Österreichische DPA-Entscheidung gegen Google Analytics ebnet den Weg für EU-basierte Cloud-Dienste

In einer aktuellen Entscheidung hat die Die österreichische Datenaufsichtsbehörde hat die Nutzung von Google Analytics aufgrund der EU-DSGVO-Verordnung für rechtswidrig erklärt. Obwohl die Entscheidung sehr präzise argumentiert und geschrieben ist, gehen ihre Auswirkungen weit über diesen speziellen Fall hinaus.

Im Mittelpunkt der Entscheidung der österreichischen Datenregulierungsbehörde, die auf einer Entscheidung des Europäischen Gerichtshofs aus dem Jahr 2020 basiert, steht das Argument, dass die Übermittlung personenbezogener Daten in die Vereinigten Staaten gegen das Gebot ihres angemessenen Schutzes aufgrund von US-Überwachungsgesetzen verstößt .

Der zweite Angeklagte [Google]als Lieferanten [of] elektronische Kommunikationsdienste im Sinne von 50 US Code §1881 und unterliegen als solche der Überwachung durch US-Geheimdienste gemäß 50 US Code §1881a („FISA 702“).

Abschnitt 702 des Foreign Intelligence Surveillance Act (FISA) legt fest, dass jede nicht-amerikanische Person, die sich im Ausland aufhält, das Ziel von Überwachungsaktivitäten sein kann, ohne dass bestimmte Voraussetzungen erfüllt sein müssen, wie z. B. ein Terrorverdächtiger, ein Spion oder ein Agent einer ausländischen Macht zu sein . FISA regelt auch, wie US-Regierungsbehörden wie die NSA, das FBI oder die CIA Zugriff auf Daten verlangen und erhalten können, die direkt von Dienstanbietern wie Apple oder Google übertragen werden.

Das ist jedoch nicht die ganze Geschichte. Auch die österreichische Regulierungsbehörde ist der Ansicht, dass die zusätzlichen Maßnahmen zum Schutz der Daten, wie die Verschlüsselung gespeicherter Daten in den Rechenzentren von Google, nicht wirksam sind, da sie die Möglichkeiten der Überwachung und des Zugriffs durch US-Geheimdienste nicht ausschließen.

Dies ist ein sehr harter Schlag gegen den üblichen Ansatz, den große in den USA ansässige Unternehmen verfolgen, um die Idee durchzusetzen, dass sie die Daten, die sie von ihren Kunden erhalten, angemessen schützen. Was die österreichische Datenschutzbehörde nun sagen will, ist, dass EU-Daten, die in die USA reisen, keinen angemessenen Schutz erhalten, unabhängig davon, was die Dienstanbieter versuchen mögen.

Obwohl die österreichische Entscheidung der Datenschutzbehörde ausschließlich innerhalb der österreichischen Grenzen gilt, findet sie dennoch ihre Grundlage in den vorgenannten Bestimmungen Urteil des Europäischen Gerichtshofs (EuGH), der die zwischen der EU und den Vereinigten Staaten bestehende Idee eines angemessenen „Privacy Shield“ erheblich kippt. Dies deutet darauf hin, dass die österreichische Entscheidung leicht in anderen EU-Ländern nachgeahmt werden könnte.

Es ist derzeit unklar, wie US-basierte Cloud-Service-Anbieter die Art und Weise ändern könnten, wie sie die Daten ihrer in der EU ansässigen Kunden DSGVO-konform verarbeiten, und es ist sicherlich angemessen, ihren Versuch abzuwarten, die DSGVO einzuhalten. Dennoch kann es für in der EU ansässige Unternehmen, die hauptsächlich ein in der EU ansässiges Publikum haben, sinnvoll sein, über Alternativen nachzudenken, die höhere Datenschutzstandards gewährleisten.

Dies kann Dienste und Tools umfassen, die von europäischen Unternehmen in der EU gehostet und/oder entwickelt werden. An der Front der Analysedienste gibt es zum Beispiel einige Alternativen zu Google Analytics Brustschwimmen, Plausibel, SplitBee, und andere. das Liste alternativer Dienste und Tools, die in der EU entwickelt wurden ist jedoch viel länger und umfasst eine Reihe von Kategorien, darunter SaaS, Überwachung, VPNs, CDNs und mehr.

Obwohl noch nicht rechtskräftig, kann die österreichische DPA-Entscheidung nur als jüngster Schritt in einer seit mindestens 15 Jahren andauernden Auseinandersetzung angesehen werden, in der zunächst die „Safe Harbor“-Doktrin, dann das „Privacy Shield“ abgelehnt wurden „.