Frankreichs CNIL stuft Google Analytics als DSGVO-Verstoß ein
Frankreichs CNIL stuft Google Analytics als DSGVO-Verstoß ein
TL;DR — Kurzantwort
1 Min. LesezeitFrankreichs CNIL hat bestätigt, dass keine Konfiguration von Google Analytics die DSGVO-Anforderungen erfüllen kann, und Websites nur einen Monat gegeben, um das Tool zu entfernen und auf konforme Alternativen umzusteigen.
Aktualisierung: Im Juni 2022 veröffentlichte die CNIL eine FAQ zu Google Analytics, in der erklärt wird, dass Websites nur einen Monat zur Einhaltung und Entfernung von Google Analytics haben. Die CNIL bestätigte, dass keine Konfiguration von Google Analytics die Schrems-II-Anforderungen erfüllen kann und keine ergänzenden Maßnahmen es konform machen können.
Nach einem ähnlichen Urteil der österreichischen Datenschutzbehörde im Januar 2022 hat Frankreichs Datenschutzbehörde CNIL festgestellt, dass Google Analytics nicht DSGVO-konform ist. Das Urteil stellte fest, dass Google Analytics den Schutz von EU-Besucherdaten vor US-Überwachung nicht ausreichend gewährleistet.
Die Kernfeststellung: Der Transfer von Daten aus der EU in die USA über Google Analytics ist unsicher, unzureichend reguliert und bietet keinen angemessenen Schutz für EU-Bürger und ihre personenbezogenen Daten.
"Die USA bestehen diesen kritischen Äquivalenztest nicht, da sie weitreichende Überwachungsgesetze haben, die Nicht-US-Bürgern keine Möglichkeit geben, zu erfahren, ob ihre Daten erfasst werden, wie sie verwendet werden, oder Abhilfe bei Missbrauch zu suchen." (Quelle: TechCrunch)
Google lehnte eine Stellungnahme zur Entscheidung ab und hat seine Software nicht aktualisiert, um DSGVO-Konformität zu erreichen.
Die CNIL empfiehlt Website-Betreibern, auf alternative Analytics-Tools umzusteigen, die keine Datentransfers außerhalb der EU beinhalten.
Was das für Website-Betreiber bedeutet
Datenschutzorientierte Analytics-Tools, die alle EU-Besucherdaten ausschließlich auf EU-basierten Servern verarbeiten, qualifizieren sich als DSGVO-konforme Alternativen. Unternehmen mit Sitz in Ländern mit DSGVO-Angemessenheitsbeschlüssen (wie Kanada) können mit EU-Unternehmen zusammenarbeiten, ohne personenbezogene Daten an US-kontrollierte Infrastruktur zu übertragen.
Mit 101 eingereichten Beschwerden in der EU nach der Schrems-II-Entscheidung erscheinen weitere Datenschutzbehörden-Urteile gegen Google Analytics unvermeidlich. Dieser Trend deutet auch darauf hin, dass jede Software, die Daten auf US-kontrollierten Servern verarbeitet, einer ähnlichen Prüfung unterzogen werden könnte.
Die wahren Kosten "kostenloser" Analytics
Google Analytics wird auf etwa 85 % des Internets verwendet, weil es als kostenlose Software erschien. Die tatsächlichen Kosten, für Analytics mit Daten statt mit Geld zu bezahlen, werden jetzt deutlich. Das Risiko regulatorischer Bußgelder und Compliance-Beschwerden ist den Preis von null Euro möglicherweise nicht wert.
Website-Betreiber sollten prüfen, ob ihre aktuellen Analytics-Tools sie rechtlicher Haftung aussetzen, und eine Migration zu Lösungen in Betracht ziehen, die DSGVO-Konformität von Anfang an priorisieren.
War dieser Artikel hilfreich?
Teilen Sie uns Ihre Meinung mit!
Bevor Sie gehen...
Verwandte Artikel
Europäische Datenschutzbehörden und ihre Entscheidungen zu Google Analytics
Eine Zeitleiste der europäischen Datenschutzbehörden-Entscheidungen, die Google Analytics als DSGVO-Verstoß einstuften, die rechtlichen Hintergründe und was Website-Betreiber tun sollten.
Warum Google Analytics unter der DSGVO für rechtswidrig erklärt wurde
Die österreichische Datenschutzbehörde hat entschieden, dass Google Analytics gegen die DSGVO verstößt -- mit 101 ähnlichen Beschwerden in allen EU-Mitgliedstaaten. Das müssen Website-Betreiber wissen.
Google Analytics in Europa für rechtswidrig erklärt: Was Website-Betreiber wissen müssen
Europäische Datenschutzbehörden in Österreich, Frankreich, Dänemark und den Niederlanden haben entschieden, dass Google Analytics gegen die DSGVO verstößt. Erfahren Sie, was das für Website-Betreiber bedeutet und welche Alternativen es gibt.