Unternehmen, die auf Webseiten in der EU das Statistikprogramm Google Analytics verwenden, handeln wegen der Datenübertragung in die USA rechtswidrig. Nach einer Entscheidung der österreichischen Datenschutzbehörde (DSB) ist dieses mit der Datenschutz-Grundverordnung (DSGVO) nicht vereinbar.
Die DSB sieht vor allem die allgemeinen Grundsätze der Datenübermittlung gemäß Artikel 44 DSGVO verletzt, da mit dem Statistikprogramm persönliche Informationen über die Nutzer an Google in den USA weitergegeben werden. Der jetzt veröffentlichte Teilbescheid erging auf eine Musterbeschwerde, die der Datenschutzverein Noyb im August 2020 erhoben hatte. Sie bezog sich auf einen österreichischen Verlag, der Google Analytics eingebunden hat. Noyb hat 101 vergleichbare Beschwerden in fast allen EU-Staaten eingereicht, so dass hier ähnliche Entscheidungen zu erwarten sind.
Mit dem Statistikwerkzeug habe der Webseitenbetreiber personenbezogene Daten des Beschwerdeführers an Google übermittelt, begründet die DSB den Beschluss. Dazu zählten einzigartige Nutzer-Identifikationsnummern, die IP-Adresse und Browserparameter. Googles Standardvertragsklauseln böten kein „angemessenes Schutzniveau“, um die „Überwachungs- und Zugriffsmöglichkeiten durch US-Nachrichtendienste“ nach dem Foreign Intelligence Surveillance Act (FISA) zu beseitigen.
Google hatte argumentierte, im Rahmen der Standarddatenschutzklauseln „technische und organisatorische Maßnahmen“ („TOMs“) wie Verschlüsselungstechniken, Zäune um Datenzentren und die Überprüfung von Behördenanfragen ergriffen zu haben. Die DSB sah diese Maßnahmen aber als weitgehend wirkungslos an gegenüber den Ansprüchen von Geheimdiensten wie der NSA oder der Polizeibehörde FBI.