1 Million Euro Strafe wegen des Einsatzes von Google Analytics

Die Datenschutz-Grundverordnung (DSGVO) hat in den letzten Jahren zu einer verstärkten Sensibilisierung für den Datenschutz und zu einer strengeren Durchsetzung von Verstößen geführt. Ein aktueller Fall betrifft den Telekommunikationsanbieter Tele2, der eine Geldstrafe von einer Million Euro zahlen muss. Der Grund für die Strafe sind unzureichende Schutzmaßnahmen im Umgang mit Google Analytics und der Verletzung der DSGVO.

Hintergrund: 

Nach dem Erlass des Schrems-II-Urteils (wir hatten berichtet) reichte die Datenschutzorganisation Noby, der auch der Datenschutzaktivist Max Schrems angehört, 101 Beschwerden bei den zuständigen Aufsichtsbehörden gegen Unternehmen ein, die unter anderem Google Analytics verwendeten. Grund dafür ist, dass bei einer Übermittlung von personenbezogenen Daten in die USA kein angemessenes Datenschutzniveau gewährleistet werden kann.

Zum Fall:

Unter den Beschuldigten war auch Tele2, ein Telekommunikationsanbieter. Durch den Einsatz von Google Analytics auf seiner Website soll Tele2 gegen die DSGVO verstoßen haben. Nach Ansicht der schwedischen Aufsichtsbehörde waren die ergriffenen Maßnahmen durch Tele 2 nicht ausreichend, um Zugriffe von Geheimdiensten auf die übermittelten personenbezogenen Daten im Zusammenhang mit dem Einsatz von Google Analytics wirksam zu verhindern. Zwar hatte sich Tele2 auf die vereinbarten EU-Standardschutzklauseln berufen. Die darin enthaltenen Maßnahmen waren von der Aufsichtsbehörde jedoch insgesamt als unzureichend eingestuft worden. Daher bejahte die Behörde einen Verstoß gegen Art. 44 DSGVO und belegte Tele2 mit einer Geldstrafe in Höhe von einer Million Euro.

Dies ist das erste Mal, dass ein Bußgeld aufgrund der unzulässigen Datenübermittlung in Drittländer durch Google Analytics verhängt wurde. Auch wenn die Bußgeldhöhe auf den ersten Blick sehr hoch erscheint, so entspricht es doch nur 0,04 % des Vorjahresumsatzes des Unternehmens.

Aktuell:

Beim Einsatz von Google Analytics werden seit März 2022 Auftragsverarbeitungsverträge mit der Google Ireland Limited geschlossen. Darin ist geregelt, dass nicht der Verantwortliche, sondern der Auftragsverarbeiter, also Google Ireland zum Datenexporteur wird. Die Datenübermittlung an Google-Unternehmen mit Sitz in einem Drittland erfolgt somit nicht durch den Verantwortlichen, weshalb er nur mittelbar gem. Art. 44 ff. DSGVO haftbar ist.

Die Hoffnung auf eine klare Linie im DSGVO-Dschungel könnte durch das in Aussicht stehende neue Datenschutzabkommen zwischen der EU und den USA erfüllt werden. Jedoch haben die Datenschutzaktivisten von Noby bezüglich der Entwürfe des Abkommens bereits erkennen lassen, dass auch diese nicht dem gewünschten Datenschutzniveau entsprechen und daher auch gegen dieses Abkommen wahrscheinlich erneut geklagt werden würde.

Fazit: 

Die DSGVO-Strafe gegen Tele2 sendet eine klare Botschaft an alle Unternehmen, dass Datenschutz keine Option, sondern eine rechtliche Verpflichtung ist. Datenschutzverletzungen können nicht nur zu hohen Geldstrafen führen, sondern auch das Vertrauen der Verbraucher beeinträchtigen. Es ist daher unerlässlich, Datenschutz als integralen Bestandteil des Unternehmensmanagements zu betrachten und entsprechende Vorkehrungen zu treffen.

Foto von Stephen Phillips – Hostreviews.co.uk auf Unsplash