noyb Sieg: €1 Million Strafe für die Nutzung von Google Analytics
Auf Basis der 101 Beschwerden von noyb zu unrechtmäßige Datenübermittlungen in die USA, erließ die schwedische Datenschutzbehörde (IMY) heute Entscheidungen gegen vier Unternehmen. Die Behörde verhängte eine Geldstrafe in Höhe von 12 Mio. Kronen (1 Mio. Euro) gegen den Telekommunikationsanbieter Tele2 und 300.000 Kronen gegen den Online-Händler CDON wegen der Verwendung von Google Analytics auf ihrer Website. Viele andere europäische Behörden (z. B. Österreich, Frankreich und Italien) haben bereits festgestellt, dass die Verwendung von Google Analytics gegen die DSGVO verstößt. Heute wurde von der IMY aber die erste Geldstrafe gegen Unternehmen wegen der Verwendung von Google Analytics verhängt wird, trotz der Urteile des EuGH zur Datenübermittlung zwischen der EU und den USA.
- Pressemitteilung der schwedischen Datenschutzbehörde (EN)
- Entscheidung gegen CDON (EN Autoübersetzung)
- Entscheidung gegen Coop (EN Autoübersetzung)
- Entscheidung gegen Dagens Industri (EN Autoübersetzung)
- Entscheidung gegen Tele2 (EN Autoübersetzung)
Laut EuGH Übertragungen zwischen der EU und den USA (in den meisten Fällen) illegal. Im Jahr 2020 hat der EuGH festgestellt, dass Datenübermittlungen zwischen der EU und den USA angesichts der umfangreichen Überwachungsmöglichkeiten der US-Regierung weitgehend illegal sind. Dennoch nutzen viele EU-Unternehmen weiterhin die Dienste von Google, Meta, Microsoft, Amazon und Co. Viele Unternehmen ignorieren diese Urteile jedoch weiterhin und berufen sich auf "ergänzende Maßnahmen" und sogenannte Standardvertragsklauseln ("SCC"). noyb hat im Jahr 2020 101 Beschwerden gegen Nutzer von Google- und Facebook-Diensten in praktisch allen EU-Mitgliedstaaten eingereicht.
Bereits Entscheidungen in anderen EU-Mitgliedstaaten. In der Zwischenzeit haben bereits andere europäische Datenschutzbehörden festgestellt, dass die weitere Nutzung von Google Analytics gegen EU-Recht verstößt (siehe z. B. die Entscheidungen in Österreich, Frankreich und Italien). Die Rechtsprechung ist also klar, viele Unternehmen verstoßen dennoch gegen das Gesetz.
Erste finanzielle Strafe. Die schwedische IMY ist nun die erste Datenschutzbehörde, die nicht nur feststellte, dass die Datenübermittlungen illegal sind, sondern auch die weitere Nutzung stoppt und eine signifikante Geldstrafe gegen zwei Unternehmen verhängte: Tele 2 (ein schwedisches Telekommunikationsunternehmen) und CDON (ein schwedischer Online-Händler). Zwei weitere Unternehmen (Coop und Dagens Industri) kamen ohne eine Strafe davon.
Googles "ergänzende Maßnahmen" nicht ausreichend. Die IMY betont auch, dass die so genannten "ergänzenden Maßnahmen" nicht ausreichend waren. Google hat seine Kunden in der EU bisher weitgehend auf diese Maßnahmen verwiesen, die Unzulänglichkeiten im US-Recht ausgleichen sollen. Dies wurde nun (erneut) von einer EU-Regulierungsbehörde zurückgewiesen.
"Wir freuen uns über die Entscheidung der IMY und dass hier erstmals Strafen verhängt wurden. Nur so können Unternehmen bewegt werden, sich an die Datenschutzgesetze zu halten." Marco Blocher, Datenschutzjurist bei noyb
Neues Datenabkommen. Die EU und die USA haben für das Frühjahr 2022 ein neues Datenabkommen angekündigt, welches noch in diesem Monat veröffentlicht werden soll. Da das neue Abkommen strukturell den beiden bisherigen aufgehobenen Abkommen entspricht ("Safe Harbor" und "Privacy Shield"), ist es sehr wahrscheinlich, dass der EuGH auch dieses für nichtig erklären wird.