Die Einbindung von Google Analytics auf Websites verstößt gegen die europäische Datenschutzgrundverordnung. Zu diesem Ergebnis kommt die österreichische Datenschutzbehörde aufgrund einer Musterbeschwerde des vom Datenschutzaktivisten Max Schrems geführten Vereins Nyob. Der entsprechende Bescheid erschien am 13. Januar, zwei Tage nachdem der Europäische Datenschutzbeauftragte seinerseits das Europaparlament wegen eines Verstoßes gegen die "DSGVO für EU-Institutionen" sanktioniert hatte – auch hier war Google Analytics im Einsatz.

Das Tool, das vieles über die Besucher von Websites verrät, ist allerdings nur ein Teil des Problems. Generell sind Dienste von US-Anbietern betroffen, so auch Cloud-Lösungen; das Urteil berührt fundamentale Elemente deutschen und europäischen Wirtschaftens, von der Industrial Cloud über Customer Relationship Management (CRM) bis zur Briefvorlage in Office 365 und zurück in jede datenbasierte Kooperation mit US-Unternehmen. Denn solange US-Anbieter nicht garantieren können, dass US-Nachrichtendienste ohne Zugriff auf die standardmäßig in die USA übertragenen Analytics-Daten sind, so lange verstoßen ihre Produkte gegen europäisches Recht.

Google kann das nicht garantieren. Die Zugriffsrechte der US-Geheimdienste waren schon Teil der Begründung von "Schrems II", das im Sommer 2020 das Privacy-Shield-Abkommen kippte. Ein Nachfolger: nicht in Sicht. Das ist überwiegend gleichmütig hingenommen worden, solange sich niemand beschwerte. Doch Schrems und Nyob beschweren sich jetzt: In aktuell gut hundert Beschwerdeverfahren machen sie die juristische Lücke schmerzhaft deutlich.

Den Schmerz spürt auch Googles Chef-Justiziar Kent Walker. In einem am 19. Januar veröffentlichten Text mahnt er dringend ein neues, rechtssicheres Abkommen zwischen EU und USA an. Er verweist auf die Rolle eines "offenen, globalen Internets" und die enorme wirtschaftliche Bedeutung der Möglichkeit, Informationen zu teilen. Außerdem, so Walker vage, habe Google in den 15 Jahren, in denen Google seine Services anbiete, "kein einziges Mal die Art von Forderung erhalten, über die die Datenschutzbehörde spekuliert". Nun ja, nicht umsonst spricht man von Geheimdiensten. Die Diskussion um den Import von Daten und die mangelhafte Regulierung von Datenübertragungen berührt bei Google jedenfalls die komplette Produktpalette und das datenbasierte Werbegeschäft. Ähnlich ist das bei anderen Datenanbietern.

Für die Europäer heißt das, in der globalisierten Welt von heute die eigenen Werte und Grundrechte nicht mehr nur in Vorschriften und Forderungen, sondern auch in Strukturen, Institutionen und Prozesse zu übersetzen. Die neue deutsche Regierung ist dazu zwar kurz angebunden und muss ihren Gestaltungswillen noch beweisen, aber mit Dateninstituten und Datentreuhandmodellen stehen in ihrem Koalitionsvertrag auf jeden Fall vielversprechend strukturelle Ansätze drin. Hier kann das lange diskutierte Motiv europäischer Souveränität tatsächlich mit Inhalt gefüllt werden.

Bis dahin sollten sich global handelnde Unternehmen der Unsicherheit bewusst sein und sie in ihre Strategien integrieren. Für die tägliche Anwendung bedeutet dies noch stärker als bisher die Suche nach eigenen und gemeinsamen Lösungen – Bandenbildung im Mittelstand, Zusammenarbeit bei technologischen Innovationen, der Aufbau gemeinsamer Ökosysteme. Multinationale Konzerne werden zukünftig mehr als bisher auf verschiedenen Infrastrukturen aufsetzen und entsprechend unterschiedliche Compliance-Strukturen aufbauen müssen. Datensicherheit – Datenverschlüsselung, dezentrale Datenhaltung, In-use-protection – muss Vorstandsthema sein.