Französische Datenschutzbehörde bestätigt: Keine legale Möglichkeit, Google Analytics unter der DSGVO zu nutzen
Französische Datenschutzbehörde bestätigt: Keine legale Möglichkeit, Google Analytics unter der DSGVO zu nutzen
TL;DR — Kurzantwort
1 Min. LesezeitDie CNIL hat bestätigt, dass es keinerlei Umstände gibt, unter denen Google Analytics DSGVO-konform genutzt werden kann, und Anonymisierung, Verschlüsselung und alle anderen vorgeschlagenen Umgehungslösungen abgelehnt.
Die französische Datenschutzbehörde (CNIL) hat im Rahmen einer Fragerunde ausdrücklich erklärt, dass die Nutzung von Google Analytics weiterhin gegen die DSGVO verstößt. Noch bedeutsamer bestätigte die Behörde, dass es keine Umstände gibt, unter denen diese Nutzung konform wird.
Hintergrund: Die Auswirkungen von Schrems II
Das Schrems-II-Urteil hat den EU-US Privacy Shield ungültig gemacht -- den Mechanismus, der transatlantische Datentransfers ermöglicht hatte. Nach EU-Recht erfordern Datentransfers außerhalb der EU angemessene Schutzmaßnahmen. Da US-Recht elektronische Kommunikationsdienstleister zur Offenlegung von Daten an Nachrichtendienste zwingen kann, wurde der bestehende Rahmen als unzureichend befunden. Mehrere europäische Datenschutzbehörden stellten daraufhin fest, dass die Nutzung US-basierter Analytics-Dienste gegen die DSGVO verstößt.
Position der CNIL
Die CNIL bestätigte, dass die zwischen EU und USA angekündigte politische Vereinbarung keine rechtliche Bedeutung hat und nicht als Compliance-Mechanismus herangezogen werden kann. Die Behörde erwartete, dass die Finalisierung eines rechtlichen Rahmens erhebliche Zeit in Anspruch nehmen würde, gefolgt von unvermeidlichen rechtlichen Anfechtungen.
Die CNIL erteilte formelle Hinweise an Organisationen und gab ihnen einen Monat zur Einhaltung. Die Behörde lehnte ausdrücklich alle vom Analytics-Anbieter vorgeschlagenen technischen Lösungen ab:
Datenanonymisierung: Abgelehnt, da der Anbieter nicht nachweisen konnte, dass die Anonymisierung vor dem Datentransfer in die USA erfolgte.
Eindeutige Kennungen: Abgelehnt, da Kennungen mit anderen Daten kombiniert werden können, um Nutzer erneut zu identifizieren.
Datenverschlüsselung: Abgelehnt, da der Anbieter die Verschlüsselungsschlüssel behält und somit die Möglichkeit zum Zugriff auf personenbezogene Daten beibehält.
IP-Adress-Tracking: Die Behörde stellte fest, dass Dienste, die einen IP-Adressabgleich ermöglichen, das Nachverfolgen des Browserverlaufs von Nutzern ermöglichen.
Auswirkungen
Das Urteil gilt für alle Versionen und Konfigurationen der Analytics-Plattform, einschließlich der neuesten Version. Da die CNIL unmissverständlich erklärt hat, dass keine konforme Konfiguration existiert, wird die Durchsetzung unkompliziert. Organisationen stehen vor einer klaren Wahl: Auf konforme Alternativen umstellen oder das Risiko behördlicher Maßnahmen akzeptieren.
War dieser Artikel hilfreich?
Teilen Sie uns Ihre Meinung mit!
Bevor Sie gehen...
Verwandte Artikel
Frankreich erklaert Google Analytics fuer rechtswidrig unter der DSGVO: Was die CNIL-Entscheidung bedeutet
Die franzoesische CNIL entschied, dass Google Analytics aufgrund unerlaubter US-Datenuebertragungen gegen die DSGVO verstoesst, und setzte Organisationen eine Frist zur Umstellung auf konforme Alternativen.
Google Analytics steht vor wachsenden rechtlichen Herausforderungen in Deutschland
Deutsche Datenschutz- und Vergabebehoerden aeussern zunehmende Bedenken zu Google Analytics und reihen sich in das breitere europaeische Durchsetzungsmuster gegen US-basierte Analysetools ein.
Französische Datenschutzbehörde CNIL verschärft Durchsetzungsmaßnahmen
Die CNIL hat ihre Durchsetzungsaktivitäten bei Cookie-Verstößen, Datentransfers und Betroffenenrechten deutlich verstärkt -- ein Signal, dass die DSGVO-Schonfrist vorbei ist.