Seit der Safe Harbor Entscheidung des EUGH befinden sich viele Unternehmen in einem Dilemma. Jegliche Datenverarbeitung, die auf Grundlage von Safor Harbor erfolgte, ist seither nicht mehr mit dem Datenschutzrecht in Europa zu vereinbaren. Von der Entscheidung ist auch Google mit der Analysesoftware Google Analytics betroffen. Da sich die von Google bereitgehaltene Auftragsdatenverarbeitung ebenfalls auf das Abkommen berief, war die damit legitimierte Datenverarbeitung durch die Gerichtsentscheidung ebenfalls nicht mehr zulässig. Der Hamburgische Datenschutzbeauftragte entfernte aus dem diesem Grund seine auf der Website veröffentlichte Handreichung zur datenschutzgerechten Nutzung von Google Analytics und kündigte neue Gespräche mit Google an.

Google Analytics rechtwidrig

Diese Gespräche haben sich nunmehr erübrigt, denn Google hat für deutsche Kunden einen neuen Vertrag zur Auftragsdatenverarbeitung bereitgestellt. Der aktuelle Vertrag ist unter folgendem Link abrufbar:

Google Analytics Auftragsdatenverarbeitung (Privacy Shield version)

In dem neuen Vertragsdokument wurde der ursprüngliche Verweis auf Safe Harbor entfernt. Durch den Beitritt der Google Inc. zum neuen Privacy Shield im September 2016, sind nunmehr die Voraussetzungen für einen zulässigen Datentransfer bei Google Analytics gegeben, sofern dies zusätzlich in einer Auftragsdatenverarbeitung vereinbart wird.

Was müssen Unternehmen jetzt tun?
Wenn Ihr Unternehmen Google Analytics nutzt, muss die neue Privacy Shield Version mit Google vereinbart werden. Andernfalls werden Voraussetzungen an den internationalen Datentransfer nicht erfüllt, da der Datentransfer auf Grundlage des Privacy Shields nur nach entsprechender Vereinbarung zur Auftragsdatenverarbeitung zulässig ist. Da sich der Altvertrag von Google auf eine ungültige Rechtsgrundlage (Safe Harbor) für den Datentransfer in die USA beruft, ist diese Vereinbarung nicht mehr gültig und muss durch die neue Version ersetzt werden.

Klicken Sie einfach auf diesen Link, füllen Sie die Angaben zu Ihren Unternehmen aus und schicken das Dokument per Post an die Kontaktanschrift von Google in Irland. Sie erhalten im Anschluss ein gezeichnetes Exemplar von Google zurück. Darüber hinaus müssen Unternehmen natürlich weiterhin die übrigen Voraussetzungen (Anonymisierung der IP-Adresse, Widerspruchsmöglichkeit) zum datenschutzkonformen Einsatz von Google beachten. Wie das genau funktioniert, erfahren Sie in diesem Beitrag von uns.