Eine einstweilige Verfügung des österreichischen Datenschutzbeauftragten gegen Google Analytics könnte die Nutzbarkeit des Suchmaschinentools in europäischen Ländern, die die EU-Datenschutzgrundverordnung (DSGVO) einhalten, beeinträchtigen.

Ein kanadischer Anwalt für Datenschutz sagt jedoch, das Urteil sei auch eine Warnung an Unternehmen hier vor der Zustimmung, die sie benötigen, bevor sie Tracking-Daten von Besuchern ihrer Websites sammeln.

Laut Wired, Die Kontroverse betrifft eine erst im Dezember veröffentlichte Zwischenentscheidung der österreichischen Datenregulierungsbehörde, wonach Google Analytics gegen die DSGVO verstößt, weil von einem Google-Analytics-Cookie erfasste Website-Besucherdaten zur Verarbeitung in die Vereinigten Staaten gesendet werden. Gemäß der DSGVO müssen personenbezogene Daten, die außerhalb der EU gesendet werden, Datenschutz erhalten. Doch seit die EU 2020 das Datenschutzabkommen mit den USA gekündigt hat, existiert ein solcher Rechtsschutz nicht mehr.

Laut Google hat die österreichische Aufsichtsbehörde entschieden, dass die Implementierung von Google Analytics durch einen lokalen Web-Publisher kein angemessenes Schutzniveau bietet, da die nationalen Sicherheitsbehörden der USA theoretisch die Möglichkeit haben, auf Daten von Benutzern zuzugreifen.

Die EU nimmt den Datenschutz ernst. Tatsächlich entschied der Europäische Datenschutzbeauftragte laut Wired, dass die Covid-19-Test-Website des Europäischen Parlaments auch gegen die DSGVO verstieß, indem sie Cookies von Google Analytics und Stripe verwendete.

Diese Woche sagte Kent Walker, Präsident für globale Angelegenheiten und Chief Legal Officer von Google und seiner Muttergesellschaft Alphabet, in einem Blogbeitrag, dass sich die Vereinigten Staaten und die Europäische Union bald auf einen Ersatz des Datenschutzschilds einigen sollten.

„Google bietet seit mehr als 15 Jahren Analytics-bezogene Dienste für globale Unternehmen an und hat in dieser Zeit noch nie eine solche Anfrage erhalten [Austrian regulator] spekuliert“, fügte er hinzu. „Und wir erwarten nicht, eine zu erhalten, weil eine solche Anfrage wahrscheinlich nicht in den engen Anwendungsbereich des einschlägigen Gesetzes fallen würde.“

Interview mit kanadischen Datenschutzanwälten von ITWorldCanada über die Kontroverse zunächst gesehen wenig Einfluss hier.

„Dies sollte kanadische Unternehmen daran erinnern, dass eine Einwilligung erforderlich ist, um Personen online zu verfolgen und zu profilieren, auch durch den Einsatz von Analysetools“, sagte Barry Sookman von der Anwaltskanzlei McCarthy Tetrault.

Er fügte jedoch hinzu, dass das aktuelle Datenschutzgesetz des Bundes, das Gesetz zum Schutz personenbezogener Daten und elektronischer Dokumente (PIPEDA), noch nicht als gleichwertig mit der DSGVO eingestuft wurde. Die EU hat den Ländern eine unbestimmte Frist eingeräumt, um ihre Datenschutzgesetze der DSGVO anzunähern oder eine Vertraulichkeitsvereinbarung mit der EU auszuhandeln, wie es die Vereinigten Staaten vor der Aufhebung des DSGVO-Schildes getan haben.

„Wenn Kanada seine Datenschutzgesetze nicht bald aktualisiert, verlieren wir unseren Angemessenheitsstatus und kanadische Unternehmen können möglicherweise keine Daten außerhalb der EU übertragen, ohne eine Genehmigung einzuholen“, sagte Sookman.

Iman Ahmad, Co-Head of Information Governance, Privacy and Cybersecurity bei Norton Rose Fulbright Canada LLP, stellt fest, dass gegen die österreichische Entscheidung Berufung eingelegt werden kann. “Wenn es beibehalten würde”, fügte er hinzu, “wäre das eine große Entwicklung.”

Er stellte jedoch auch die Untersuchung der österreichischen Aufsichtsbehörde in Frage, die teilweise zu dem Schluss kam, dass Verschlüsselung keinen ausreichenden Datenschutz bietet.

Unternehmen in Kanada seien in einer etwas besseren Position, da sich im österreichischen Fall viele Sorgen um die Übermittlung personenbezogener Daten zwischen der EU und den USA und die Angemessenheit von Standardvertragsklauseln bezögen, sagte er. Kanada genieße den PIPEDA-Angemessenheitsstatus bei der EU, sagte er, was wohl jegliche Datenübertragungen vereinfacht.