Aufgrund des „Safe-Harbour“-Beschlusses und des EU-U.S. „Privacy Shields“ unterlagen Datenübermittlungen von der EU in die USA keinen besonderen Restriktionen. Es mussten lediglich dieselben datenschutzrechtlichen Anforderungen wie bei Datentransfers im EU-Inland erfüllt werden. Mitte 2020 setzte der Europäische Gerichtshof mit der Entscheidung „Schrems II“[1] der allgemeinen Sorglosigkeit ein Ende. Es wurde entschieden, dass die US-amerikanische Rechtsordnung kein gleichwertiges Schutzniveau für den Schutz von Daten normiert. Das Privacy Shield konnte ab diesem Zeitpunkt nicht mehr als Grundlage für einen Datentransfer in die USA herangezogen werden.

Nach dem Wegfall des Privacy Shields, rückten sogenannte Standardvertragsklauseln stärker in den Fokus. Dabei handelt es sich um von der EU-Kommission vorgegebene Musterverträge, die zwischen dem Verantwortlichen der Datenverarbeitung und dem Empfänger der Daten abgeschlossen werden und nach Abschluss als Rechtsgrundlage für die Übermittlung dienen können. Der Abschluss dieser Standardvertragsklauseln reichte laut EuGH aber auch nicht gänzlich aus. Diese müssen nämlich in vielen Fällen derart ergänzt werden, dass der Verantwortliche und gegebenenfalls auch der Empfänger verpflichtet ist zusätzliche Maßnahmen zum Schutz der Daten zu ergreifen.

Die österreichische Datenschutzbehörde hat nun in einer rezenten Entscheidung[2] die Verwendung von Google Analytics auf Basis von Standardvertragsklauseln für unzulässig erklärt. In der Entscheidung wurde insbesondere Folgendes herausgearbeitet:

• Google Analytics wurde auf Basis der alten Standardvertragsklauseln genutzt. In der Zwischenzeit hat die EU-Kommission neue Klauseln veröffentlicht.

• Im behandelten Fall wurde die kostenlose Version von Google Analytics genutzt. Der Unterschied zur Bezahlversion „Google 360“ liegt unter anderem im Anbieter. Bei der kostenlosen Version war der Anbieter noch Google LLC (USA) und nicht die nunmehrige Google Ireland Ltd.

• Die Anonymisierungsfunktion von Google Analytics war nicht aktiviert.

• Eine Einwilligung iSd. Artikel 49 (1) lit a DSGVO wurde nicht eingeholt.

Es sollten nunmehr die neuen Standardvertragsklauseln verwendet und die Anonymisierungsfunktion sollte bei Google Analytics immer aktiviert werden. Zusätzlich empfehlen Experten die Durchführung eines Transfer Impact Assessment (TIA) für die Datenübermittlungen bei der Nutzung von Google Analytics um ein ausreichendes Schutzniveau zu gewährleisten und Dritten gegenüber zu bescheinigen. Im besten Fall sollte man eine ausdrückliche Einwilligung des Webseiten-Besuchers vor der Übermittlung von Daten an Google Analytics einholen.  

Mit der Akarion Compliance Cloud lassen sich sämtliche Maßnahmen managen und transparent dokumentieren. Vorhandene Einwilligungen, ergriffene Sicherheitsmaßnahmen, abgeschlossene Standardvertragsklauseln und durchgeführte Transfer Impact Assessments können damit jederzeit auf Knopfdruck nachgewiesen werden.