Datenschutzbeschwerde: Google schickt Daten in die USA

Google Analytics verarbeitet Daten immer in den USA. Was bedeutet das für Websites und andere Google-Tools? [...]

Nach einer Datenschutzbeschwerde hat Google angegeben, alle Daten aus seinem Analytics-Dienst in den USA zu speichern und zu verarbeiten (c) pixabay.com

Aufgrund einer Datenschutzbeschwerde der gemeinnützigen Organisation noyb musste Google einige Fragen der österreichischen Datenschutzbehörde beantworten. Google gibt in der Antwort an, dass alle über Google Analytics erhobenen Daten immer in den USA verarbeitet werden. Wörtlich heißt es: „All data collected through Google Analytics […] is hosted (i.e. stored and further processed) in the USA.“ Weiterhin steht dort, dass diese Daten über sogenannte Kollektor-Dienste vorher möglicherweise in anderen Ländern eingesammelt und dann in die USA geschickt werden.

Maximilian Schrems ist Initiator des Urteils, welches den Privacy Shield für ungültig erklärte. Der Privacy Shield war ein informelles Datenschutzabkommen zwischen Europa und den USA. Seit dem Urteil des Europäischen Gerichtshofs (EuGH) zum Privacy Shield gelten die USA als unsicheres Drittland. Gleichzeitig ist Schrems Ehrenmitglied der Datenschutzorganisation noyb, die Google mit der genannten Beschwerde zu der Aussage gebracht hat. Nun bleibt abzuwarten, wie die österreichische Aufsichtsbehörde im Fall noyb gegen Google entscheiden wird.

Konsequenzen für Webseiten

Für Webseiten ergeben sich aufgrund der Aussage von Google zusätzliche rechtliche Unsicherheiten. Bisher galt das Argument, dass nur an Google Ireland Daten geschickt werden. Denn Google Ireland ist Vertragspartner für europäische Firmen, die das Tracking Tool von Google einsetzen. Nun ist dieses Konstrukt über die irische Tochtergesellschaft der amerikanischen Google-Zentrale nicht mehr haltbar.

Nutzt eine Webseite Google Analytics, findet immer eine Datenverarbeitung in den USA statt. Dabei werden immer auch personenbezogene Daten in Form der Netzwerk- oder IP-adresse des Besuchers einer Webseite übertragen. Diese Adresse wird aufgrund des Internet Protokolls TCP bei jedem Abruf einer Webseite übertragen.

Bereits im Jahr 2016 stellte der EuGH fest, dass selbst dynamische IP-Adressen personenbezogene Daten sind (Urteil vom 19.10.2016 – C-582/14). Ein Jahr später bestätigte der Bundesgerichtshof (BGH) dies (Urteil vom 16.05.2017 – VI ZR 135/13).

Die USA gelten als unsicheres Drittland, weil amerikanische Gesetze der Datenschutzgrundverordnung entgegenstehen. Demnach können in den USA die Betroffenenrechte für europäische Bürger nicht garantiert werden.

Google Analytics nun immer einwilligungspflichtig

Wurde Google (Universal) Analytics in Standardausprägung betrieben, war bereits aufgrund der verwendeten Cookies eine Einwilligungspflicht gegeben. Dies ergibt sich aus Paragraph 15 Absatz 3 des Telemediengesetztes (TMG), wie der BGH im sogenannten Planet49-Urteil feststellte.

Google Analytics kann allerdings auch so konfiguriert werden, dass es ohne Cookies auskommt. In diesem Fall war bisher nicht eindeutig geklärt, ob eine Einwilligung unbedingt erforderlich ist. Jetzt ist die Rechtsunsicherheit noch größer und schlägt in Richtung Einwilligungspflicht aus.

Sind alle Google-Dienste betroffen?

Verarbeiten auch andere Dienste als Google Analytics Nutzerdaten immer in den USA? Auf diese Frage hat Google keine Antwort gegeben, obwohl danach gefragt wurde. Sollte die überwiegende Wertschöpfung des Google-Konzerns in den USA stattfinden, kann es sein, dass dort auch die meisten, vor allem aber unternehmenskritische Daten, gehalten werden. Betreiber von Webseiten mit dem Wunsch nach hoher Rechtssicherheit sollten darüber nachdenken, sich nach Alternativen für Google Tools umzusehen.

Ausweichmöglichkeiten für Webseiten

Für zahlreiche Dienste von Google gibt es bereits jetzt Ersatzprodukte. Statt Google Analytics ist vor allem für kleinere Webseiten ein lokal betriebenes Matomo sinnvoll, weil die Einwilligung bei entsprechender Konfiguration vermieden werden kann. Oft reicht es auch, wenn ein Google-Dienst einfach abgeschaltet wird, weil der Nutzen nicht feststellbar ist. Beispielsweise verwenden viele Unternehmens-Webseiten Google Maps um zu zeigen, wo sich Ihr Hauptsitz befindet. Oft wird der Standort aus der extremen Vogelperspektive gezeigt, so dass er wenig aussagekräftig ist. Eine Routenplanung hingegen könnte datenschutz– und nutzerfreundlich angeboten werden.

Google Tools zu vermeiden, bringt die Möglichkeit mit sich, auf lästige Einwilligungsabfragen zu verzichten. Die sogenannten Consent Tools oder Cookie Popups stören nicht nur den Nutzer, sondern sind oft auch fehlerhaft gestaltet. Google bekommt diesen Trend mit und sucht nach Alternativen. Hervorzuheben sind die Bildung von Interessensgruppen gleichartiger Nutzer mit Google FloC (Federated Learning of Cohorts), wenngleich dieser Ansatz umstritten ist.

Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.

Mehr Informationen

*Dr. Klaus Meffert ist Geschäftsführer der IT Logic GmbH und Erfinder einer Datenschutz-Software für Webseiten. Dank dieser gewann er mehrere an ihn herangetragene juristische Auseinandersetzungen. Er besitzt über 30 Jahre IT-Erfahrung und widmet sich seit 2017 dem digitalen Datenschutz auf technischer und rechtlicher Ebene.


Mehr Artikel

News

Public Key Infrastructure: Best Practices für einen erfolgreichen Zertifikats-Widerruf

Um die Sicherheit ihrer Public Key Infrastructure (PKI) aufrecht zu erhalten, müssen PKI-Teams, sobald bei einer Zertifizierungsstelle eine Sicherheitslücke entdeckt worden ist, sämtliche betroffenen Zertifikate widerrufen. Ein wichtiger Vorgang, der zwar nicht regelmäßig, aber doch so häufig auftritt, dass es sich lohnt, PKI-Teams einige Best Practices für einen effektiven und effizienten Zertifikatswiderruf an die Hand zu geben. […]

News

UBIT Security-Talk: Cyberkriminalität wächst unaufhaltsam

Jedes Unternehmen, das IT-Systeme nutzt, ist potenziell gefährdet Opfer von Cyberkriminalität zu werden, denn die Bedrohung und die Anzahl der Hackerangriffe in Österreich nimmt stetig zu. Die Experts Group IT-Security der Wirtschaftskammer Salzburg lädt am 11. November 2024 zum „UBIT Security-Talk Cyber Defense“ ein, um Unternehmen in Salzburg zu unterstützen, sich besser gegen diese Bedrohungen zu wappnen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*