CNIL: Ein­satz von Goog­le Ana­ly­tics rechtswidrig

Nach der Daten­schutz­be­hör­de Öster­reichs hat auch die fran­zö­si­sche Auf­sichts­be­hör­de CNIL den Ein­satz von Goog­le Ana­ly­tics als unrecht­mä­ssig ein­ge­stuft, mit Ent­scheid vom 10. Febru­ar 2022. Der Ent­scheid beruht auf einer Beschwer­de von NOYB, dem NGO von Max Schrems, genau­er auf sei­nen 101 “Dalmatiner”-Beschwerden. Im Rah­men einer dafür ein­ge­rich­te­ten Task For­ce tau­schen sich die euro­päi­schen Behör­den dazu aus, unter Teil­nah­me auch der CNIL.

Die CNIL kommt nun zum Schluss, dass für die Daten­über­mitt­lung der­zeit kei­ne geeig­ne­te Garan­tien zum Ein­satz kom­men. Zwar habe Goog­le zusätz­li­che Mass­nah­men zum Schutz der bei Goog­le Ana­ly­tics erho­be­nen Daten ergrif­fen, aber die­se sei­en nicht aus­rei­chend. Es besteht des­halb ein Risi­ko für die Betrof­fe­nen Per­so­nen. Zur Mes­sung und Ana­ly­se des Inter­net­ver­kehrs sei­en bevor­zugt Tools ein­zu­set­zen, die mit anony­men Daten auskommen.

Die For­mu­lie­run­gen der CNIL deu­ten dar­auf hin, dass sie einen abso­lu­ten Ansatz ver­folgt und die Bekannt­ga­be von Per­so­nen­da­ten in die USA nicht zulässt, wenn ein Behör­den­zu­griff nicht aus­ge­schlos­sen wer­den kann:

Il exi­ste donc un ris­que pour les per­son­nes uti­li­satri­ces du site fran­çais ayant recours à cet outil et dont les don­nées sont exportées.

Die­ser Ansatz steht aller­dings nicht im Ein­klang mit den Emp­feh­lun­gen des EDSA und mit dem Wort­laut der aktu­el­len Stan­dard­ver­trags­klau­seln, die bei­de die Wahr­schein­lich­keit eines Behör­den­zu­griffs mitberücksichtigen.