Bei der Verwendung US-amerikanischer IT-Tools ist vom Verantwortlichen zu prüfen, ob es zu einer Übertragung personenbezogener Daten in die USA kommt und ob es für diese eine ausreichende Rechtsgrundlage gibt.
Nach dem Wegfall des Privacy-Shields ließ der EuGH die Verwendung von Standard- Datenschutzklauseln offen, sofern zusätzliche Maßnahmen zur Erhöhung des Datenschutzniveaus getroffen werden. Einige der von Google entwickelten zusätzlichen Maßnahmen wurden im Bescheid der Datenschutzbehörde vom 22. Dezember 2021 zur Anwendbarkeit von Google Analytics bereits einer Analyse unterzogen, unter anderem die Anonymisierung der IP-Adresse oder die Verpflichtung, bei Anfragen der amerikanischen Behörden eine gerichtliche Überprüfung zu veranlassen. Die Datenschutzbehörde stellte dazu fest, dass diese Maßnahmen nicht effektiv sind und somit nicht geeignet sind, die Zugriffe der amerikanischen Behörden zu verhindern. Somit bleibt die Verwendung von Google Analytics datenschutzwidrig.
Von der französischen Datenschutzbehörde CNIL wurden Untersuchungen der CNIL und der anderen nationalen Datenschutzbehörden der Mitgliedsländer der EU auf andere Tools neben Google Analytics ausgedehnt, die von Webseiten verwendet werden und die einen Transfer von Daten von europäischen Internet-Nutzern in die USA zur Folge haben.
Zusätzliche Maßnahmen zur Herstellung eines im Wesentlichen gleichen Datenschutzniveaus in Drittstaaten müssen in näherer Zukunft umgesetzt werden, da einerseits die Nutzer Wert auf mehr Datenschutz legen und andererseits die Datenschutzbehörden für die Einhaltung der rechtlichen Rahmenbedingungen sorgen werden, wobei auch sehr empfindlichen Geldbußen drohen können.
Für eine Datenverarbeitung muss es jedenfalls eine gültige Rechtsgrundlage geben. Diese werden in den Artikeln 6 und 9 der DSGVO explizit angeführt. Eine rechtskonforme Verwendung von Analysetools ist jedoch jedenfalls an eine ausdrückliche informierte Einwilligung durch die Betroffenen gebunden, da die Berufung auf ein überwiegendes Interesse als Rechtsgrundlage nicht akzeptiert wird.
Bei der Gestaltung der Einwilligungsfenster und der Datenschutzerklärungen der Webseiten muss zukünftig darauf Rücksicht genommen werden. Pauschale Einwilligungen ohne wirkliche Auswahlmöglichkeit oder eine Formulierung, dass durch die weitere Nutzung der Webseite einer Datenverarbeitung zugestimmt wird, können nicht als wirksame Einwilligung betrachtet werden. Dies wird von der Datenschutzbehörde bei einer Überprüfung, die sowohl amtswegig als auch aufgrund einer Beschwerde eines Betroffenen eingeleitet werden kann, mit Sicherheit so festgestellt werden.
Eine aufmerksame Betrachtung der bisher vorliegenden Entscheidungen lässt erwarten, dass die nationalen europäischen Datenschutzbehörden das EuGH-Urteil zum Datentransfer in unsichere Drittstaaten nun zeitnah und flächendeckend umsetzen werden.
Die zukünftige Datenverarbeitung von Unternehmen in diesem Bereich muss jedenfalls unter Einhaltung der beschriebenen Rechtslage erfolgen. Eine fortgesetzte rechtswidrige Anwendung von Tools, die keinen adäquaten Datenschutz gewährleisten, wird nicht mehr toleriert werden. Insofern werden entweder die USA in Verhandlungen mit der EU die gesetzliche Basis für den Datenschutz für europäische Nutzer schaffen müssen oder die amerikanischen Unternehmen müssen so weit gebracht werden, dass die Verarbeitungen nur mehr in Europa erfolgen und es keinen Transfer in die USA mehr gibt.
Die Sensibilisierung der Nutzer und der Unternehmen, die auf US-Tools zugreifen, sollte ebenfalls erhöht werden. Sie können über die Cookie-Einstellungen entscheiden, ob Google Analytics Daten sammeln darf und wie umfangreich. Die Verwendung von europäischen Software-Angeboten wäre ein sicherer Weg, die Datenschutzthematik zum Datentransfer vollkommen zu bereinigen.
Für nähere Infos zu europäischen Alternativen empfehlen wir die Webseite: https://european-alternatives.eu/
Für Fragen stehen wir jederzeit zur Verfügung.