Österreichische Datenschutzbehörde: Google Analytics verstößt gegen die DSGVO

stopp[Update 14.02.2022] Nach der österreichischen Datenschutzbehörde entschied nun auch die französische Datenschutzbehörde "CNIL", dass der Einsatz von Google Analytics auf europäischen Websites nicht mit der DSGVO vereinbar ist (vgl. https://www.heise.de/news/Frankreichs-Datenschutzbehoerde-Google-Analytics-ist-in-der-EU-rechtswidrig-6439306.html). Die ergriffenen zusätzlichen Maßnahmen (wie z. B. Standarddatenschutzklauseln) reichen nach Ansicht der CNIL nicht aus um das bestehende Risiko (Zugriff der US-Geheimdienste) auszuschließen. Es ist zu erwarten, dass andere europäische Aufsichtsbehörden bald ebenfalls nachlegen und den Einsatz von Google Analytics als rechtswidrig einstufen. Die niederländische Datenschutzbehörde "Autoriteit Persoonsgegevens" weist in ihren FAQ zum Einsatz von Google Analytics bereits darauf hin, dass die Verwendung von Google Analytics möglicherweise bald nicht mehr zulässig sein wird (vgl. https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/internet-telefoon-tv-en-post/cookies#hoe-kan-ik-bij-google-analytics-de-privacy-van-mijn-websitebezoekers-beschermen-4898).

Wie wir in einem kurzen Blogbeitrag bereits berichteten, erklärte die österreichische Datenschutzbehörde die Übermittlung personenbezogener Daten in die USA durch den Einsatz von Google Analytics auf Websites aus der EU für datenschutzwidrig.

Seit dem Ende des EU-US Privacy Shield-Abkommens (wir berichteten hier) ist eine Übermittlung personenbezogener Daten in die USA auf der Grundlage dieses Teilangemessenheitsbeschlussesrechtlich nicht mehr zulässig. US-Unternehmen wie Google sind im Zuge des Urteils auf andere von der DSGVO vorgesehene Schutzmechanismen ausgewichen. Insbesondere verwenden diese Unternehmen nunmehr die (neuen) Standarddatenschutzklauseln der EU. Die Standarddatenschutzklauseln stellen  laut der österreichischen Datenschutzbehörde keine ausreichende Garantie im Sinne der DSGVO dar, da Sie den Nutzer nicht ausreichend vor dem Zugriff durch US-Nachrichtendienste schützen.

Grundlage der Entscheidung der Aufsichtsbehörde

Im Juli 2020 erklärte der Europäische Gerichtshof (EuGH) in seinem „Schrems II“-Urteil (Urt. v. 16.7.2019, Az. C-311/18) das EU-US Privacy Shield -Abkommen für ungültig. Bei dem Abkommen handelte es sich um einen Teil- Angemessenheitsbeschluss der EU-Kommission gemäß Art. 45 DSGVO, der als Rechtsgrundlage für die Übermittlung personenbezogener Daten in die USA diente.

Liegt kein Angemessenheitsbeschluss vor, können Datenübermittlungen in Drittländer auch auf Basis anderer geeigneter Garantien im Sinne des Art. 46 DSGVO erfolgen. Darunter fallen grundsätzlich auch Standarddatenschutzklauseln, die der EuGH im „Schrems II“-Urteil grundsätzlich weiterhin für zulässig erachtete und für deren Übernahme sich Google entschied. Die EU überarbeitete nach dem Urteil sogar die Standarddatenschutzklauseln, die bis zum Zeitpunkt der Überarbeitung noch aus der Zeit vor in Kraft treten der DSGVO stammten.
Gegen das EU-US Privacy Shield hatte der österreichische Datenschutzaktivist Max Schrems geklagt. Im Nachgang des Urteils hatte NOYB - Europäisches Zentrum für digitale Rechte, eine Vereinigung, der Max Schrems angehört, nach eigener Aussage 101 Musterbeschwerden gegen Unternehmen eingereicht, die Websites unter Nutzung von Plugins wie an Google und Facebook betreiben (vgl. https://noyb.eu/de/101-beschwerden-zu-eu-us-transfers-eingereicht). Die Entscheidung der österreichischen Datenschutzbehörde ist nun eine der ersten Entscheidungen, die auf eine Beschwerde von noyb hin ergingen.
Die noyb-Beschwerde richtete sich gegen einen österreichischen Webseitenbetreiber, der auf seiner Website Google Analytics eingebunden hatte, sowie gegen Google selbst.

Die übermittelten Daten sind personenbezogen

Laut der österreichischen Datenschutzbehörde (österreichische DSB) erfolge bei der Verwendung von Google Analytics auf einer Website eine Übermittlung personenbezogener Daten der Nutzer an Google. Die einzigartige Nutzer-Identifikations-Nummer, IP-Adresse und die Browserparameter könnten bereits einzeln betrachtet personenbezogene Daten gemäß Art. 4 Nr. 1 DSGVO sein.
Kombiniere man diese Daten, werde es umso wahrscheinlicher, dass Nutzer identifiziert werden können. „Der „digitale Fußabdruck“ des Beschwerdeführers werde nach Ansicht der österreichischen DSB durch eine solche Kombination noch einzigartiger.“ (Entscheidung der österreichischen DSB, S. 29).

Für die Frage nach der Identifizierbarkeit einer Person sei es auch nicht erforderlich, dass der Websitebetreiber bzw. Google jeweils alleine den Bezug zur Person herstellen kann. „Vielmehr sei ausreichend, dass irgendjemand – mit rechtlich zulässigen Mitteln und vertretbarem Aufwand – diesen Personenbezug herstellen könne“ (Entscheidung der österreichischen DSB, S. 29).
Im zu entscheidenden Fall war der Beschwerdeführer in seinen Google-Account eingeloggt, sodass über den Google-Account eine Zuordnung der die Online-Kennungen aus dem Tool Google Analytics zu der betroffenen Person zugeordnet werden konnte. (Entscheidung der österreichische DSB, S. 31).
Dagegen argumentierte Google, dass eine solche Zuordnung nur unter gewissen Voraussetzungen, wie etwa der Aktivierung personalisierter Werbung in den Kontoeinstellungen, möglich sei.
Die österreichische DSB ist jedoch der Auffassung, dass technisch alle Möglichkeiten für eine Identifizierbarkeit vorlägen, wenn diese nur davon abhänge, ob bestimmte Willenserklärungen im Google-Account abgegeben würden. (Entscheidung der österreichischen DSB, S. 31).
Darüber hinaus sei auch die Identifizierung von Personen durch US-Behörden nicht ausgeschlossen, zumal es in der Vergangenheit bereits Datenanfragen bei Google gegeben habe.
Im Ergebnis handele es sich bei den übermittelten Daten daher um personenbezogenen Daten gemäß Art. 4 Nr. 1 DSGVO.

Standarddatenschutzklauseln reichen auch in Verbindung mit TOMs nicht aus

Für die übermittelten personenbezogenen Daten gewähren die Standarddatenschutzklauseln, die der Websitebetreiber mit Google abgeschlossen hat, kein angemessenes Schutzniveau, wie es Art. 44. DSGVO fordert.
Die österreichische Datenschutzbehörde bezieht sich dabei inhaltlich auf die im Rahmen des „Schrems II“-Urteils getätigten Einschätzungen des EuGH. Standarddatenschutzklauseln selbst stellen keine hinreichende Garantie für die Übermittlung personenbezogener Daten dar, sondern benötigen aufgrund der jeweils im Land geltenden Besonderheiten ggf. weitere geeignete Garantien und Maßnahmen. Dies liegt darin begründet, dass Standardvertragsklauseln nicht in der Lage sind, Behörden aus einem Drittstaat zu binden. (Entscheidung der österreichischen DSB, S. 35).

Als Anbieter elektronischer Kommunikationsdienste unterfällt nach Ansicht der österreichischen DSB Google der Überwachung durch US- Geheimdienste. Google kann dabei potentiell auch verpflichtet werden, US-Behörden personenbezogene Daten zur Verfügung zu stellen.
Die Datenübermittlung in die USA kann aufgrund dieser Tatsache daher nicht allein auf die Standarddatenschutzklauseln gestützt werden. Rein praktisch sieht die österreichische DSB keine von Google vorgesehene Möglichkeit, wie Google die Nutzer effektiv vor diesem Zugriff schützt.
Für die österreichische DSB ist zudem nicht erkennbar „inwiefern der Schutz der Kommunikation zwischen den einzelnen Google-Diensten, der Schutz von Daten im Transit zwischen Rechenzentren, der Schutz der
 Kommunikation zwischen Nutzern und Websites oder eine „On-Site-Security“ gesetzlich durchsetzbaren Zugriffen auf Daten durch US-Behörden verhindern könnten. Selbst die Verwendung von Standard-Verschlüsselungstechnologien sieht die österreichische DSB als ebenso wirkungslos an, da es US-Behörden auf Basis der aktuellen Rechtslage auch erlaubt ist,  auch den kryptografischen Schlüssel von Google zu verlangen. (Entscheidung der österreichische DSB, S. 38).
Im Ergebnis besteht für die Übermittlung personenbezogener Daten durch den Websitebetreiber an Google in die USA kein angemessenes Schutzniveau gemäß Art. 44  und die Übermittlung war daher rechtswidrig

Ähnliche Stellungnahme durch Europäischen Datenschutzbeauftragten (EDSB)

Im Hinblick auf die Rechtmäßigkeit der Übermittlung personenbezogener Daten an Google, teilt der der Europäische Datenschutzbeauftragte (EDSB) die Meinung der österreichischen Kollegen. Auf eine Beschwerde von noyb hin wurde durch den EDSB dem Europäische Parlament eine Unterlassungsanordnung wegen rechtswidriger Datenübermittlungen in die USA verfügt. Die Verwendung von Google Analytics und dem Zahlungsanbieter Stripe auf einer Website des Parlaments verstößt nach dessen Ansicht gegen das „Schrems II“-Urteil des EuGH.
Der Abschluss von Standardvertragsklauseln ersetzt grundsätzliche nicht die Prüfung, ob für die übermittelten personenbezogenen Daten im Einzelfall im Drittstaat ein angemessenes Schutzniveau besteht, welches dem Schutzniveau für personenbezogene Daten in der EU gleichwertig ist. (Entscheidung des EDSB, S. 14).
Das Vorliegen eines im Wesentlichen gleichwertigen Schutzniveaus durch vertragliche, technische und organisatorische Maßnahmen wurde durch das Parlament nicht hinreichend belegt.

Welche Zugriffsbefugnisse haben US-Behörden überhaupt?

Wie weitreichend die Zugriffsbefugnisse der US-Behörden auf Daten sind, untersucht ein im Auftrag der Datenschutzkonferenz erstelltes Gutachten (Gutachten zum aktuellen Stand des US-Überwachungsrechts und der Überwachungsbefugniss vom 15.11.2021 – Prof. Stephan I. Vladek).
Autor des Gutachtens ist Professor Stephen I. Vladeck von der University of Texas School of Law.
Nach Ansicht von Professor Vladek ist unter anderem der für die Anwendbarkeit der einschlägigen Gesetze zentrale Begriff „electronic communication service provider“  weit zu verstehen, da dieser neben klassischen IT- und Telekommunikationsunternehmen z.B. auch Banken, Fluggesellschaften, Hotels oder Versanddienstleister erfasst.
Folgende Punkte werden in dem Gutachten unter anderem hervorgehoben:

  • Die US-Gesetze nehmen keine Rücksicht auf anderweitige Gesetze, da diese „ungeachtet anderer gesetzlicher Bestimmungen“ gelten. Dies gilt nicht ausschließlich für US-Recht sondern auch für alle exterritorialen Gesetze und Rechtsgrundlagen.
    Die Möglichkeit zum Erlass eines „Durchsuchungbefehl[s] (der bei hinreichendem Verdacht auf eine Straftat ausgestellt werden kann)“, mit dem “in einem geeigneten Fall […] praktisch alle Daten im Besitz des Empfängers [herausgefordert werden können]“.
  • Die entsprechenden Gesetze verfolgen nämlich generell das Ziel der Beweismittelsicherung in Strafverfahren, der Spionageabwehr oder der Überwachung bestimmter Branchen auf Einhaltung zivilrechtlicher Vorschriften (S. 13);
  • Die US-Behörden verfügen über Mittel zur Durchsetzung solches Zugangsrechts, z.B. Geldstrafen bei Nichteinhaltung von Gerichtsbeschlüssen ( S. 14);
  • Es gibt eine – in ihrem Anwendungsbereich auf exterritoriale Gegebenheiten rechtlich umstrittene Pflicht zur Vorratsdatenspeicherung (S. 17);
  • Rechtsbehelfe gegen den Zugriff auf Daten stehen auch betroffenen EU-Bürgern nur eingeschränkt zur Verfügung (vgl. S. 18 ff.)

Die Auswirkungen der Entscheidung der österreichischen Datenschutzbehörde

Nach Ansicht der österreichischen Datenschutzbehörde ist die Nutzung von Google Analytics in der EU datenschutzwidrig.
Die Entscheidung durch eine österreichische Behörde betrifft den konkreten Fall eines österreichischen Websitebetreibers.
Auch bei deutschen Aufsichtsbehörden sind derzeit Beschwerden von NOYB anhängig. Im Lichte des „Schrems II“-Urteils, der Ansicht des Europäischen Datenschutzbeauftragten und der neuen Orientierungshilfe für Anbieter:innen von Telemdien (vgl. https://datenschutzkonferenz-online.de/media/oh/20211220_oh_telemedien.pdf) ist zu erwarten, dass deutschen Aufsichtsbehörden den Einsatz von Google Analytics ebenfalls als rechtlich höchst problematisch bewerten werden.
Auch wenn es schwer fällt, muss aus rechtlicher Sicht weiterhin dazu geraten werden, auf Dienste von US-Anbietern zu verzichten und nach Möglichkeit entsprechende europäische Dienste einzusetzen. Hier bietet sich eine Exit-Strategie an, bei der Unternehmen evaluieren welche Daten Sie tatsächlich benötigen und nach entsprechenden – datenschutzfreundlicheren – Alternativen suchen.
Ob und in wieweit sich hier eine „Besserung“ der Lage einstellt (z.B. durch ein neues EU-US-Privacy Shield) bleibt abzuwarten. Aufgrund der derzeitigen politischen Entwicklungen ist jedoch nicht mit einer raschen Änderung der Rechtslage zu rechnen.

Co-Autor: Wissenschaftliche Mitarbeiterin – Stud. jur. Caroline Weis


Bildquelle: Bild von ndemello auf Pixabay

Benjamin Schmidt
Autor: Benjamin Schmidt
Diplomjurist & Business Development Manager
Autoren-Info:
Herr Diplomjurist Benjamin Schmidt gehört dem Team von DURY LEGAL bereits seit Januar 2016 an. Er ist Leiter der Website-Check Abteilung und ist in dieser Funktion zuständig für deren technischen Systeme im Zusammenhang mit der rechtlichen Prüfung von Webseiten und Online-Shops. Seine Abteilung bildet die Schnittstelle zur Website-Check GmbH, die ebenfalls der DURY Gruppe angehört. Er unerstützt zudem das Dezernat von Rechtsanwalt Marcus Dury LL.M.im Bereich der Vertragsbearbeitung und rechtlichen Beratung in IT-Projekten.

datenschutz luxemburg 2019 DURY cover

Jetzt bestellen: DURY / KERZ - Datenschutz in Luxemburg

Dieses Handbuch gibt einen praxisnahen Einblick in die Besonderheiten des luxemburgischen Datenschutzrechts und deren Zusammenspiel mit der Datenschutzgrundverordnung (DSGVO). Seit dem 25. Mai 2018 ist die DSGVO wirksam. Das neue luxemburgische Datenschutzgesetz ist seit dem 20. August 2018 in allen Datenverarbeitungsprozessen mit Bezug zu Luxemburg ergänzend zu der DSGVO zu beachten.
Im ersten Teil dieses Buches erfahren Sie, welche neuen gesetzlichen Anforderungen die DSGVO und das neue luxemburgische Datenschutzgesetz an Unternehmen in Luxemburg bzw. Konzernstrukturen mit Bezug zu Luxemburg stellen.
Im zweiten Teil des Buches finden Sie eine systematische Darstellung der DSGVO und des luxemburgischen Datenschutzgesetzes.
Es soll Ihnen im Unternehmensalltag helfen, datenschutzrechtliche Vorgaben in Luxemburg einzuhalten und diese in der Praxis mit möglichst wenig Aufwand umzusetzen.
Das Buch, inklusive des Textes des luxemburgischen Datenschutzgesetzes, ist in drei Sprachen erhältlich: Französisch, Englisch und Deutsch. Die deutsche und englische Übersetzung des Gesetzestextes sind zudem von der luxemburgischen Aufsichtsbehörde (CNPD) autorisiert, sodass Sie sicher sein können, dass Ihnen bei der Anwendung der Übersetzungen kein Nachteil gegenüber der Anwendung des ursprünglichen Gesetzeswortlauts entsteht.

Zielgruppe

Dieses Praxishandbuch richtet sich an alle, die sich mit dem Thema Datenschutz in Luxemburg beruflich beschäftigen, z. B. Datenschutzbeauftragte in Unternehmen oder Vereinen, Berater, Geschäftsführer oder sonstige IT-Verantwortliche.

Bestellen Sie jetzt per Fax unter +49 (0) 8581 754, bei Amazon.de oder auf www.shop.ruw.de