Einsatz von Google Analytics nach dem Urteil des EuGH zu Safe Harbor

Veröffentlicht am 26 Jan. 2016 von

 

– Einsatz von Google Analytics unzulässig
– Prüfungen und Bußgelder durch Aufsichtsbehörden ab Februar 2016

 

Rechtsgrundlagen zu Google Analytics
Für die datenschutzkonforme Nutzung von Google Analytics gibt es drei grundlegende Aspekte, die beachtet werden müssen:
– Sicheres Datenschutzniveau im Sitzland von Google (USA)
– Auftragsdatenverarbeitungsvertrag (ADV) mit Google
– Informationspflicht über das Tracking auf der Webseite (Datenschutz-Policy)

 

Datenschutz: Ab Februar 2016 drohen Abmahnungen!
Als Unternehmen mit Sitz in Deutschland dürfen Sie nur dann Daten ins Ausland übermitteln, wenn dort ein sicheres Datenschutzniveau gegeben ist. Für die USA ist eine der möglichen Rechtsgrundlagen dafür das sog. Safe Harbor („Sicherer Hafen“) Abkommen. Durch dieses Abkommen galten persönliche Daten in den USA als sicher, wenn sich US-Unternehmen auf die Einhaltung der Safe Harbor Bestimmungen verpflichteten.

 

Durch das Urteil des Europäischen Gerichtshofs vom Oktober 2015 ist dies jetzt unzulässig geworden. Der Europäische Gerichtshof hat festgelegt, dass die Europäische Kommission mit den USA bis Ende Januar 2016 ein neues Abkommen zum Schutz persönlicher Daten aushandeln muss. Das ist bisher nicht geschehen.

 

Da auch Google sich auf das Safe Harbor abkommen beruft und von der EU-Kommission noch keine Verhandlungsergebnisse vorgelegt wurden, darf Google Analytics von Deutschland aus nur noch bis 31.01.2016 eingesetzt werden!

 

Was jetzt?
Die EU-Kommission veröffentlichte am 6. November 2015 Leitlinien für die transatlantischen Datenübermittlungen. Darin werden die EU-Standardvertragsklauseln und Binding Corporate Rules als weiterhin geeignete Instrumente für die Übermittlung personenbezogener Daten in die USA aufgeführt. Allerdings dürfen die nationalen Datenschutzbehörden auch unabhängig von der EU-Kommission die Angemessenheit des Datenschutzniveaus in Drittstaaten beurteilen. Daraus resultierte das Positionspapier der unabhängigen Datenschutzbehörden des Bundes und der Länder am 21. Oktober 2015. Hierin wird die Zulässigkeit der Datenübermittlung in die USA auf Grundlage von EU-Standardvertragsklauseln und Binding Corporate Rules in Frage gestellt. Neue Binding Corporate Rules werden, bis zum Abschluss der Überprüfung, derzeit nicht mehr genehmigt. Die Datenschutzaufsicht in Rheinland-Pfalz geht sogar soweit und verbietet die Datenübermittlung in die USA auf Grundlage von EU-Standardvertragsklauseln.

 

Prüfungen der Aufsichtsbehörden
Bislang fanden, abgesehen von Rheinland-Pfalz, keine aktiven Prüfungen von Seiten der Datenschutzbehörden statt. Diese Schonfrist läuft jedoch nur bis zum 31. Januar 2016. Spätestens dann befinden sich deutsche Unternehmen in Zugzwang.
Die genannten Aspekte gelten natürlich nicht nur für Google Analytics, sondern auch für alle anderen Analysedienste mit Übermittlung personenbezogener Daten in die USA. Zur Vermeidung von Konflikten mit den Aufsichtsbehörden empfehlen wir Ihnen deshalb zu prüfen, welche Analysedienste Sie einsetzen und auf welcher Rechtsgrundlage dieser Einsatz erfolgt.

 

Empfehlung
Für die datenschutzkonforme Nutzung von Google Analytics und aller anderen Webdienste gibt es drei grundlegende Aspekte, die beachtet werden müssen:
1. Wie ist das Datenschutzniveau im Sitzland des Anbieters des Dienstes, zum Beispiel Google (USA)?
2. Wurde eine Vereinbarung zur Auftragsdatenverarbeitung geschlossen?
3. Kommen Sie Ihren Informationspflichten auf der Website korrekt nach?

 

Unsere Abteilung für Datenschutz Consulting überprüft für Sie schnell und unabhängig alle Dienste, die Sie aktuell auf Ihrer Website verwenden und sagt Ihnen, wie Sie auch in Zukunft auf der sicheren Seite stehen und Abmahnungen vermeiden.

 

Informieren Sie sich hier über Ihren individuellen Website-Check!

 

Ansprechpartner:

 

Basis-Check: Kostenlos
– Welche Dienste verwenden Sie aktuell auf Ihrer Homepage?
– Bei welchen Diensten besteht Handlungsbedarf?

 

Sorglos-Check: 340 €
– Welche Dienste verwenden Sie aktuell auf Ihrer Homepage?
– Bei welchen Diensten besteht Handlungsbedarf?
– Detaillierte Handlungsempfehlungen zum rechtskonformen Einsatz der jeweiligen Dienste
– Prüfung der Datenschutzerklärung auf Ihrer Website inkl. Handlungsempfehlungen

Grimm-Michael

Mit freundlichen Grüßen
Michael Grimm