Die schwedische Datenschutzbehörde hat mehrere Bußgelder im Zusammenhang mit dem Export von Daten europäischer Nutzer über Google Analytics verhängt, da sie aufgrund von Risiken durch die Überwachung durch die US-Regierung gegen die Datenschutzregeln der Union verstoßen. Es hat auch andere Unternehmen vor der Nutzung des Google-Tools gewarnt.
Die Bußgelder – knapp über 1,1 Millionen US-Dollar für das schwedische Telekommunikationsunternehmen Tele2 und weniger als 30.000 US-Dollar für den lokalen Online-Händler CDON – sind bemerkenswert, da es sich um die ersten Bußgelder dieser Art nach einer Reihe strategischer Datenschutzbeschwerden gegen Google Analytics (und Facebook Connect) im August 2020 handelt .
Die Regulierungsbehörde stellte fest, dass die sogenannten ergänzenden Maßnahmen, die Google auf die Daten europäischer Nutzer anwendet, die zur Verarbeitung in die USA gesendet werden, nicht ausreichen, um das Schutzniveau auf das erforderliche gesetzliche Niveau anzuheben. Einschließlich der Verwendung der Kürzung der IP-Adresse durch Google (eine Anonymisierungsmaßnahme), da das Unternehmen im Tele2-Fall nicht klargestellt hatte, ob die Kürzung vor oder nach der Übermittlung der Daten in die USA durchgeführt wurde, und daher keinen Nachweis erbracht hatte Es besteht „kein potenzieller Zugriff auf die gesamte IP-Adresse, bevor das letzte Oktett abgeschnitten ist“.
Die Aufsichtsbehörde stellte auch Verstöße gegen die Bestimmungen der Datenschutz-Grundverordnung (DSGVO) für Übermittlungen in Drittländer im Fall der Nutzung von Google Analytics durch zwei weitere Unternehmen fest, Coop und Dagens Industries, verhängte in diesen Fällen jedoch keine Geldstrafen.
„Bei seinen Audits hat IMY [the Swedish DPA] ist der Ansicht, dass es sich bei den über das Statistiktool von Google in die USA übermittelten Daten um personenbezogene Daten handelt, da die Daten mit anderen übermittelten eindeutigen Daten verknüpft werden können. Die Behörde kommt zudem zu dem Schluss, dass die von den Unternehmen getroffenen technischen Sicherheitsmaßnahmen nicht ausreichen, um ein Schutzniveau zu gewährleisten, das im Wesentlichen dem innerhalb der EU/des EWR garantierten entspricht“, schrieb die Regulierungsbehörde in einem Stellungnahme.
„Alle vier Unternehmen haben ihre Entscheidungen zur Übermittlung personenbezogener Daten über Google Analytics auf Standardvertragsklauseln gestützt. Aus den Prüfungen von IMY geht hervor, dass keine der zusätzlichen technischen Sicherheitsmaßnahmen der Unternehmen ausreichend ist. IMY verhängt eine Verwaltungsstrafe von 12 Millionen SEK gegen Tele2 und 300.000 SEK gegen CDON, das nicht die gleichen umfangreichen Schutzmaßnahmen ergriffen hat wie Coop und Dagens Industri. Tele2 hat die Nutzung des Statistiktools seit Kurzem aus eigener Initiative eingestellt. IMY weist die anderen drei Unternehmen an, das Tool nicht mehr zu verwenden.“
In dem Blogbeitrag mit dem Titel „Unternehmen müssen aufhören, Google Analytics zu verwenden“ fügte die Regulierungsbehörde hinzu, dass die vier Entscheidungen als Leitlinien betrachtet werden sollten, und betonte, dass sie weitreichendere Auswirkungen hätten.
Im vergangenen Jahr warnten mehrere Datenschutzbehörden der Europäischen Union, darunter die französischen und italienischen Aufsichtsbehörden, vor der Verwendung des Analysetools von Google, nachdem sie festgestellt hatten, dass eine Reihe von Nutzern die Regeln des Blocks für internationale Datenübertragungen nicht einhielten. Allerdings haben andere Regulierungsbehörden keine finanziellen Sanktionen verhängt, so die NGO noyb, die hinter den ursprünglichen Beschwerden stand – und offenbar einen sanfteren Ansatz zur Durchsetzung der DSGVO gegenüber Benutzern eines so vertrauten Tools favorisiert, obwohl ihnen allen das gleiche Datenübertragungsproblem zugrunde liegt.
Die ursprünglichen 101 strategischen Beschwerden von noyb richteten sich gegen eine Vielzahl von Websites in ganz Europa, die Google Analytics oder ähnliche Facebook-Dienste nutzen, im Anschluss an ein wegweisendes Urteil des Gerichtshofs der Europäischen Union im Juli 2020, das ein Datentransferabkommen zwischen der EU und den USA namens „Privacy Shield“ für ungültig erklärte nur wenige Jahre nach der Abschaffung seines Vorgängers Safe Harbor.
Die EU und die USA sind dabei, eine dritte Datentransfervereinbarung mit dem Namen „EU-US Data Privacy Framework“ fertigzustellen, die voraussichtlich noch in diesem Monat fertiggestellt wird – und zumindest kurzfristig die bestehende Rechtsunsicherheit beseitigen wird trübt den Datentransfer zwischen der EU und den USA seit der Entscheidung des EuGH.
Dennoch werden rechtliche Herausforderungen für den neuen Rahmen erwartet und verschiedene europäische Institutionen haben Bedenken geäußert, dass Aspekte der neu ausgehandelten Vereinbarung nicht weit genug gehen, um den Bedenken der Richter Rechnung zu tragen. Es bleibt also abzuwarten, ob es zum dritten Mal eine Lösung auf hohem Niveau für den Konflikt zwischen EU-Datenschutzrechten und US-Überwachungspraktiken geben wird.
In einer Stellungnahme zur Entscheidung der schwedischen Aufsichtsbehörde, die ersten Strafen für die rechtswidrige Nutzung von Google Analytics zu verhängen, sagte Marco Blocher, Datenschutzanwalt bei noyb: „Wir freuen uns sehr über die weitere Aufklärung durch die schwedische Datenschutzbehörde.“ Es ist auch wichtig zu beachten, dass es Bußgelder gibt – nur so können andere Unternehmen dazu gebracht werden, sich daran zu halten.”
Google wurde mit der Bitte um einen Kommentar zu den Entscheidungen der Datenschutzbehörde kontaktiert.