Nach der Datenschutzbehörde Österreichs hat auch die französische Aufsichtsbehörde CNIL den Einsatz von Google Analytics als unrechtmässig eingestuft, mit Entscheid vom 10. Februar 2022. Der Entscheid beruht auf einer Beschwerde von NOYB, dem NGO von Max Schrems, genauer auf seinen 101 “Dalmatiner”-Beschwerden. Im Rahmen einer dafür eingerichteten Task Force tauschen sich die europäischen Behörden dazu aus, unter Teilnahme auch der CNIL.
Die CNIL kommt nun zum Schluss, dass für die Datenübermittlung derzeit keine geeignete Garantien zum Einsatz kommen. Zwar habe Google zusätzliche Massnahmen zum Schutz der bei Google Analytics erhobenen Daten ergriffen, aber diese seien nicht ausreichend. Es besteht deshalb ein Risiko für die Betroffenen Personen. Zur Messung und Analyse des Internetverkehrs seien bevorzugt Tools einzusetzen, die mit anonymen Daten auskommen.
Die Formulierungen der CNIL deuten darauf hin, dass sie einen absoluten Ansatz verfolgt und die Bekanntgabe von Personendaten in die USA nicht zulässt, wenn ein Behördenzugriff nicht ausgeschlossen werden kann:
Il existe donc un risque pour les personnes utilisatrices du site français ayant recours à cet outil et dont les données sont exportées.
Dieser Ansatz steht allerdings nicht im Einklang mit den Empfehlungen des EDSA und mit dem Wortlaut der aktuellen Standardvertragsklauseln, die beide die Wahrscheinlichkeit eines Behördenzugriffs mitberücksichtigen.