2020 kippte der Europäische Gerichtshof (EuGH) das 2016 beschlossene Datenaustauschabkommen „Privacy Shield“ zwischen der EU und der USA. Die Übermittlung von personenbezogenen Daten aus der EU in die USA, etwa über Facebook oder Google, entspreche nicht den Anforderungen des Unionsrechts, hatte der EuGH damals erklärt.
Entscheidend dafür war die massenhafte Zugriffsmöglichkeit für US-Behörden wie den Geheimdienst NSA, dem viele US-Dienste unterliegen. Allerdings wurden in vielen Fällen auch einen Monat nach dem Urteil Daten in die USA weitergeleitet, worauf die NGO Noyb 101 Beschwerden bei nationalen Datenschutzbehörden in der EU einbrachte.
Nun legte die österreichische Datenschutzbehörde die erste Entscheidung zu einer Musterbeschwerde gegen ein österreichisches Portal vor – und sie fällt relativ eindeutig aus. Es wurde festgestellt, dass das Portal durch Implementierung von Google Analytics personenbezogene Daten – zumindest einzigartige Nutzeridentifikationsnummern, IP-Adresse und Browserparameter – übermittelt habe.
Dabei könne kein angemessenes Schutzniveau sichergestellt werden. Die mit Google abgeschlossenen „Standarddatenschutzklauseln“, auf die sich viele Anbieter seither berufen, seien nicht ausreichend. Auch die von Google ins Treffen geführten zusätzlichen Massnahmen seien „nicht effektiv“, da sie „die Überwachungs- und Zugriffsmöglichkeiten durch US-Nachrichtendienste nicht beseitigen“. Google nennt etwa die Nutzung von HTTPS oder die Veröffentlichung eines „Transparenzberichts“. Entsprechend verstosst die Nutzung von Google Analytics gegen die DSGVO.
Zu möglichen Strafen wurden im vorliegenden Teilbescheid keine Angaben gemacht. Zudem gibt der Entscheid zwar Aufschluss über die Rechtslage, er bezieht sich aber nur auf das betroffene Unternehmen – in anderen Fällen braucht es wieder separate Entscheidungen.
Der Online-Stellenmarkt für ICT Professionals