Die schwedische Datenschutzbehörde (Integritetsskyddsmyndigheten – IMY) hat auf Basis einer Beschwerde von Max Schrems‘ NOYB eine Geldstrafe von 1 Mio. Euro gegen Tele2 verhängt, weil der Telekommunikationsanbieter das Statistiktool Google Analytics auf seiner Website eingebunden und somit Daten von der EU in die USA übermittelt hatte. Während die österreichischen, französischen und italienischen Datenschutzbehörden lediglich festgestellt haben, dass diese Übermittlung nicht zulässig sei, hat die schwedische nun auch eine konkrete Strafe ausgesprochen.
According to the data protection regulation, GDPR, personal data may be transferred to […] countries outside the EU/EEA, if the […] country in question has an adequate level of protection for personal data that corresponds to that within the EU/EEA. However, the CJEU ruled through the Schrems II ruling that the United States could not be considered to have such an adequate level of protection at the time of the ruling. […] Data may be transferred based on standard contractual clauses […] However, according to the CJEU, such standard contractual clauses may need to be supplemented with additional safeguards if it is necessary for the protection that the clauses are intended to provide to be maintained in practice. […] All four companies have based their decisions on the transfer of personal data via Google Analytics on standard contractual clauses. From IMY’s audits, it appears that none of the companies‘ additional technical security measures are sufficient. […] IMY orders the other three companies to stop using the tool.
Companies must stop using Google Analytics
Wir halten fest: Die Standardvertragsklauseln, die uns Google präsentiert, können nicht ausreichend sein, um der DSGVO zu entsprechen. Und wir halten ebenso fest, dass die Strafen, die ein Unternehmen ausfassen kann, heftig sein können. 1 Mio. Euro für ein paar Zeilen JavaScript sind nicht nichts.
Mir gefällt, wie NOYB denjenigen, die darauf hoffen, nicht erwischt zu werden, die Hoffnung auf Besserung des aktuellen Zustands im letzten Absatz des Berichts über die Strafe auch gleich nimmt:
Die EU und die USA haben für das Frühjahr 2022 [sic!] ein neues Datenabkommen angekündigt, welches noch in diesem Monat veröffentlicht werden soll. Da das neue Abkommen strukturell den beiden bisherigen aufgehobenen Abkommen entspricht („Safe Harbor“ und „Privacy Shield“), ist es sehr wahrscheinlich, dass der EuGH auch dieses für nichtig erklären wird.
noyb.eu
Also: Sucht euch europäische Alternativen zu Google Analytics. Andernfalls ist es ein kontinuierliches Zittern um die Rechtskonformität der gewählten Statistik-Tools. (Auch wenn ihr meine Meinung zu den aktuell existierenden europäischen Alternativen zu Statistik- und anderen Tools kennt.)