren und von US-Behörden im Rahmen einer FISA-Anordnung zusammen mit den gezielten Daten angefordert werden konnten.
  • Die IP-Anonymisierungsoption von Google Analytics wurde als eine Form der Pseudonymisierung und nicht als vollständige Anonymisierung betrachtet. Das bedeutet, dass die IP-Adresse der Nutzer der Website immer noch als personenbezogene Daten angesehen wird, auch wenn sie von Google "anonymisiert" wird.
  • Es wurden keine Geldbußen verhängt. Die Datenschutzbehörden wollen in erster Linie klarstellen, dass die Vorschriften für Datenübermittlungen in Zukunft strenger durchgesetzt werden. Gegenwärtig wollen sie Unternehmen nicht bestrafen, solange sie die Bemerkungen der Aufsichtsbehörde ernst nehmen und Google Analytics nach Einreichung der Beschwerde zügig entlassen.

EDSB rügt Europäisches Parlament

Im Januar 2022 erteilte der Europäische Datenschutzbeauftragte dem Europäischen Parlament eine Rüge, weil es Cookies von Google Analytics und Stripe (einem Zahlungsunternehmen) in eine Website integriert hatte, ohne die Nutzer zu informieren und ihre Zustimmung einzuholen.

Bei der Website handelte es sich um eine interne Coronavirus-Test-Website für die Mitglieder des Europäischen Parlaments. Das Parlament hatte die Entwicklung der Website ausgelagert, und die Entwickler kopierten einen Teil des Codes von einer anderen Website, die sie entwickelt hatten, einschließlich unnötiger Analysefunktionen.

Der EDSB ging in seiner Entscheidung nur kurz auf die Datenübermittlung ein und stellte fest, dass es in dieser Hinsicht keinerlei Garantien gibt. Dies hat jedoch nicht so viel Aufmerksamkeit erregt wie die 101 Beschwerden.

Irland (DPC) ordnet Meta an, Datenübertragungen auszusetzen

Im Juli 2022 kündigte die irische Datenschutzbehörde (DPC) einen Entscheidungsentwurf an, in dem sie Meta Ireland anordnet, die Datenübermittlung für ihre Facebook- und Instagram-Dienste auszusetzen. Der Entwurf ist das Ergebnis einer langwierigen Untersuchung der DPC. Der Entwurf ist nicht öffentlich zugänglich, aber das Kernproblem der Entscheidung ist die Übermittlung personenbezogener Daten auf der Grundlage von SCCs.

Der Fall Meta ist noch lange nicht abgeschlossen. Die Entscheidung ist Teil eines komplexen Verfahrens, an dem der Europäische Datenschutzbeauftragte beteiligt ist, und andere europäische Datenschutzbehörden könnten Einwände erheben, was das Verfahren weiter verzögern würde. Dennoch ist die Ankündigung von großer Bedeutung.

Viele US-Unternehmen (darunter Meta und Google) haben ihre europäischen Niederlassungen oder Spin-off-Unternehmen in Irland, und die irische Datenschutzbehörde ist bei der Überwachung dieser Unternehmen etwas lax. Eine Anordnung zur Aussetzung von Übermittlungen durch eine notorisch nachsichtige Aufsichtsbehörde könnte ein Zeichen für eine bevorstehende Ära der strengeren Durchsetzung der Übermittlungsvorschriften in der Datenschutz-Grundverordnung sein, die unzählige Dienste und Unternehmen betreffen könnte - einschließlich Google und Google Analytics.

Die Vergabekammer Baden-Württemberg

Ein weiterer interessanter Fall wurde im Juli 2022 entschieden. In dem Fall ging es um ein öffentliches Vergabeverfahren für eine digitale Verwaltungssoftware. Das Unternehmen, das den Zuschlag erhielt, setzte AWS Europe (Amazon Web Service EMEA SARL) als Auftragsverarbeiter ein. Während die Daten vollständig in der EU lokalisiert waren, konnte die US-amerikanische Muttergesellschaft AWS Inc. auf personenbezogene Daten zugreifen, um "den Dienst aufrechtzuerhalten und zu erbringen" und um "das Gesetz oder eine gültige und verbindliche Anordnung einer Regierungsstelle zu erfüllen".

Die Vergabekammer stellte fest, dass diese Weitergabe eine Datenübermittlung im Sinne der Datenschutz-Grundverordnung darstellte. Die Kammer befand außerdem, dass die Datenübermittlung rechtswidrig war, da die zusätzlichen Garantien nicht vorhanden waren und die SCC allein keinen ausreichenden Schutz gewährleisteten.

Die Entscheidung selbst ist alles andere als eindeutig. Die beschließende Behörde ist weder eine Datenschutzbehörde noch ist sie üblicherweise an der Auslegung der Datenschutz-Grundverordnung beteiligt. Sehr wichtige Punkte der Entscheidung werden kaum angesprochen, so dass es dem Leser überlassen bleibt, die Argumentation zu erschließen. Dennoch könnte diese Entscheidung ein Zeichen dafür sein, dass eine harte Haltung gegenüber Datenübermittlungen über die engen Grenzen des Datenschutzrechts im engeren Sinne hinaus zu greifen beginnt und in der breiteren Rechtslandschaft an Dynamik gewinnt.

Caption of the image

Die Entscheidung der dänischen Datenschutzbehörde

Das bisher letzte Kapitel der Geschichte ist eine Entscheidung der dänischen Datenschutzbehörde (Datatilsynet). Im Juli 2022 untersagte die Aufsichtsbehörde der Gemeinde Helsingør, Google Workspace in Schulen zu verwenden. Die Datenschutzbehörde wies zwar auf mehrere Datenschutzbedenken hin, doch stand die Datenübertragung im Mittelpunkt der Entscheidung.

An den Verarbeitungen waren sowohl die Muttergesellschaft Google LLC als auch das in Irland ansässige Unternehmen Google Cloud EMEA Ltd. beteiligt. Im vorliegenden Fall nutzte die Gemeinde eine Datenlokalisierungseinstellung, die in Google Workspace verfügbar war. Infolgedessen wurden alle Daten auf europäischen Servern von Google Cloud EMEA gespeichert, und Google LLC war nur an der technischen Unterstützung beteiligt. Damit Google LLC jedoch Unterstützung leisten konnte, übertrug Google Cloud EMEA Daten im Rahmen von SCCs, einschließlich personenbezogener Daten, die im Klartext zugänglich waren. Die Datenschutzbehörde befand, dass diese Übermittlung keine angemessenen Garantien bietet und untersagte sie.

Die DSB warnte, dass die gleichen Schlussfolgerungen wahrscheinlich auch für andere Gemeinden gelten würden, die Google Workspace nutzen. Die Aufsichtsbehörde ist derzeit mit diesen Fällen befasst, und ähnliche Entscheidungen werden wahrscheinlich folgen.

Bemerkenswert ist, dass es in diesem Fall nicht um Google Analytics ging und die dänische Datenschutzbehörde bei den 101 Beschwerden überhaupt nicht involviert war. Die Entscheidung könnte ein Zeichen dafür sein, dass die harte Linie, die mit den 101 Beschwerden begann, auch in anderen Fällen an Boden gewinnt. Wenn das der Fall wäre, wäre dies weit mehr als nur ein Verbot von Google Analytics".

Die Verhandlungen über das Datentransferabkommen

Derzeit verhandeln die Europäische Kommission und die USA über ein neues Abkommen zur Datenübermittlung. Ein solches Abkommen wird wahrscheinlich vor dem Europäischen Gerichtshof angefochten werden.

Da kein Rechtsdokument vorliegt, ist es schwer, das Ergebnis einer möglichen "Schrems III"-Entscheidung vorherzusagen. Wir wissen jedoch, dass die USA nicht an einer gesetzlichen Reform der staatlichen Überwachung arbeiten - zum Zeitpunkt der Erstellung dieses Berichts wurde im Kongress der erste Gesetzentwurf zum Schutz der Privatsphäre vorgelegt, der die Überwachungsbefugnisse der NSA gemäß FISA nicht einschränkt. Es ist schwer zu sagen, ob ein Versuch, die staatliche Überwachung zu reformieren, den EU-Gerichtshof zufrieden stellen wird, ohne dass die gesetzlichen Bestimmungen geändert werden.

Aktualisierungen

Im Oktober 2022 unterzeichnete US-Präsident Joe Biden eine Durchführungsverordnung zu den Aktivitäten der Überwachungsbehörden als Schritt zu einem neuen Rahmen für den Datentransfer zwischen der EU und den USA (Trans Atlantic Data Privacy Framework).

Zwei Monate später veröffentlichte die EU-Kommission den Entwurf einer Angemessenheitsentscheidung für die USA. Die Zustimmung der Mitgliedstaaten zu diesem Entwurf ist trotz der negativen Stellungnahme des EU-Parlaments sehr wahrscheinlich.

Noyb kündigte an, die bevorstehende Angemessenheitsentscheidung vor dem Europäischen Gerichtshof anzufechten. Wir können also davon ausgehen, dass "Schrems III" die Feuertaufe für den neuen Rahmen sein wird - und es ist schwer zu sagen, wie er sich entwickeln wird.

Ein Teil der Branche hatte gehofft, dass die politische Arbeit rund um den neuen Datenübertragungsrahmen die Durchsetzung von Schrems II stoppen oder zumindest verlangsamen würde. Aber das war definitiv nicht der Fall.

In der Zwischenzeit hat die dänische Datenschutzbehörde eine Pressemitteilung veröffentlicht, in der sie im Wesentlichen die gleiche harte Haltung gegenüber Datenübermittlungen einnimmt wie ihre österreichischen, französischen und italienischen Amtskollegen. Die finnische und die norwegische Datenschutzbehörde haben ebenfalls gegen Google Analytics entschieden (obwohl die norwegische Entscheidung noch vorläufig ist).

Zu guter Letzt verhängte die irische Datenschutzbehörde gegen Meta eine Rekordstrafe in Höhe von 1,2 Milliarden Euro wegen Datenübertragungen und ordnete an, alle Übertragungen personenbezogener Daten in die USA für die sozialen Plattformen von Facebook einzustellen. Infolgedessen droht Meta nun ein europaweiter Facebook-Blackout. Dies ist eine sehr wichtige Entscheidung, an der der Europäische Datenschutzbeauftragte direkt beteiligt war - und natürlich haben wir sie ausführlich besprochen.

Abschließende Überlegungen

Das System zur Durchsetzung der Datenschutz-Grundverordnung ist ein komplexer Mechanismus, an dem mehrere Akteure beteiligt sind: die nationalen Aufsichtsbehörden, der Europäische Datenschutzbeauftragte, die nationalen Gerichte der Mitgliedstaaten und der EU-Gerichtshof. Es ist nicht einfach, die künftige Richtung der Durchsetzung der DSGVO vorherzusagen, aber alle Zeichen scheinen in eine Richtung zu weisen. Eine Ära der strikten Durchsetzung der Regeln für Datenübertragungen wird wahrscheinlich kommen, und es ist an der Zeit, sich darauf vorzubereiten, um die Nase vorn zu haben.

Die jüngsten Entscheidungen der EU-Mitglieder (Frankreich, Österreich und Italien) sind Teil eines koordinierten Ansatzes. Aus diesem Grund erwarten wir, dass weitere EU-Mitglieder diesem Beispiel folgen werden.

Unternehmen müssen sich anpassen und bereit sein, ihr Geschäft in diesem sich verändernden Umfeld zu führen. Sie müssen herausfinden, welche Daten sie wirklich benötigen, um Entscheidungen zu treffen, und diese auf ethische Weise sammeln. Das ist möglich, und Sie werden überrascht sein, wie viele Daten um der Datenerfassung willen gesammelt werden.

Wir glauben, dass es nicht nur darum geht, sich an die Gesetze zu halten. Es geht auch darüber hinaus. Wir glauben an die Schaffung eines unabhängigen, besucherfreundlichen Internets. Deshalb haben wir Simple Analytics ohne Tracking-Mechanismen und ohne die Möglichkeit, personenbezogene Daten zu erfassen, entwickelt, um Ihnen dennoch die gewünschten Einblicke zu geben. Wenn Sie sich davon angesprochen fühlen, können Sie uns gerne ausprobieren.

GA4 ist komplex. Versuchen Sie Simple Analytics

GA4 ist wie im Cockpit eines Flugzeugs zu sitzen, ohne einen Pilotenschein zu haben

14-Tage-Testversion starten