Gericht erklärt Google Analytics für rechtswidrig

4 min
 
Tags: Google Analytics rechtswidrig persönliche Daten Datenschutzrecht illigal DSGVO CNIL

Gericht erklärt Google Analytics für rechtswidrig

Google sammelt seit langem persönliche Daten und nutzt sie, um Ihr Verhalten zu manipulieren. Eine französische Aufsichtsbehörde ist die letzte, die feststellt, dass die von Google Analytics gesammelten Daten gegen die europäischen Datenschutzgesetze verstossen.

Auch in den USA war Google während der Pandemie sehr aktiv und hat in einem Fall gemeinsam mit Apple eine App namens MassNotify entwickelt.

Mit dieser App können Personen verfolgt und aufgespürt werden, um den COVID-19-Status des Nutzers anderen mitzuteilen. Trotz der Absicht, den COVID-Status des Nutzers anderen mitzuteilen, heisst es auf der MassNotify-Website, das Tool sei "mit Schwerpunkt auf dem Schutz der Privatsphäre" entwickelt worden. Die App wurde jedoch auch ohne Zustimmung auf Android-Telefone heruntergeladen.

Anfang 2022 reichten vier Generalstaatsanwälte vier getrennte Klagen gegen Google wegen betrügerischer Praktiken bei der Erfassung von Standortdaten der Öffentlichkeit ein. In den Klagen wird behauptet, dass Google weiterhin Standortdaten erfasst, auch wenn die Nutzer die Standortverfolgungs-App auf ihrem Smartphone deaktiviert haben. Karl A. Racine ist der Generalstaatsanwalt für den District of Columbia und einer der Generalstaatsanwälte, die eine Klage gegen Google eingereicht haben. Er sagte in einer Erklärung:

"Google hat den Verbrauchern fälschlicherweise vorgetäuscht, dass sie durch die Änderung ihrer Konto- und Geräteeinstellungen ihre Privatsphäre schützen und kontrollieren können, auf welche persönlichen Daten das Unternehmen zugreifen kann. Die Wahrheit ist, dass Google entgegen seinen Darstellungen weiterhin systematisch Kunden überwacht und von Kundendaten profitiert."

Die Massnahme der französischen Nationalen Kommission für Informatik und Freiheiten (CNIL) stützt sich auf ein Urteil des Gerichtshofs der Europäischen Union (EU) vom Juli 2020, das die Datenübertragung außerhalb der EU betrifft.

EU und 3 US-Bundesstaaten haben Regeln für den Internetverkehr

Der Fall vor dem Gerichtshof 2020 basierte auf Verstössen gegen die Allgemeine Datenschutzverordnung (DSGVO) der EU. Dieses Gesetz trat am 25. Mai 2018 in Kraft und ist eines der strengsten Datenschutz- und Sicherheitsgesetze, die für Websites gelten. Das Gesetz erlegt Websites, die auf Daten von EU-Bürgern oder -Einwohnern abzielen oder diese sammeln, Verpflichtungen auf. Es macht keinen Unterschied, woher die Website stammt.

Mit anderen Worten: Wenn Ihre Website Daten sammelt oder Geschäfte mit EU-Bürgern oder Einwohnern macht, unabhängig davon, wo Ihr Unternehmen ansässig ist, kann die DSGVO für Sie gelten.

Der zweite Teil, der für Google Analytics gilt, bezieht sich darauf, wenn die Website Cookies oder die IP-Adressen von EU-Bürgern oder Einwohnern verfolgt.

Die Datenerhebung wird als "Überwachung des Verhaltens" eingestuft. Die DSGVO erlaubt die Überwachung von Aktivitäten, aber nur, wenn Transparenz besteht und der Nutzer weiss, dass die Daten erhoben werden und die Möglichkeit hat, sich dagegen zu entscheiden, wodurch personenbezogene Daten unabhängig davon geschützt werden sollen, wo sie erhoben, verwendet oder gespeichert werden.

In den USA gibt es inzwischen in drei Bundesstaaten Gesetze zum Schutz der Verbraucherdaten, die der DSGVO ähneln. Diese Staaten sind Kalifornien, Colorado und Virginia. Sie haben viele Bestimmungen mit der DSGVO gemeinsam, "wie das Recht auf Zugang und Löschung personenbezogener Daten und das Recht, dem Verkauf personenbezogener Daten zu widersprechen".

Frankreich ist das letzte Land, das Google Analytics für illegal erklärt

Das Gerichtsverfahren vom Juli 2020, auf dem dieses neue Urteil beruht, wurde von Max Schrems gewonnen, dem Anwalt, der Facebook wegen Datenschutzverletzungen gegenüber EU-Bürgern verklagt und gewonnen hatte. Es ist als "Schrems II"-Urteil12 bekannt geworden und erging nur wenige Wochen, nachdem die österreichischen Datenschutzbehörden ebenfalls entschieden hatten, dass Google Analytics gegen die DSGVO verstösst.

Das österreichische Urteil stellte fest, dass IP-Adressen und persönliche Identifikatoren in Cookie-Daten kombiniert werden können, um Besucher zu identifizieren, was im Grunde eine Überwachung darstellt. Um zu dem Urteil zu gelangen, untersuchte die Aufsichtsbehörde eine Reihe von Massnahmen, die Google nach eigenen Angaben zum Schutz von Daten in den USA einsetzt.

Sie waren jedoch der Meinung, dass es nicht genügend Schutzmassnahmen zum Blockieren von Nachrichtendiensten gibt, um die GDPR-Standards zu erfüllen. TechCrunch veröffentlichte einen Teil der Entscheidung:

"US-Geheimdienste verwenden bestimmte Online-Kennungen (wie die IP-Adresse oder eindeutige Identifikationsnummern) als Ausgangspunkt für die Überwachung von Personen. Insbesondere kann nicht ausgeschlossen werden, dass diese Nachrichtendienste bereits Informationen gesammelt haben, mit deren Hilfe die hier übermittelten Daten auf die Person des Beschwerdeführers zurückgeführt werden können."

Die CNIL arbeitet mit privaten und öffentlichen Organisationen zusammen, um die Einhaltung des Gesetzes zu gewährleisten. Eine einzelne Website wurde wegen Nichteinhaltung der DSGVO mit dem Hinweis auf einen Verstoss gegen Artikel 44 beanstandet, da Daten von Google Analytics in die USA übertragen werden.

Die CNIL setzte dem Betreiber der Website eine Frist von einem Monat, um Google Analytics von seiner Website zu entfernen. Die Entscheidung ist eine von 101 Beschwerden, die im August 2020 nach dem erfolgreichen Gerichtsverfahren im Juli 2020 eingereicht wurden. In einer Pressemitteilung schrieb die CNIL:

"Obwohl Google zusätzliche Massnahmen zur Regelung der Datenübermittlung im Rahmen der Google-Analytics-Funktionalität ergriffen hat, reichen diese nicht aus, um die Zugänglichkeit dieser Daten für US-Geheimdienste auszuschließen. Es besteht daher ein Risiko für französische Website-Nutzer, die diesen Dienst nutzen und deren Daten exportiert werden."

AppleInsider weist darauf hin, dass auf den Google-Support-Seiten auch eingeräumt wird, dass Google Analytics nicht mit der "Allgemeinen Datenschutzverordnung des Europäischen Wirtschaftsraums (GDPR), dem kalifornischen Verbraucherschutzgesetz (CCPA) oder anderen ähnlichen Vorschriften" konform ist.

Laut TechCrunch ließ die CNIL die Tür für Website-Besitzer offen, Google Analytics zu verwenden, wenn wesentliche Änderungen vorgenommen werden, um die Anonymität der statistischen Daten zu gewährleisten, die gesammelt und in die USA übertragen werden.

In der österreichischen Entscheidung wurde der Begriff "personenbezogene Daten" jedoch weiter gefasst und festgestellt, dass die IP-Adresse in Kombination mit anderen kleineren Daten, die bereits im Besitz von Google sind, ausreichen kann, um einen Nutzer einer Website zu identifizieren. Unter den derzeitigen Bedingungen ist Google Analytics nicht konform mit der DSGVO, was klare Auswirkungen auf jede Website hat, die Tools verwendet, die Daten in die USA übertragen, ohne Massnahmen zur Gewährleistung der Anonymität der Daten zu ergreifen.

Während die CNIL den Prozess mit einer Website begann, deuten die gemeinsamen Bemühungen der EU-Regulierungsbehörden darauf hin, dass dies Auswirkungen auf die gesamte EU haben wird. TechCrunch erfuhr später von der Regulierungsbehörde in Frankreich, dass Facebook Connect "auch Gegenstand von Beschwerden bei der CNIL war, die derzeit untersucht werden".