Die französische Datenschutzbehörde CNIL gab am 10. Februar bekannt, dass sie gegen einen ungenannten französischen Website-Betreiber eine Anordnung zur Einhaltung der DSGVO erlassen hat, nachdem sie festgestellt hat, dass die Übermittlung personenbezogener Daten in die USA durch die Nutzung von Google Analytics nicht mit Art. 44 DSGVO vereinbar ist. Dies geschah im Lichte des Urteils des Europäischen Gerichtshofs in Sachen „Schrems II“ und im Anschluss an eine von None of your business („NOYB“) an die CNIL gerichtete Beschwerde.

Hintergrund des Rechtsstreits

Am 17. August 2020 reichte NOYB 101 Beschwerden gegen EU-Webseitenbetreiber ein, die weiterhin Daten von Webseitenbesuchern an Google LLC und Facebook Inc. (jetzt Meta Platforms, Inc.) übermitteln und damit angeblich trotz des Urteils in der Rechtssache Schrems II weiterhin gegen die Datenschutz-Grundverordnung verstoßen. Am 13. Januar 2022 veröffentlichte NOYB bekanntlich die erste Entscheidung, die nach der Einreichung seiner Beschwerden erging – eine Entscheidung der österreichischen Datenschutzbehörde DSB, in der festgestellt wurde, dass die Verwendung von Google Analytics durch einen nicht genannten Website-Betreiber gegen die DSGVO verstößt. Die vorliegende Verfügung der CNIL ist die zweite Entscheidung, die von einer EU-Datenschutzbehörde als Reaktion auf die 101 Beschwerden von NOYB veröffentlicht wurde.

Zur weiteren Erläuterung führte die CNIL aus, dass Google Analytics, um die Anzahl der Besuche von Internetnutzern zu messen, jedem Besucher eine eindeutige Kennung zuweist, die, wie die CNIL hervorhob, ein personenbezogenes Datum darstelle, das anschließend zusammen mit weiteren dazugehörigen Daten in die USA übermittelt werde, was somit unter Kapitel V der Datenschutz-Grundverordnung falle. Darüber hinaus erklärte die CNIL, dass sie mit ihren europäischen Kollegen zusammengearbeitet habe, um die Rechtmäßigkeit der Bedingungen zu bewerten, unter denen die durch diesen Dienst gesammelten Daten an die USA übermittelt werden.

Feststellungen der CNIL

Die CNIL hob insbesondere hervor, dass nach der DSGVO die Übermittlung personenbezogener Daten in die USA nur dann erfolgen darf, wenn angemessene Garantien zur Gewährleistung der Datensicherheit gegeben sind und stellte fest, dass dies bei der Verwendung von Google Analytics durch den Website-Betreiber nicht der Fall war. Konkret wies die CNIL darauf hin, dass Google zwar zusätzliche Maßnahmen zur Regelung der Datenübermittlung im Zusammenhang mit der Google-Analytics-Funktionalität ergriffen habe, diese jedoch nicht ausreichten, um die Zugänglichkeit dieser Daten für US-Geheimdienste auszuschließen. Folglich stellte die CNIL fest, dass die Verwendung von Google Analytics in diesem Fall bedeutet, dass die Daten von Internetnutzern in die USA übermittelt werden, was einen Verstoß gegen die Art. 44 ff. DSGVO darstelle.

Deshalb wies die CNIL den Betreiber der Website an, seine Verarbeitung mit der DSGVO in Einklang zu bringen, gegebenenfalls durch Einstellung der Verwendung von Google Analytics (unter den derzeitigen Bedingungen) oder durch Verwendung eines Tools, das keine Übermittlung personenbezogener Daten in Länder außerhalb der EU beinhaltet. Darüber hinaus stellte die CNIL fest, dass der Website-Betreiber einen Monat Zeit habe, um der Richtlinie nachzukommen.

Darüber hinaus wies die CNIL darauf hin, dass sich die laufenden Untersuchungen der CNIL und ihrer EU-Kollegen auch auf andere Tools erstrecken, die von Websites verwendet werden, die zur Übermittlung von Daten von EU-Internetnutzern in die USA führen, und betonte, dass in naher Zukunft diesbezügliche Korrekturmaßnahmen ergriffen werden könnten.