Die österreichische Datenschutzbehörde (DSB) hat vor Kurzem erklärt, dass die Nutzung von Google Analytics gegen die DSGVO verstößt. Die DSB war somit die erste europäische Datenschutzbehörde, die entschieden hat, dass Transfers von EU-Daten durch Google Analytics -- die durch die DSGVO geschützt sind -- in die Vereinigten Staaten illegal sind. Ihre Entscheidung stützte sich auf die 101 Musterbeschwerden von noyb - der Website des österreichischen Datenschützers Max Schrems - mit Verweis auf die „Schrems II-Entscheidung“ aus dem Jahr 2020, in der der Europäische Gerichtshof (EuGH) erklärte, dass die Nutzung von US-Providern gegen die DSGVO verstößt.

Nicht nur gibt Big Tech keine Garantie dafür, dass europäische Daten in der EU gespeichert bleiben, sondern die Überwachungsgesetze der US-Regierung verpflichten US-Anbieter wie Google oder Facebook ausdrücklich dazu, die personenbezogenen Daten von Internetnutzern an US-Behörden weiterzugeben.

Weitere Beschlüsse der Datenschutzbehörden anderer EU-Mitgliedstaaten, wie der französischen CNIL, folgten kurz darauf, und die Aufsichtsbehörden bildeten gemeinsam eine „Task Force“ innerhalb des Europäischen Datenschutzausschusses.

Welche Risiken bestehen für Unternehmen, die weiterhin mit Google Analytics arbeiten?

Die DSB kam zu dem Schluss, dass Datenstransfers in die Vereinigten Staaten derzeit nicht ausreichend geregelt sind. Obwohl Google zusätzliche Maßnahmen zur Regelung von Datentransfers im Zusammenhang mit Google Analytics ergriffen hat, sind die derzeitigen Verfahren immer noch nicht ausreichend, um die Anforderungen der DSGVO zu erfüllen. Wenn Unternehmen also weiterhin Google Analytics verwenden und damit ihre Daten illegal exportieren, wird sie davon ausgehen, dass diese Datentransfers gegen die DSGVO verstoßen.

Ein Verstoß gegen die DSGVO kann mit einer Geldstrafe in Höhe von 20 Millionen Euro oder 4 % des weltweiten Umsatzes geahndet werden. Hinzu kommen die langfristigen Kosten, zu denen Ermittlungs- und Eskalationsmaßnahmen, Kosten für die Benachrichtigung, Reaktionsmaßnahmen nach Datenschutzverletzungen, entgangene Geschäfte und irreparable Schäden am Ruf des Unternehmens gehören.

Was sollten Unternehmen tun, um sicherzustellen, dass sie auf der richtigen Seite der DSGVO stehen?

Unternehmen, die unter die DSGVO fallende Daten verwenden, müssen sicherstellen, dass sie mit einem Anbieter zusammenarbeiten, der die Verordnung einhält. Im Gegensatz zu Google Analytics ist Piano Analytics nicht nur konform mit den Vorgaben der DSGVO, sondern stimmt mit den Vorschlägen der ePrivacy-Verordnung überein.

Hier sind die 5 Datenschutzregeln, die jedes Unternehmen verstehen muss, um die DSGVO einzuhalten.

Warum Unternehmen mit Piano Analytics auf der sicheren Seite sind

Die DSGVO ist komplex und enthält Dutzende von Artikeln mit Regeln und Standards, die Unternehmen erfüllen müssen, um datenschutzkonform zu bleiben. Piano Analytics versucht einige der Kernkomponenten der aktuellen Datenschutzbestimmungen zu vereinfachen, damit Unternehmen sicher beurteilen können, welche Analytics-Lösung die richtige für sie ist.

EU-Datenspeicherung und Klarheit in Bezug auf die Transfers

Die DSGVO, die in Artikel 5 festlegt, dass personenbezogene Daten „auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden müssen“, zwingt die Unternehmen dazu, vollständige Klarheit darüber schaffen, wie sie Daten sammeln, verarbeiten und nutzen.

Das bedeutet, sich deutlich für den Schutz ihrer Kundendaten einzusetzen, eine strenge Datenschutzpolitik einzuführen, die ausdrückliche Einwilligung zur Verwendung von Kundendaten einzuholen und diese Daten nicht ohne Erlaubnis weiterzugeben.

Piano Analytics verpflichtet sich uneingeschränkt dazu, die Privatsphäre der Nutzer zu respektieren und die grundlegenden Werte des Datenschutzes zu fördern - durch vollständige Offenlegung der Art und Weise, wie wir Daten sammeln, verarbeiten und nutzen, sowohl auf unseren Websites als auch auf denen unserer Kunden, die unsere Digital-Analytics-Lösung nutzen.

Außerdem werden alle Daten von Piano Analytics in der EU verarbeitet und gespeichert. Dies ist eine vertragliche Verpflichtung, die wir mit unseren Anbietern eingegangen sind, und wir verpflichten uns auch gegenüber unseren Kunden.

Pianos Definition von personenbezogenen Daten

Die offizielle Definition der DSGVO für personenbezogene Daten lautet: „Alle Informationen, die sich auf eine (direkt oder indirekt) identifizierte oder identifizierbare Person beziehen, insbesondere durch Bezugnahme auf eine Online-Kennung“ Außerdem heißt es in Artikel 5, dass „personenbezogene Daten auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden müssen“. Das bedeutet, dass alle Website- und App-Anbieter, die personenbezogene Daten sammeln, genau darlegen müssen, wie diese Informationen gesammelt und verwendet werden.

Piano Analytics ist eindeutig in den Informationen, die wir unseren Kunden für ihre Endnutzer bereitstellen.Diese Informationen müssen auch leicht zugänglich und in einer klaren Form dargestellt werden.  Wir stellen unseren Kunden eine Vereinbarung über die Verarbeitung personenbezogener Daten (DPA) zur Verfügung, in der die Rollen und Zuständigkeiten der einzelnen Parteien sowie spezifische datenschutzbezogene technische Funktionen definiert sind, um eine optimale Strategie für die Verarbeitung personenbezogener Daten zu gewährleisten.

Klare Endnutzerrechte

Die DSGVO enthält zahlreiche Artikel zum Schutz der Nutzerrechte, die für alle Unternehmen, die im Rahmen der Verordnung arbeiten, durchsetzbar sind. Dazu gehört das Recht der Nutzer auf Auskunft, Löschung, Berichtigung, Einschränkung der Verarbeitung, Übertragbarkeit und Widerspruch. Diese Rechte sind darauf  ausgelegt, die Nutzer zu den wirklichen Eigentümern ihrer persönlichen Daten zu machen, sodass sie diese jederzeit abrufen und verwalten können.

Als DSGVO-konforme Lösung legt Piano Analytics klar dar, wie es die Vorschriften in Bezug auf die Endrechte seiner Benutzer einhält. Unsere DPA enthält spezifische Bestimmungen für die Rechte der Endnutzer in Bezug auf alle oben genannten Rechte.

Einfaches Opt-out-Management

Die Einwilligung der Nutzer in die Verarbeitung ihrer Daten ist einer der Grundpfeiler der DSGVO und erfordert ein „Opt-in“. Dies bedeutet, dass die Einwilligung freiwillig, für einen spezifischen Fall, in Kenntnis der Sachlage und durch eine eindeutige bestätigende Handlung erteilt werden muss, die von der betroffenen Person jederzeit widerrufen werden kann. Es ist nicht akzeptabel, dass die Einwilligung durch die Untätigkeit der betroffenen Person oder durch die Bereitstellung von „vorher angekreuzten Kästchen“ erteilt wird.

Piano Analytics verfügt über klare 1st Party Opt-out-Methoden, die Plattformbesitzer einfach implementieren können. Bei Bedarf ist auch ein Drittanbieter-Link verfügbar. Damit bieten wir den Zielgruppen eine einfache, benutzerfreundliche und DSGVO-konforme Möglichkeit, die Datenverfolgung zu deaktivieren.

Unterstützung, datenschutzkonform zu sein

Neben der vollen Transparenz, die Piano Analytics wie oben beschrieben bietet, fordert Artikel 28 der DSGVO eine Analyselösung zur gegenseitigen Unterstützung ihrer Kunden. Als Subunternehmer ist es notwendig, seinen Kunden, die für die Datenverarbeitung verantwortlich sind, alle erforderlichen Elemente und Informationen zur Verfügung zu stellen, um deren vollständige Einhaltung nachzuweisen.

Es ist daher unerlässlich, mit einer Lösung zu arbeiten, die auf Ihrer Seite ist, über eine klare und zugängliche Dokumentation und Ansprechpartner verfügt, die Ihnen helfen, die Konformität Ihrer Lösung sicherzustellen.

Halten Sie Ihr Unternehmen mit Piano Analytics DSGVO-konform

Piano Analytics setzt sich seit langem für die Achtung der Privatsphäre der Nutzer und die Förderung der grundlegenden Werte des Datenschutzes ein. Wir sind DSGVO-konform und erklären genau, wie wir Daten sammeln, verarbeiten und nutzen, sowohl auf unseren Websites als auch auf denen unserer Kunden, die unsere Digital-Analytics-Lösung nutzen.

Sie können gerne eine Demo anfordern, um mehr darüber zu erfahren, wie Piano Ihr Unternehmen vor dem potenziellen finanziellen und markenbezogenen Schaden eines DSGVO-Verstoßes schützen kann.