Datenschutzbeschwerde: Google schickt Daten in die USA

Google Analytics verarbeitet Daten immer in den USA. Was bedeutet das für Websites und andere Google-Tools? [...]

Nach einer Datenschutzbeschwerde hat Google angegeben, alle Daten aus seinem Analytics-Dienst in den USA zu speichern und zu verarbeiten (c) pixabay.com

Aufgrund einer Datenschutzbeschwerde der gemeinnützigen Organisation noyb musste Google einige Fragen der österreichischen Datenschutzbehörde beantworten. Google gibt in der Antwort an, dass alle über Google Analytics erhobenen Daten immer in den USA verarbeitet werden. Wörtlich heißt es: „All data collected through Google Analytics […] is hosted (i.e. stored and further processed) in the USA.“ Weiterhin steht dort, dass diese Daten über sogenannte Kollektor-Dienste vorher möglicherweise in anderen Ländern eingesammelt und dann in die USA geschickt werden.

Maximilian Schrems ist Initiator des Urteils, welches den Privacy Shield für ungültig erklärte. Der Privacy Shield war ein informelles Datenschutzabkommen zwischen Europa und den USA. Seit dem Urteil des Europäischen Gerichtshofs (EuGH) zum Privacy Shield gelten die USA als unsicheres Drittland. Gleichzeitig ist Schrems Ehrenmitglied der Datenschutzorganisation noyb, die Google mit der genannten Beschwerde zu der Aussage gebracht hat. Nun bleibt abzuwarten, wie die österreichische Aufsichtsbehörde im Fall noyb gegen Google entscheiden wird.

Konsequenzen für Webseiten

Für Webseiten ergeben sich aufgrund der Aussage von Google zusätzliche rechtliche Unsicherheiten. Bisher galt das Argument, dass nur an Google Ireland Daten geschickt werden. Denn Google Ireland ist Vertragspartner für europäische Firmen, die das Tracking Tool von Google einsetzen. Nun ist dieses Konstrukt über die irische Tochtergesellschaft der amerikanischen Google-Zentrale nicht mehr haltbar.

Nutzt eine Webseite Google Analytics, findet immer eine Datenverarbeitung in den USA statt. Dabei werden immer auch personenbezogene Daten in Form der Netzwerk- oder IP-adresse des Besuchers einer Webseite übertragen. Diese Adresse wird aufgrund des Internet Protokolls TCP bei jedem Abruf einer Webseite übertragen.

Bereits im Jahr 2016 stellte der EuGH fest, dass selbst dynamische IP-Adressen personenbezogene Daten sind (Urteil vom 19.10.2016 – C-582/14). Ein Jahr später bestätigte der Bundesgerichtshof (BGH) dies (Urteil vom 16.05.2017 – VI ZR 135/13).

Die USA gelten als unsicheres Drittland, weil amerikanische Gesetze der Datenschutzgrundverordnung entgegenstehen. Demnach können in den USA die Betroffenenrechte für europäische Bürger nicht garantiert werden.

Google Analytics nun immer einwilligungspflichtig

Wurde Google (Universal) Analytics in Standardausprägung betrieben, war bereits aufgrund der verwendeten Cookies eine Einwilligungspflicht gegeben. Dies ergibt sich aus Paragraph 15 Absatz 3 des Telemediengesetztes (TMG), wie der BGH im sogenannten Planet49-Urteil feststellte.

Google Analytics kann allerdings auch so konfiguriert werden, dass es ohne Cookies auskommt. In diesem Fall war bisher nicht eindeutig geklärt, ob eine Einwilligung unbedingt erforderlich ist. Jetzt ist die Rechtsunsicherheit noch größer und schlägt in Richtung Einwilligungspflicht aus.

Sind alle Google-Dienste betroffen?

Verarbeiten auch andere Dienste als Google Analytics Nutzerdaten immer in den USA? Auf diese Frage hat Google keine Antwort gegeben, obwohl danach gefragt wurde. Sollte die überwiegende Wertschöpfung des Google-Konzerns in den USA stattfinden, kann es sein, dass dort auch die meisten, vor allem aber unternehmenskritische Daten, gehalten werden. Betreiber von Webseiten mit dem Wunsch nach hoher Rechtssicherheit sollten darüber nachdenken, sich nach Alternativen für Google Tools umzusehen.

Ausweichmöglichkeiten für Webseiten

Für zahlreiche Dienste von Google gibt es bereits jetzt Ersatzprodukte. Statt Google Analytics ist vor allem für kleinere Webseiten ein lokal betriebenes Matomo sinnvoll, weil die Einwilligung bei entsprechender Konfiguration vermieden werden kann. Oft reicht es auch, wenn ein Google-Dienst einfach abgeschaltet wird, weil der Nutzen nicht feststellbar ist. Beispielsweise verwenden viele Unternehmens-Webseiten Google Maps um zu zeigen, wo sich Ihr Hauptsitz befindet. Oft wird der Standort aus der extremen Vogelperspektive gezeigt, so dass er wenig aussagekräftig ist. Eine Routenplanung hingegen könnte datenschutz– und nutzerfreundlich angeboten werden.

Google Tools zu vermeiden, bringt die Möglichkeit mit sich, auf lästige Einwilligungsabfragen zu verzichten. Die sogenannten Consent Tools oder Cookie Popups stören nicht nur den Nutzer, sondern sind oft auch fehlerhaft gestaltet. Google bekommt diesen Trend mit und sucht nach Alternativen. Hervorzuheben sind die Bildung von Interessensgruppen gleichartiger Nutzer mit Google FloC (Federated Learning of Cohorts), wenngleich dieser Ansatz umstritten ist.

Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.

Mehr Informationen

*Dr. Klaus Meffert ist Geschäftsführer der IT Logic GmbH und Erfinder einer Datenschutz-Software für Webseiten. Dank dieser gewann er mehrere an ihn herangetragene juristische Auseinandersetzungen. Er besitzt über 30 Jahre IT-Erfahrung und widmet sich seit 2017 dem digitalen Datenschutz auf technischer und rechtlicher Ebene.


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*