Hintergrund ist ein anderes Verfahren, das Schrems angestrengt hatte: 2020 kippte der Europäische Gerichtshof (EuGH) das 2016 beschlossene Datenaustauschabkommen „Privacy Shield“ zwischen der EU und der USA. Die Übermittlung von personenbezogenen Daten aus der EU in die USA, etwa über Facebook oder Google, entspreche nicht den Anforderungen des Unionsrechts, hatte der EuGH damals erklärt.
Entscheidend dafür war die massenhafte Zugriffsmöglichkeit für US-Behörden wie den Geheimdienst NSA, dem viele US-Dienste unterliegen. Allerdings wurden in vielen Fällen auch einen Monat nach dem Urteil Daten in die USA weitergeleitet, worauf Schrems 101 Beschwerden bei nationalen Datenschutzbehörden in der EU einbrachte.
Kein effektiver Schutz
Nun legte die österreichische Datenschutzbehörde die erste Entscheidung zu einer Musterbeschwerde gegen ein österreichisches Portal vor – und sie fällt relativ eindeutig aus. Es wurde festgestellt, dass das Portal durch Implementierung von Google Analytics personenbezogene Daten – zumindest einzigartige Nutzeridentifikationsnummern, IP-Adresse und Browserparameter – übermittelt habe.
Dabei könne kein angemessenes Schutzniveau sichergestellt werden. Die mit Google abgeschlossenen „Standarddatenschutzklauseln“, auf die sich viele Anbieter seither berufen, seien nicht ausreichend. Auch die von Google ins Treffen geführten zusätzlichen Maßnahmen seien „nicht effektiv“, da sie „die Überwachungs- und Zugriffsmöglichkeiten durch US-Nachrichtendienste nicht beseitigen“. Google nennt etwa die Nutzung von HTTPS oder die Veröffentlichung eines „Transparenzberichts“. Entsprechend verstoßt die Nutzung von Google Analytics gegen die DSGVO.
Schrems sieht wegweisendes Urteil
Schrems kritisierte: „Anstatt ihre Dienste technisch so anzupassen, dass sie mit der DSGVO konform sind, haben US-Unternehmen versucht, einfach ein paar Texte in ihre Datenschutzrichtlinien einzufügen und den EuGH zu ignorieren. Viele EU-Unternehmen sind diesem Beispiel gefolgt, anstatt auf legale Dienste zu wechseln.“
Hinweis:
Das ORF.at-Network verwendet Google Analytics nicht. Bei der anonymen Versendung von Push-Nachrichten über ein Google-Service ist Google Analytics deaktiviert.
Er rechnet damit, dass auch andere EU-Datenschutzbehörden ähnliche Entscheidungen fällen werden. Das erhöhe den Druck „auf EU-Unternehmen und US-Provider, auf sichere und legale Optionen zu setzen“. Tatsächlich stellte erst kürzlich der EU-Datenschutzbeauftragte EDSB nach einer weiteren Beschwerde Schrems’ fest, dass die Website des EU-Parlaments für Coronavirus-Tests ebenfalls gegen die DSGVO verstößt. Auch hier ging es um die Verwendung von Google Analytics und Stripe, einen Zahlungsanbieter.
Zu möglichen Strafen wurden im vorliegenden Teilbescheid keine Angaben gemacht. Zudem gibt der Entscheid zwar Aufschluss über die Rechtslage, er bezieht sich aber nur auf das betroffene Unternehmen – in anderen Fällen braucht es wieder separate Entscheidungen. Schrems sieht trotzdem ein wegweisendes Urteil. Langfristig brauche es „entweder einen angemessenen Datenschutz in den USA, oder wir werden am Ende getrennte Produkte für die USA und die EU haben. Ich persönlich würde einen besseren Schutz in den USA bevorzugen, aber das ist Sache des US-Gesetzgebers“.