Französische Datenschutzbehörde könnte Verfahren gegen Google Analytics einleiten
Die französische Datenschutzbehörde wurde von der NGO Interhop kontaktiert, zwei Wochen nachdem die österreichische Datenschutzbehörde festgestellt hatte, dass Google Analytics gegen das europäische Datenschutzrecht verstößt.
Die französische Datenschutzbehörde CNIL wurde von der Gesundheits-NGO Interhop aufgefordert, ein Verfahren gegen Google Analytics einzuleiten. In einem ähnlichen Fall hatte die österreichische Datenschutzbehörde (DSB) bereits festgestellt, dass die Nutzung von Google Analytics gegen das europäische Datenschutzrecht verstößt. EURACTIV Frankreich berichtet.
Interhop prangerte in einem Brief an die CNIL am Freitag (28. Januar) an, dass viele französische eHealth-Akteure den Webanalyse-Service Google Analytics verwenden. Die NGO argumentiert, dass diese Nutzung gegen das europäische Datenschutzrecht verstößt, denn die Verarbeitung von personenbezogenen Daten in den USA ist laut europäischer Rechtssprechung illegal.
Am 13. Januar stellte bereits die österreichische Datenschutzbehörde (DSB) fest, dass die Verwendung dieses Tools gegen das europäische Datenschutzrecht verstößt. Google hatte nämlich im Laufe des Verfahrens eingeräumt, dass „alle von Google Analytics […] gesammelten Daten in den USA gehostet (das heißt gespeichert und weiterverarbeitet) werden“.
Die Verarbeitung personenbezogener Daten auf US-amerikanischem Boden, insbesondere von Gesundheitsdaten, ist laut derzeitiger Rechtslage illegal. Der Europäische Gerichtshof hat im Juli 2020 in dem bahnbrechenden Urteil „Schrems II“ die Verarbeitung von personenbezogenen Daten in den USA ausdrücklich untersagt, und das Datentransferabkommen „Privacy Shield“ als nicht mit Unionsrecht vereinbar erklärt.
Das Abkommen regelte bis dahin den freien Austausch von personenbezogenen Daten zwischen der EU und den USA.
Gemäß der Entscheidung bieten die USA kein gleichwertiges Schutzniveau für die Privatsphäre der EU-Bürger:innen. Denn laut US-Gesetzgebung können Behörden auf persönliche Daten zugreifen, was den DSGVO-Bestimmungen zu sensiblen Daten entgegensteht.
Im Rahmen eines anderen Verfahrens um den viel diskutierten „Health Data Hub“ hatte der Staatsrat, das höchste Verwaltungsgericht in Frankreich, im Oktober 2020 diese Ansicht bestätigt und argumentiert, es sei nicht auszuschließen, dass die US-Geheimdienste diese Daten einsehen wollen könnten.
„Die E-Health-Akteure müssen sicherstellen, dass sie weder ganz noch teilweise Anordnungen von Gerichten oder dritten Verwaltungsbehörden unterworfen sind, die sie verpflichten, ihnen Daten zu übermitteln“, heißt es in der Forderung von Interhop. Die CNIL wird darin aufgefordert, die Auswirkungen des Schrems II-Urteils auf Google Analytics zu analysieren und die Datenverarbeitung, sofern sie sich als unrechtmäßig erweist, einzustellen.
Die Schlinge um Google Analytics zieht sich immer enger. Auch der Europäische Datenschutzausschuss (EDSA) hat das Europäische Parlament aufgrund der Verwendung des Google Dienstes bereits abgemahnt. Der EDSA hatte nämlich festgestellt, dass die interne Website des Parlaments für Corona-Tests ein Cookie von Google Analytics verwendete.
Google wiederum weist jede Schuld von sich und betont, dass die Datenverarbeitung durch Google Analytics im Einklang mit der europäischen Gesetzgebung stehe.
Laut Russel Ketchum, Produktmanager bei Google, hat der Internet-Riese die von der DSGVO und dem Europäischen Gerichtshof auferlegten Bedingungen für die Datenübermittlung außerhalb der EU eingehalten, wie er in einem Blog-Eintrag als Reaktion auf die Entscheidung der DSB schreibt.
Neben den eingeführten Standardvertragsklauseln – die im Falle einer Datenübermittlung aus der EU in ein Drittland ohne gleichwertiges Schutzniveau erforderlich sind – hebt Ketchum die „branchenführende Datenverschlüsselung“ und die „physische Sicherheit in unseren Rechenzentren und robuste Richtlinien für die Bearbeitung von Regierungsanfragen nach Nutzerinformationen“ hervor.
„Unsere Infrastruktur und Verschlüsselung sind darauf ausgelegt, die Daten zu schützen und sie vor staatlichem Zugriff zu sichern“, fügte er hinzu.
Es bleibt nun abzuwarten, ob die CNIL sich mit dem Thema befassen möchte und, wenn ja, ob sie Googles Ansicht teilt. Eine mögliche Anweisung der französischen Datenschutzbehörde könnte andere europäische Behörden dazu anregen, sich mit dem Thema zu befassen, und bestätigen, dass die Entscheidung der DSB kein Einzelfall bleiben wird.
