{"id":283388,"date":"2023-07-06T07:55:55","date_gmt":"2023-07-06T05:55:55","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=283388"},"modified":"2024-03-31T20:20:22","modified_gmt":"2024-03-31T18:20:22","slug":"schwedische-datenschutzbehrde-verhngt-millionenstrafe-wegen-google-analytics-nutzung","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/07\/06\/schwedische-datenschutzbehrde-verhngt-millionenstrafe-wegen-google-analytics-nutzung\/","title":{"rendered":"Schwedische Datenschutzbeh&ouml;rde verh&auml;ngt Millionenstrafe wegen Google Analytics-Nutzung; wann kommt Office 365?"},"content":{"rendered":"<p><img decoding=\"async\" title=\"Sicherheit (Pexels, allgemeine Nutzung)\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline\" alt=\"Sicherheit (Pexels, allgemeine Nutzung)\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" width=\"200\" align=\"left\"\/>Die schwedische Datenschutzbeh\u00f6rde (Swedish Authority for Privacy Protection, IMY) hat gegen den Betreiber Tele2 ein Bu\u00dfgeld in H\u00f6he von einer Million Euro verh\u00e4ngt. Insgesamt wurden vier Anbieter wegen der Verwendung von Google Analytics und dem einhergehenden Datentransfer in die USA gepr\u00fcft. Es gab vier Untersagungen der Verwendung von Google Analytics sowie zwei Geldbu\u00dfen. Vorausgegangen waren Beschwerden von Datensch\u00fctzern von noyb nach dem Schrems II-Urteil des Europ\u00e4ischen Gerichtshofs (EuGH). Der Fall wirft auch ein Schlaglicht auf die Verwendung von Microsoft Office 365 durch Unternehmen, die eine riskante Wette eingehen.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" alt=\"\" src=\"https:\/\/vg08.met.vgwort.de\/na\/92415861824d45858df64e7a05646310\" width=\"1\" height=\"1\"\/>Seit Mai 2018 ist der Einsatz von Google Analytics in Europa aus DSGVO-Gr\u00fcnden nicht mehr m\u00f6glich, weil die erforderliche Zustimmung der Nutzer zum Datentransfer in die USA von den Nutzern praktisch nicht eingeholt werden kann. Daher erstaunt mich der Vorgang doch etwas &#8211; denn ich hatte zu diesem Zeitpunkt sichergestellt, das Google Analytics hier in den Blogs keinen Zugriff hat (ich z\u00e4hle intern nur die Zahl der Artikelabrufe und die Zahl der Besucher). <\/p>\n<h2>Datentransfer in die USA als Problem<\/h2>\n<p>Gem\u00e4\u00df der Datenschutzverordnung (DSGVO, Englisch GDPR) d\u00fcrfen personenbezogene Daten ja nur dann in Drittl\u00e4nder, d. h. L\u00e4nder au\u00dferhalb der EU\/des EWR, \u00fcbermittelt werden, wenn die Europ\u00e4ische Kommission entschieden hat, dass das betreffende Land ein angemessenes Schutzniveau f\u00fcr personenbezogene Daten aufweist, das dem innerhalb der EU\/des EWR entspricht. <\/p>\n<p>Der EuGH hat jedoch in seinem Urteil in der Rechtssache Schrems II entschieden, dass die Vereinigten Staaten zum Zeitpunkt des Urteils nicht als Land mit einem solchen angemessenen Schutzniveau angesehen werden k\u00f6nnen (siehe <a href=\"https:\/\/borncity.com\/blog\/2020\/07\/16\/eugh-kippt-eu-us-datenschutzvereinbarung-privacy-shield\/\">EuGH kippt EU-US-Datenschutzvereinbarung \"Privacy Shield\"<\/a>). Aktuell gibt es kein entsprechendes Datenschutzabkommen &#8211; aber die USA und die EU-Kommission arbeiten daran (siehe meinen letzten Beitrag <a href=\"https:\/\/borncity.com\/blog\/2023\/07\/05\/usa-erfllen-verpflichtungen-des-eu-u-s-data-privacy-framework\/\">USA erf\u00fcllen Verpflichtungen des EU-U.S. Data Privacy Framework<\/a>). <\/p>\n<h2>Pr\u00fcfverfahren in Schweden<\/h2>\n<p>Die schwedische Beh\u00f6rde f\u00fcr den Schutz der Privatsph\u00e4re (IMY) hat gepr\u00fcft, wie vier Unternehmen Google Analytics f\u00fcr Webstatistiken verwenden. Die Audits beruhen auf Beschwerden der Organisation None of Your Business (NOYB) als Folge des Schrems II-Urteils des Europ\u00e4ischen Gerichtshofs (EuGH). In den Beschwerden wird behauptet, dass die Unternehmen unter Verletzung des Gesetzes personenbezogene Daten in die Vereinigten Staaten \u00fcbermitteln. <\/p>\n<p>Die IMY hat dann gepr\u00fcft, wie vier Unternehmen personenbezogene Daten \u00fcber Google Analytics, ein Tool zur Messung und Analyse des Datenverkehrs auf Websites, in die USA \u00fcbermitteln. Bei den gepr\u00fcften Unternehmen handelt es sich um CDON, Coop, Dagens Industri und Tele2. Die Audits betreffen eine Version von Google Analytics vom 14. August 2020.<\/p>\n<p>Die IMY verh\u00e4ngt gegen zwei der Unternehmen Bu\u00dfgelder. Eines der Unternehmen hat vor kurzem die Verwendung des Statistik-Tools aus eigener Initiative eingestellt, w\u00e4hrend den anderen Unternehmen die Verwendung von Google Analytics untersagt wurde. Das teilte die Beh\u00f6rde in <a href=\"https:\/\/web.archive.org\/web\/20230704103725\/https:\/\/www.imy.se\/en\/news\/companies-must-stop-using-google-analytics\/\" target=\"_blank\" rel=\"noopener\">dieser Meldung<\/a> mit.<\/p>\n<h2>Bu\u00dfgelder und Untersagung<\/h2>\n<p>Nach seinen Pr\u00fcfungen ist das IMY der Auffassung, dass es sich bei den \u00fcber das Statistik-Tool von Google in die USA \u00fcbermittelten Daten um personenbezogene Daten handelt, da die Daten mit anderen \u00fcbermittelten eindeutigen Daten verkn\u00fcpft werden k\u00f6nnen. Die Beh\u00f6rde kommt auch zu dem Schluss, dass die von den Unternehmen getroffenen technischen Sicherheitsma\u00dfnahmen nicht ausreichen, um ein Schutzniveau zu gew\u00e4hrleisten, das im Wesentlichen dem in der EU\/im EWR garantierten entspricht.<\/p>\n<ul>\n<li>Durch die Tatsache, dass IMY in diesen F\u00e4llen gleichzeitig entschieden hat, wird deutlich, welche Anforderungen an technische Sicherheitsma\u00dfnahmen und andere Ma\u00dfnahmen gestellt werden, wenn personenbezogene Daten in ein Drittland, in diesem Fall die Vereinigten Staaten, \u00fcbermittelt werden, so die Rechtsberaterin Sandra Arvidsson, die die Pr\u00fcfungen der Unternehmen leitete.  <\/li>\n<li>Liegt keine Entscheidung der Europ\u00e4ischen Kommission \u00fcber ein angemessenes Schutzniveau vor, k\u00f6nnen die Daten auf der Grundlage von Standardvertragsklauseln \u00fcbermittelt werden, die die Europ\u00e4ische Kommission beschlossen hat. Nach Auffassung des EuGH m\u00fcssen solche Standardvertragsklauseln jedoch m\u00f6glicherweise durch zus\u00e4tzliche Garantien erg\u00e4nzt werden, wenn der Schutz, den die Klauseln bieten sollen, in der Praxis aufrechterhalten werden muss.  <\/li>\n<li>Alle vier Unternehmen haben ihre Entscheidungen \u00fcber die \u00dcbermittlung personenbezogener Daten \u00fcber Google Analytics auf Standardvertragsklauseln gest\u00fctzt. Die Pr\u00fcfungen von IMY haben ergeben, dass keine der zus\u00e4tzlichen technischen Sicherheitsma\u00dfnahmen der Unternehmen ausreichend sind.  <\/li>\n<li>IMY verh\u00e4ngt ein Bu\u00dfgeld in H\u00f6he von 12 Millionen Schwedische Kronen (ca. 1 Million Euro) gegen Tele2 und 300.000 SEK (ca. 25.000 Euro) gegen CDON, das nicht die gleichen umfassenden Schutzma\u00dfnahmen wie Coop und Dagens Industri ergriffen hat.  <\/li>\n<li>Tele2 hat vor kurzem von sich aus die Verwendung des Statistik-Tools eingestellt. IMY hat die anderen drei Unternehmen angewiesen, das Tool nicht mehr zu verwenden.<\/li>\n<\/ul>\n<p>Diese Entscheidungen haben nicht nur Auswirkungen auf diese vier Unternehmen, sondern k\u00f6nnen auch anderen Organisationen, die Google Analytics verwenden, als Orientierung dienen, sagt Sandra Arvidsson. Die DSGVO hat also durchaus Z\u00e4hne, wenn die Datenschutzbeh\u00f6rden dies wollen. <\/p>\n<h2>Die riskante Office 365-Wette<\/h2>\n<p>Bei solchen Vorg\u00e4ngen bin ich ja ein Freund des \"\u00fcber den Sch\u00fcsselrand Schauens\" und mir ist sofort das Thema Microsoft Office 365 durch den Kopf gegangen. Die Deutsche Datenschutzkonferenz (DSK) hat nach zwei j\u00e4hrigen Pr\u00fcfungen festgestellt, dass sich Microsofts Office 365 nicht DSGVO-konform einsetzen l\u00e4sst (siehe <a href=\"https:\/\/borncity.com\/blog\/2022\/11\/26\/datenschutzkonferenz-2022-microsoft-365-weiterhin-nicht-datenschutzkonform\/\">Datenschutzkonferenz 2022: Microsoft 365 weiterhin nicht datenschutzkonform<\/a>). In Schulen wurde der Einsatz dieser Software sogar von Landesdatenschutzbeauftragten untersagt (siehe Links am Artikelende). <\/p>\n<p>Es gibt zwar Versuche, der EU-Kommission, den Datentransfer in die USA durch ein Datentransfer-Abkommen zu legalisieren. Den letzten Stand hatte ich die Woche im Beitrag <a href=\"https:\/\/borncity.com\/blog\/2023\/07\/05\/usa-erfllen-verpflichtungen-des-eu-u-s-data-privacy-framework\/\">USA erf\u00fcllen Verpflichtungen des EU-U.S. Data Privacy Framework<\/a> aufgegriffen. Dort hatte ich aber auch die Einsch\u00e4tzung gegeben, dass der EuGH in Luxemburg auch dieses neue Data Privacy Framework (DPF) mit den USA wegen fehlender Angemessenheit des Datenschutzes europ\u00e4ischer B\u00fcrger in den USA kippen d\u00fcrfte. <\/p>\n<p>Firmen, die auf dieser Basis auf Microsoft Office 365 und US-Cloud-Anbieter setzen, gehen in meinen Augen einen riskante Wette f\u00fcr die Zukunft ein. Denn dort werden Daten in die USA \u00fcbertragen, und oft ist sogar noch unklar, welche (pers\u00f6nlichen) Daten von Nutzern darunter sind &#8211; aus DSGVO-Sicht ein No-Go. <\/p>\n<p>Und irgendwelche \"wilden Definitionen der Art wir machen das per Erkl\u00e4rung\" stehen auch auf wackeligen F\u00fc\u00dfen, wie sich gerade am aktuellen EuGH-Urteil gegen Meta herauslesen l\u00e4sst (siehe mein Beitrag <a href=\"https:\/\/borncity.com\/blog\/2023\/07\/04\/eugh-erklrt-facebooks-metas-dsgvo-regeln-fr-illegal\/\">EuGH erkl\u00e4rt Facebooks\/Metas DSGVO-Regeln f\u00fcr illegal<\/a>). In diesem Fall hatten die Datensch\u00fctzer Meta eine heftige Geldbu\u00dfe aufgebrummt (siehe <a href=\"https:\/\/borncity.com\/blog\/2023\/05\/22\/eu-datenschtzer-brummen-meta-12-milliarden-geldbue-auf-datentransfer-in-die-usa-verboten\/\">EU-Datensch\u00fctzer brummen Meta 1,2 Milliarden Geldbu\u00dfe auf, Datentransfer in die USA verboten<\/a>). Meta hat daraus den Schluss gezogen, seinen heute startenden Dienst Threads (vorerst) nicht in die EU zu bringen (siehe <a href=\"https:\/\/borncity.com\/blog\/2023\/07\/05\/instagrams-threads-app-wird-in-der-eu-nicht-kommen\/\">Instagrams Threads-App wird in der EU nicht kommen<\/a>).<\/p>\n<p>Spannend wird jetzt, wie Pr\u00fcfverfahren ausgehen, sobald Datenschutzaktivisten oder Kunden Beschwerde beim Bundesdatenschutzbeauftragten des Bundes (BfDI) wegen des Einsatzes von Microsoft Office 365 einlegen. Der Bundesdatenschutzbeauftragte hat ja bereits laut nachgedacht, dass dann Pr\u00fcfverfahren und auch Bu\u00dfgelder drohen. Man kann es nat\u00fcrlich auch wie bei der PKW-Maut mit Andi Scheuer halten, der \"einfach eine andere Rechtsauffassung wie der EuGH hat\" halten &#8211; was aber teuer werden wird (siehe meinen heutigen Beitrag <a href=\"https:\/\/borncity.com\/senioren\/2023\/07\/06\/pkw-maut-was-kostet-ein-scheuer-mindestens-243-millionen-euro\/\" target=\"_blank\" rel=\"noopener\">PKW-Maut: Was kostet ein Scheuer? Mindestens 243 Millionen Euro<\/a>) dr\u00fcben im 50Plus-Blog. <\/p>\n<p><strong>\u00c4hnliche Artikel:<\/strong><br \/><a href=\"https:\/\/borncity.com\/blog\/2015\/10\/06\/safe-harbor-eugh-erklrt-abkommen-fr-ungltig\/\">Safe Harbor: EuGH erkl\u00e4rt Abkommen f\u00fcr ung\u00fcltig<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2020\/07\/16\/eugh-kippt-eu-us-datenschutzvereinbarung-privacy-shield\/\">EuGH kippt EU-US-Datenschutzvereinbarung \"Privacy Shield\"<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2020\/07\/27\/keine-karenzfrist-fr-unternehmen-nach-privacy-shield-eu-urteil\/\">Keine Karenzfrist f\u00fcr Unternehmen nach Privacy Shield-EU-Urteil<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2021\/05\/16\/datenschtzer-plant-durchgreifen-bei-privacy-shield-versten\/\">Datensch\u00fctzer plant durchgreifen bei Privacy Shield-Verst\u00f6\u00dfen<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2022\/03\/26\/vorlufige-einigung-zwischen-eu-und-usa-im-trans-atlantic-data-privacy-framework\/\">Vorl\u00e4ufige Einigung zwischen EU und USA im Trans-Atlantic Data Privacy Framework<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2022\/10\/09\/us-prsident-biden-bringt-datenschutzabkommen-privacy-shield-2-0-auf-den-weg\/\">US-Pr\u00e4sident Biden bringt Datenschutzabkommen \"Privacy Shield 2.0\" auf den Weg<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2022\/11\/26\/datenschutzkonferenz-2022-microsoft-365-weiterhin-nicht-datenschutzkonform\/\">Datenschutzkonferenz 2022: Microsoft 365 weiterhin nicht datenschutzkonform<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2022\/12\/03\/nachbetrachtung-zur-dsk-einstufung-microsoft-365-weiterhin-nicht-datenschutzkonform\/\">Nachbetrachtung zur DSK-Einstufung \"Microsoft 365 weiterhin nicht datenschutzkonform\"<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2022\/12\/11\/ms-365-dsgvo-konformitt-merkwrdiger-meinungsartikel-bei-heise\/\">MS 365 DSGVO-Konformit\u00e4t: Merkw\u00fcrdiger \"Meinungsartikel\" bei heise<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2022\/12\/14\/eu-kommission-fllt-vorlufige-angemessenheitsentscheidung-zum-trans-atlantic-data-privacy-framework\/\">EU-Kommission f\u00e4llt vorl\u00e4ufige Angemessenheitsentscheidung zum Trans-Atlantic Data Privacy Framework<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2021\/05\/09\/microsoft-365-an-schulen-baden-wrttembergs-datenschtzer-sagt-nein\/\">Microsoft 365 an Schulen, Baden-W\u00fcrttembergs Datensch\u00fctzer sagt Nein<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2023\/06\/27\/berufsschullehrer-verband-meint-ms-office-ist-dsgvo-konform-einsetzbar\/\">Berufsschullehrer-Verband \"meint\" MS Office ist DSGVO-konform einsetzbar<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Die schwedische Datenschutzbeh\u00f6rde (Swedish Authority for Privacy Protection, IMY) hat gegen den Betreiber Tele2 ein Bu\u00dfgeld in H\u00f6he von einer Million Euro verh\u00e4ngt. Insgesamt wurden vier Anbieter wegen der Verwendung von Google Analytics und dem einhergehenden Datentransfer in die USA &hellip; <a href=\"https:\/\/borncity.com\/blog\/2023\/07\/06\/schwedische-datenschutzbehrde-verhngt-millionenstrafe-wegen-google-analytics-nutzung\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[451],"class_list":["post-283388","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-datenschutz"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/283388","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=283388"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/283388\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=283388"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=283388"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=283388"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}