Nachdem Google Analytics vor zwei Wochen vom österreichischen Datenwächter für unvereinbar mit EU-Recht erklärt wurde, steht es nun in Frankreich unter Beschuss, dessen eigener Datenwächter gebeten wurde zu prüfen, ob das Tool gegen EU-Recht verstößt. EURACTIV Frankreich berichtet.
In einem Schreiben vom 28. Januar hat die französische Non-Profit-Organisation Interhop – die Aktivisten für Open-Source-Software und die selbstverwaltete Nutzung von Gesundheitsdaten auf lokaler Ebene zusammenbringt – wichtige E-Health-Akteure wie Recare, Alan, KelDoc oder Maiiafor kritisiert für die Verwendung von Google Analytics.
Am 13. Jänner entschied Österreichs Datenschutzbeauftragte, dass der Einsatz des Tools gegen EU-Datenschutzrecht verstoße, nachdem Google im Rahmen des Verfahrens eingeräumt hatte, dass „alle von Google Analytics erfassten Daten […] werden in den Vereinigten Staaten gehostet (d. h. gespeichert und weiterverarbeitet).“
„Sensible“ Gesundheitsdaten
Die Verarbeitung personenbezogener Daten auf US-amerikanischem Boden, insbesondere im Zusammenhang mit Gesundheitsdaten, die von der EU-Datenschutz-Grundverordnung als „sensibel“ eingestuft werden, ist illegal, sofern seit dem „Schrems II“-Urteil vom Juli 2020 keine zusätzlichen Garantien getroffen werden.
Diese Entscheidung des EU-Gerichtshofs, benannt nach dem österreichischen Aktivisten Max Schrems, machte das sogenannte „Privacy Shield“ ungültig, ein Abkommen zwischen den beiden Blöcken, das den freien Verkehr personenbezogener Daten zwischen der EU und den USA umrahmte.
Nach Ansicht des Gerichts bot Washington keinen gleichwertigen Schutz für die Privatsphäre von EU-Bürgern, da die US-Sicherheitsdienste auf solche Daten zugreifen können, egal wo sie gespeichert sind.
Das bestätigte Frankreichs oberstes Verwaltungsgericht, der Conseil d’Etat, im Oktober 2020 im Rahmen eines weiteren Verfahrens um den viel kritisierten Health Data Hub. Es sei nicht auszuschließen, dass die US-Geheimdienste diese Daten einsehen wollen, urteilte das Gericht.
Kompatibilität mit Schrems II
„E-Health-Akteure müssen sicherstellen, dass sie weder ganz noch teilweise Verfügungen von Drittgerichten oder Verwaltungsbehörden unterliegen, die sie dazu verpflichten, ihnen Daten zu übermitteln“, schrieb Interhop in seinem Schreiben an die CNIL.
Die Non-Profit-Organisation forderte außerdem die französische Datenaufsicht auf, die Folgen der sogenannten „Schrems II“-Rechtsprechung zu Google Analytics zu analysieren und jede Datenverarbeitung zu beenden, die sich als rechtswidrig erweisen könnte.
Die Aufhebung des Privacy Shield führte kürzlich auch dazu, dass der Europäische Datenschutzbeauftragte (EDSB) das Europäische Parlament für die Verwendung eines Google Analytics-Cookies auf seiner internen COVID-19-Testseite sanktionierte.
Das Ende von Google Analytics?
Obwohl sich die Schlinge um Google Analytics zu ziehen scheint, hegte Google Analytics Director Russel Ketchum dennoch die Hoffnung, dass dies nicht das Ende des Tools in Europa bedeutet.
Als Reaktion auf die Entscheidung des österreichischen Datenschutzbeauftragten sagte Ketchum in einem Blogbeitrag, dass das Unternehmen eine Reihe von Maßnahmen ergreift, um sicherzustellen, dass die von der EU-Datenschutz-Grundverordnung (DSGVO) und dem EU-Gerichtshof auferlegten Bedingungen für den Zugriff auf Datenübertragungen außerhalb der EU eingehalten werden EU erfüllt sind.
Zusätzlich zu den Standardvertragsklauseln, die erforderlich sind, falls die Übertragung von Daten aus der EU in ein Drittland nicht gleichermaßen geschützt ist, bietet Google auch „branchenführende Datenverschlüsselung“ und „physische Sicherheit in unseren Rechenzentren und robuste Richtlinien für Bearbeitung von Regierungsanfragen nach Benutzerinformationen“, fügte Ketchum hinzu.
„Unsere Infrastruktur und Verschlüsselung sind darauf ausgelegt, Daten zu schützen und sie vor staatlichem Zugriff zu schützen“, betonte er.
Nun bleibt abzuwarten, ob sich die CNIL überhaupt mit der Angelegenheit befassen will und ob sie sich Google anschließt.
Eine mögliche Anweisung der französischen Datenschutzbehörde könnte weitere EU-Behörden dazu inspirieren, sich des Themas anzunehmen und sicherzustellen, dass die Entscheidung der österreichischen Datenschutzbehörde kein Einzelfall bleibt.
[Edited by Luca Bertuzzi/Zoran Radosavljevic]