Viele Unternehmen haben seit der Safe Harbor Entscheidung des EUGH ein Problem. Die deutschen Datenschutzbehörden haben in einem gemeinsamen Positionspapier der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz) vom 26. Oktober 2015 klargestellt, dass eine Übermittlung von Daten, die allein auf Safe Harbor gestützt ist, durch das Urteil des Europäischen Gerichtshofs nunmehr ausgeschlossen sei. Von dieser Entscheidung war auch Google mit der Analysesoftware Google Analytics betroffen.
Google hat mittlerweile ein neues Vertragsdokument ( Google Analytics Auftragsdatenverarbeitung (Privacy Shield version) ) bereitgestellt, aus dem der ursprünglichen Verweis auf Safe Harbor entfernt wurde. Durch den Beitritt der Google Inc. zum neuen Privacy Shield im September 2016 sind damit die Voraussetzungen für einen zulässigen Datentransfer bei Google Analytics gegeben, sofern dies zusätzlich in einer Auftragsdatenverarbeitung vereinbart wird.
Was bedeutet das für ihr Unternehmen?
Wenn Sie in Ihrem Unternehmen Google Analytics einsetzen, muß die aktuelle Privacy Shield Version mit Google vereinbart werden. Wenn Sie dies nicht tun, sind Voraussetzungen am internationalen Datentransfer nicht erfüllt, da der Datentransfer auf Grundlage des Privacy Shields nur nach entsprechender Vereinbarung zur Auftragsdatenverarbeitung zulässig ist.
Der alte Vertrag mit Google ist damit ungültig, da er sich wie oben geschrieben auf das Safe Harbor Abkommen für den Datenverkehr mit den USA beruft.
Laden Sie sich das Dokument unter folgenden Link herunter, füllen Sie es vollständig aus und senden Sie es postalisch an die, im Dokument angegebenen Adresse von Google in Irland. Sie erhalten im Anschluss ein gezeichnetes Exemplar von Google zurück. Darüber hinaus müssen Unternehmen natürlich weiterhin die übrigen Voraussetzungen (Anonymisierung der IP-Adresse, Widerspruchsmöglichkeit) zum datenschutzkonformen Einsatz von Google beachten.