Österreich – Einsatz von Google Analytics trotz Standardvertragsklauseln rechtswidrig

Google Analytics wird von sehr vielen Webseiten und WebApps genutzt. Das kostenlosen Analyse Werkzeug ermöglicht dem Nutzer tiefere Einblicke in die Anwendung, aber eben auch Google.

Datenschutzbehörden – Österreich und Niederlande

Österreich

DSB (Austria) – 2021-0.586.257 (D155.027) –

Niederlande

https://www.autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/handleiding_privacyvriendelijk_instellen_google_analytics.pdf

Beide Landesdatenschützer kritisieren den Datentransfer in die USA und bestätigen, dass die Standardvertragsklauseln nicht ausreichen, um dies abzusichern. Der Einsatz von Google Analytics ist in Österreich und den Niederlanden damit untersagt. Ob und wie es sich in Deutschland verhält, wird nun ein Reaktion der deutschen Landesdatenschützer nun zeigen.

Stellungnahme von Google

Die Stellungnahme findet ihr hier: 

https://blog.google/around-the-globe/google-europe/google-analytics-facts/

Übersetzung (maschinell) 

Das Web muss für Nutzer, Werbetreibende und Verlage aller Größenordnungen funktionieren – aber zuerst für die Nutzer. Und das aus gutem Grund: Die Menschen nutzen das Internet in immer größerer Zahl für mehr alltägliche Bedürfnisse als je zuvor. Sie wollen den Datenschutz nicht als nachträglichen Gedanken, sie wollen ihn von vornherein.

Das Verständnis dieser Tatsache ist von zentraler Bedeutung für unsere Überlegungen zur Entwicklung von Google Analytics, einer Reihe von alltäglichen Tools, die Organisationen im kommerziellen, öffentlichen und gemeinnützigen Sektor dabei helfen, zu verstehen, wie Besucher ihre Websites und Anwendungen nutzen – aber niemals, indem sie Einzelpersonen identifizieren oder sie über Websites oder Anwendungen hinweg verfolgen.

Da einige dieser Organisationen in letzter Zeit mit der Frage konfrontiert wurden, ob ein Analysedienst mit dem Schutz der Privatsphäre der Nutzer und den Regeln für die internationale Übermittlung personenbezogener Daten vereinbar ist, wollten wir erklären, was Google Analytics tut und, was genauso wichtig ist, was es nicht tut.

Fakt ist: Google Analytics ist ein Dienst, der von Unternehmen genutzt wird, um zu verstehen, wie ihre Websites und Anwendungen genutzt werden, damit sie diese besser gestalten können. Es dient nicht dazu, Personen zu verfolgen oder Profile von Personen im Internet zu erstellen.

Google Analytics kann nicht verwendet werden, um Personen im Internet oder in Anwendungen zu verfolgen. Es werden keine Nutzerprofile erstellt.
Google Analytics hilft Eigentümern von Apps und Websites zu verstehen, wie ihre Nutzer mit ihren Websites und Apps (und nur mit ihrer Website oder App) umgehen. So können sie beispielsweise herausfinden, welche Rubriken einer Online-Zeitung die meisten Leser haben oder wie oft Warenkörbe in einem Online-Geschäft verlassen werden. Dies hilft ihnen, das Erlebnis für ihre Kunden zu verbessern, indem sie besser verstehen, was funktioniert oder nicht funktioniert.
Zu dieser Art von Informationen gehören auch Dinge wie die Art des verwendeten Geräts oder Browsers, die durchschnittliche Verweildauer der Besucher auf der Website oder App oder die ungefähre Herkunft der Besucher aus aller Welt. Diese Datenpunkte werden niemals dazu verwendet, den Besucher oder eine andere Person in Google Analytics zu identifizieren.
Google Analytics-Kunden ist es untersagt, Informationen hochzuladen, die von Google zur Identifizierung einer Person verwendet werden könnten. Wir stellen unseren Kunden Tools zum Löschen von Daten zur Verfügung, mit denen sie Daten umgehend von unseren Servern entfernen können, falls sie dies versehentlich tun.

Tatsache: Unternehmen kontrollieren die Daten, die sie mit Google Analytics erfassen.

Organisationen verwenden Google Analytics, weil sie sich dafür entschieden haben. Sie, und nicht Google, kontrollieren, welche Daten erfasst und wie sie verwendet werden.
Sie behalten das Eigentum an den Daten, die sie mit Google Analytics erfassen, und Google speichert und verarbeitet diese Daten nur nach ihren Anweisungen – zum Beispiel, um ihnen Berichte darüber zu liefern, wie Besucher ihre Websites und Anwendungen nutzen.
Diese Unternehmen können sich separat dafür entscheiden, ihre Analytics-Daten für bestimmte Zwecke wie technischen Support, Benchmarking und Vertriebsunterstützung mit Google zu teilen.
Unternehmen müssen Google ausdrücklich erlauben, ihre Analysedaten zur Verbesserung oder Erstellung neuer Produkte und Services zu verwenden. Solche Einstellungen sind völlig optional und erfordern eine ausdrückliche Zustimmung.
Tatsache: Google Analytics unterstützt Kunden bei der Einhaltung von Vorschriften, indem es ihnen eine Reihe von Kontrollen und Ressourcen zur Verfügung stellt.

Wenn Unternehmen Google Analytics verwenden, um Daten von ihren Websites oder Anwendungen zu erfassen, haben sie die Kontrolle über diese Daten. Zum Beispiel können sie:
Sie können die IP-Anonymisierung (oder IP-Maskierung) auf ihren Websites aktivieren, was bedeutet, dass die vollständigen IP-Adressen niemals verarbeitet oder protokolliert werden.
Sie haben die Möglichkeit, die Datenerfassung auf bestimmten Seiten teilweise oder ganz zu deaktivieren.
Sie können auswählen, wie lange Daten auf Nutzer- und Ereignisebene von Analytics gespeichert werden, bevor sie automatisch aus dem Analytics-Konto und von den Google-Servern gelöscht werden.
Sie können Daten von den Analytics-Servern löschen, indem Sie einen Antrag auf Löschung stellen – einschließlich der Möglichkeit, die Daten eines einzelnen Nutzers aus seinem Analytics-Konto über die Nutzerlöschungs-API, den User Explorer-Bericht oder die User Exploration-Technik zu löschen.
Tatsache: Google Analytics hilft Nutzern, die Kontrolle über ihre Daten zu behalten.

Google stellt Produkte und Funktionen her, die standardmäßig sicher und privat sind und den Nutzern die Kontrolle über ihre Daten geben. Aus diesem Grund bieten wir seit langem ein Browser-Add-on an, mit dem Nutzer die Messung durch Google Analytics auf jeder von ihnen besuchten Website deaktivieren können.
Wir bieten nicht nur einen starken Standardschutz, sondern möchten den Nutzern auch zugängliche, intuitive und nützliche Kontrollmöglichkeiten bieten, damit sie die für sie richtigen Entscheidungen treffen können. So können Besucher beispielsweise wählen, ob und wie Analytics-Cookies von den von ihnen besuchten Websites verwendet werden, oder alle Cookies auf allen oder einigen Websites blockieren.
Darüber hinaus sind Unternehmen verpflichtet, Besucher angemessen über die von ihnen verwendeten Implementierungen und Funktionen von Google Analytics zu informieren und darüber, ob diese Daten mit anderen Daten, die sie über sie haben, verknüpft werden können.
Diese Kunden sind auch verpflichtet, die Zustimmung der Nutzer für jeden Besuch einzuholen, wie es die geltenden Gesetze in ihrem Land vorschreiben.
Tatsache: Google Analytics kann nicht verwendet werden, um Personen auf der Grundlage sensibler Informationen wie Gesundheit, ethnische Zugehörigkeit, sexuelle Orientierung usw. Werbung zu zeigen.

Google Analytics betreibt weltweit Rechenzentren, auch in den Vereinigten Staaten, um die Geschwindigkeit und Zuverlässigkeit des Dienstes zu maximieren. Bevor die Daten an Server in den Vereinigten Staaten übertragen werden, werden sie auf lokalen Servern gesammelt, wo die IP-Adressen der Nutzer anonymisiert werden (wenn die Funktion von den Kunden aktiviert wurde).
Die Datenschutz-Grundverordnung und der Europäische Gerichtshof besagen, dass Daten aus genau diesem Grund in Länder außerhalb der Europäischen Union übertragen werden können, sofern bestimmte Bedingungen erfüllt sind.
Um diese Bedingungen zu erfüllen, wenden wir zahlreiche Maßnahmen an, darunter:
Verwendung von Datenübertragungsvereinbarungen wie den EU-Standardvertragsklauseln, die als gültiger Mechanismus für die Übermittlung von Daten in die Vereinigten Staaten bestätigt wurden, zusammen mit zusätzlichen Sicherheitsvorkehrungen, die für die Sicherheit der Daten sorgen: branchenführende Datenverschlüsselung, physische Sicherheit in unseren Datenzentren und solide Richtlinien für den Umgang mit behördlichen Anfragen nach Nutzerinformationen.
Die Beibehaltung weithin anerkannter, international akzeptierter unabhängiger Sicherheitsstandards wie ISO 27001, die eine unabhängige Akkreditierung unserer Systeme, Anwendungen, Mitarbeiter, Technologien, Prozesse und Rechenzentren ermöglicht.
Wir bieten Website-Besitzern eine breite Palette von Kontrollmöglichkeiten, mit denen sie die Daten ihrer Website-Besucher schützen können.
Unsere Infrastruktur und die Verschlüsselung sind so ausgelegt, dass die Daten geschützt und vor dem Zugriff von Behörden gesichert sind.
Und wir verwenden robuste technische Maßnahmen (wie Application Layer Transport Security und HTTPS-Verschlüsselung), um uns gegen das Abfangen von Daten bei der Übertragung innerhalb der Google-Infrastruktur, zwischen den Datenzentren und zwischen Nutzern und Websites zu schützen, einschließlich Überwachungsversuchen durch Regierungsbehörden auf der ganzen Welt.