Frankreich erklärt Google Analytics für nicht konform mit der GDPR

Neue Unsicherheit für Website-Betreiber, die Google Analytics nutzen… Wie im Blog von Matomo: France rules Google Analytics non-compliant with GDPR  zu lesen, hat die französische Datenschutzbehörde CNIL (Commission nationale de l’informatique et des libertés)  entschieden, dass die Verwendung von Google Analytics gemäß der Datenschutz-Grundverordnung illegal ist. Die CNIL hat damit begonnen, Website-Betreibern, die Google Analytics verwenden, förmliche Bescheide zuzustellen.

Warum: das Außerkrafttreten des Privacy-Shield-Rahmens im Juli 2020, dass die Übermittlung von Daten zwischen der EU und den USA regelte, hat dazu geführt, dass bei der CNIL und anderen EU-Datenschutzbehörden zahlreiche Beschwerden über die Übermittlung hinsichtlich der Erfassung von Daten bei Besuchen von Websites mit Google Analytics eingegangen sein sollen.

Diesem Umstand ist ein Musterfall vorangegangen, in dem die Verwendung von Google Analytics auf einer Website nicht mit der DSGVO vereinbar war, da sie gegen Artikel 44 verstößt. Dieser verbietet die Übermittlung personenbezogener Daten in Länder außerhalb der EU, wenn das Empfängerland keinen angemessenen Datenschutz nachweisen kann, was bei der USA der Fall seit Wegfall des Privacy Shield ist.

Gemäß der Datenschutz-Grundverordnung umfassen personenbezogene Daten beispielsweise die E-Mail-Adresse und weitere persönliche Daten, d.h. auch die IP-Adressen oder Cookie-IDs. Die Entscheidung der CNIL basierte auf der Tatsache, dass die USA aufgrund der US-Überwachungsgesetze kein Datenschutzniveau anbieten, dass der GDPR bzw. DSGVO entspricht. Die Verwendung von Google Analytics führte daher zu Risiken für die Besucher der Website, wenn ihre personenbezogenen Daten in die USA exportiert wurden.

Da Matomo derzeit als eine der führenden dsgvo-konformen Google Analytics-Alternativen gilt und von der CNIL empfohlen wird, wird sich Matomo über diese Entscheidung freuen.

Frankreich folgt Österreich, die Niederlande prüfen derzeit

Der Entscheidung der französischen Datenschutzbehörde vorangegangen war wie auf heise.de und weiteren Blogs berichtet,  eine Entscheidung durch die österreichische Datenschutzbehörde (“DSB” oder “DPA”) im Januar 2022. Diese hatte entschieden, dass österreichische Website-Anbieter die Google Analytics verwenden, gegen die DSGVO verstoßen.

heise.de: “Google Analytics vielleicht bald verboten”, warnt niederländisches Amt
datenschutz-notizen.de: Österreichische DSB hält Einsatz von Google Analytics für nicht DSGVO-konform
Matomo: France rules Google Analytics non-compliant with GDPR

Dieses Urteil bezog sich dabei ebenfalls auf die schon oben genannte Entscheidung des Gerichtshofs der Europäischen Union (EuGH) aus dem Jahr 2020, laut der in den USA gehostete Cloud-Dienste nicht die DSGVO und die EU-Datenschutzgesetze einhalten können u.a. aufgrund der US-Überwachungsgesetze.

Die nach Nichtwirksamkeit des Privacy Shield erstellten Standardvertragsklauseln inklusive entsprechender TOM (Technische und organsitarische Maßnahmen) von Google sollten laut der DSB nicht ausreichend sein, da immer noch die Problematik hinsichtlich der US-Überwachungsgesetze besteht.

Die niederländische Datenschutzbehörde prüft derzeit ebenfalls die Verwendung und hat auf Ihrer Website ebenfalls die Empfehlung zur Einbindung von Google Analystics bereits jetzt mit einem Hinweis versehen, dass die Nutzung von Google Analytics unter Umständen bald nicht mehr erlaubt ist.

Was machen Website-Betreiber jetzt?

Umstellung auf eine dsgvo-konforme Lösung im besten Falle, aber es bleibt auch abzuwarten. Für Website-Betreiber stellt sich die Situation schwierig dar. Wie das Ganze konkret zu behandeln wenn ist, wird sich sicher in nächster Zeit erweisen, unter anderem stellt sich auch die Frage, was mit den anderen Googlen Diensten ist.

In dem oben verlinkten Beitrag auf datenschutz-notizen.de wird dargelegt, dass für deutsche Analytics-Betreiber ein Auftragsverarbeitungsvertrag mit der Google Ireland Limited vereinbart wird, nicht mit Google in den USA. Dadurch wird nicht der verantwortliche Websitebetreiber direkt, sondern der Auftragsverarbeiter, also die Google Ireland Limited, zum Datenexporteur. Das könnte unter Umständen die Problematik ein wenig entschärfen… aber es bleibt abzuwarten.

Für alle Website-Betreiber, die jetzt DSGVO-sicher eine Analyse Ihrer Websitebesuche wünschen, empfehlen wir konforme Lösungen wie beispielsweise Matomo. Hier werden die Daten entweder lokal auf eigenen Servern (Deutschland) gespeichert,  bei Nutzung der Cloud-Variante in der EU. Die schon immer auf Datenschutz bedachte Lösung von Matomo ist dsgvo-konform einzusetzen.

Sie haben Fragen oder wünschen weitere Informationen? Schreiben Sie uns oder rufen Sie uns an.