Schweden: Datenschutzaufsicht untersagt Nutzung von Google Analytics
Die schwedische Datenschutzbehörde IMY hat den Unternehmen Tele2, CDON, Coop und Dagens Industri die Nutzung von Google Analytics untersagt. Das teilte die Behörde am Montag mit. Zwei der Firmen müssen zusätzlich eine Geldstrafe zahlen.
Bei Google Analytics handelt es sich um ein Werkzeug, mit dem Webseitenbetreiber umfassende statistische Auswertungen zur Nutzung ihrer Seite vornehmen können. Wie die IMY mitteilte, überträgt das Werkzeug dabei jedoch personenbezogene Daten von Nutzerinnen und Nutzern an Google-Server in den USA.
Die schwedische Behörde erklärte, personenbezogene Daten dürften laut der europäischen Datenschutzgrundverordnung (DSGVO) aber nur in Drittländer übermittelt werden, wenn sie dort dasselbe Schutzniveau wie innerhalb der EU genießen. Im Jahr 2020 hatte der Europäische Gerichtshof (EuGH) jedoch festgestellt, dass Datenübertragungen in die USA in den meisten Fällen nicht erlaubt sind und das damalige Datenabkommen Privacy Shield gekippt. Grund für diese Entscheidung waren die Überwachungsgesetze in den USA.
Auf Basis der sogenannten Standardvertragsklauseln dürfen Unternehmen unter engen Voraussetzungen aber weiterhin Nutzerdaten in Drittstaaten übermitteln. Das gilt allerdings nicht, wenn der Datenempfänger von den US-amerikanischen Überwachungsgesetzen betroffen ist – es muss ebenfalls das EU-Datenschutzniveau gewährleistet werden. Die IMY stellte nun fest, dass dies bei den vier geprüften Unternehmen nicht der Fall war.
Zwei Geldstrafen verhängt
Das Telekommunikationsunternehmen Tele2 muss daher nun eine Strafe in Höhe von umgerechnet rund einer Million Euro zahlen. Der Online-Shop CDON wurde mit einer Geldbuße in Höhe von umgerechnet etwa 25.000 Euro belegt.
Die Supermarktkette Coop und die Zeitung Dagens Industri hätten hingegen zusätzliche Schutzmaßnahmen umgesetzt und müssen daher keine Geldstrafe zahlen. Gleichzeitig haben die schwedischen Datenschützer die Weiterverwendung von Google Analytics untersagt – Tele2 habe die Verwendung des Werkzeugs vor kurzem bereits aus eigenen Stücken eingestellt.
Sandra Arvidsson von der IMY kommentierte: “Die Entscheidungen haben nicht nur Auswirkungen auf diese vier Unternehmen, sondern können auch als Orientierung für andere Unternehmen dienen, die Google Analytics einsetzen.”
Die Untersuchung der schwedischen Aufsichtsbehörde geht zurück auf Beschwerden der Organisation Noyb. Diese hatte nach dem EuGH-Urteil insgesamt 101 Beschwerden gegen Unternehmen aus 30 Staaten eingereicht. Diese hatten sich sowohl gegen die Verwendung von Google Analytics als auch des Werkzeugs “Facebook Connect” gerichtet. Die Organisation kritisiert, viele EU-Unternehmen würden weiter Dienste von US-amerikanischen Unternehmen nutzen, bei denen Daten in die USA übertragen werden und sich auf die sogenannten Standardvertragsklauseln und “ergänzende Maßnahmen” berufen.
Nach Angaben von Noyb ist die schwedische Entscheidung die erste, bei der auch Geldstrafen verhängt wurden. Den Einsatz von Google Analytics hatten zuvor aber bereits andere nationale Datenschutzbeauftragte für illegal erklärt. So hatten die Behörden in Österreich und Frankreich bereits Anfang 2022 erklärt, der Einsatz von Google Analytics sei mit der DSGVO nicht vereinbar.
Laut Noyb soll ein neues Abkommen zum Datentransfer zwischen den USA und der EU bald verabschiedet werden. Nach Einschätzung der Organisation ähnelt es strukturell aber den zuvor vom EuGH für ungültig erklärten Abkommen “Safe Harbor” und “Privacy Shield” – daher sei es “sehr wahrscheinlich”, dass der Gerichtshof auch dieses für nichtig erklären werde. (js)