1. CNIL erklärt Einsatz von Google Analytics für rechtswidrig

Nach der österreichischen Datenschutzaufsichtsbehörde (https://www.datarea.de/droht-zukuenftig-ein-verstoss-gegen-die-dsgvo-bei-der-nutzung-von-google-analytics/) hat nun auch die französische Datenschutzaufsicht CNIL die Nutzung von Google Analytics aufgrund der Datenübermittlung in die USA für rechtswidrig erklärt: https://www.cnil.fr/en/use-google-analytics-and-data-transfers-united-states-cnil-orders-website-manageroperator-comply.

Die Folgen des Schrems II-Urteils sind noch immer spürbar und beschäftigen uns auch weiterhin. Die CNIL sieht es als erwiesen an, dass bei der Nutzung von Google Analytics keine ausreichenden Maßnahmen zum Schutz der Betroffenen getroffen werden und somit Daten in ein unsicheres Drittland, die USA, übermittelt werden. Es gibt keinen ausreichenden Schutz vor Zugriffen auf Daten von EU-Bürgern durch US-Sicherheitsbehörden. Die Datenübermittlung stellt laut der Behörde einen Verstoß gegen die Art. 44 ff. DSGVO dar. Der betreffende Webseitenbetreiber wurde aufgefordert, die Nutzung von Google Analytics innerhalb eines Monats datenschutzkonform zu gestalten, andererseits wird die Nutzung durch die Behörde untersagt. Die CNIL schließt ihre Meldung zudem noch mit Ankündigung ab, dass auch weitere Dienste von US-Dienstleistern einer entsprechenden Überprüfung unterzogen werden.

Es bleibt festzustellen, dass die Luft für Nutzer von Google Analytics und ähnlichen Dienstleistungen von US-Diensten dünner wird. Nach der österreichischen Datenschutzaufsicht, hat die französische Behörde nun eine ganz ähnliche Entscheidung getroffen. Die Wahrscheinlichkeit, dass auch deutsche Datenschutzaufsichtsbehörden in nächster Zeit ähnlich entscheiden, ist damit definitiv nicht gesunken. Es kann sich gegebenenfalls lohnen, sich bereits jetzt mit Alternativen zu Google Analytics von Anbietern aus der EU zu beschäftigen, um von einer etwaigen Entscheidung deutscher Datenschutzaufsichtsbehörden nicht völlig überrascht zu werden. Weiterhin gelten aber auch noch die gleichen Empfehlungen, wie nach der Entscheidung der österreichischen Aufsicht, um den Einsatz von Google Analytics möglichst datenschutzkonform zu gestalten: https://www.datarea.de/droht-zukuenftig-ein-verstoss-gegen-die-dsgvo-bei-der-nutzung-von-google-analytics/.

2. Privacy Shield 2 wird in Aussicht gestellt

Das amerikanische Magazin Politico will herausgefunden haben, dass ein drittes Datenschutzabkommen als Nachfolger von Safe-Harbor-Abkommen und Privacy derzeit in Arbeit ist und bereits im Mai angekündigt werden könnte: https://www.politico.eu/newsletter/digital-bridge/privacy-shield-update-3-0-semiconductor-subsidies-eu-us-policy-spat/. Sollte ein solches Abkommen zustande kommen, würde dies Datenübermittlungen in die USA aus datenschutzrechtlicher Sicht voraussichtlich wieder wesentlich einfacher machen.

Sollte es so kommen, bliebe es abzuwarten, ob ein neues Abkommen ähnlich wie das Privacy-Shield der gerichtlichen Überprüfung standhalten würde. Denn der rechtliche Rahmen für die Daten von EU-Bürgern in den USA hat sich bisher nicht geändert bzw. verbessert. Es ist davon auszugehen, dass die USA der EU dahingehend Zugeständnisse machen müssen, damit ein neues Abkommen Bestand haben kann und nicht aufgrund eines niedrigen Datenschutzniveaus für EU-Bürger in den USA wieder gekippt wird. Werden keine Zugeständnisse gemacht, hätte ein neues Abkommen höchstwahrscheinlich ein Verfallsdatum, bis die Mühlen der europäischen Justiz ein Urteil zur Unzulässigkeit gesprochen haben.

Es bleibt also spannend beim Thema Datenübermittlung in die USA und es wird weitere Entwicklungen geben.