Österreichische Datenschutzbehörde: Google Analytics verstößt gegen die DSGVO

Datenschutzrecht-Blog 08. Februar 2022

stopp [Update 14.02.2022] Nach der österreichischen Datenschutzbehörde entschied nun auch die französische Datenschutzbehörde "CNIL", dass der Einsatz von Google Analytics auf europäischen Websites nicht mit der DSGVO vereinbar ist (vgl. https://www.heise.de/news/Frankreichs-Datenschutzbehoerde-Google-Analytics-ist-in-der-EU-rechtswidrig-6439306.html). Die ergriffenen zusätzlichen Maßnahmen (wie z. B. Standarddatenschutzklauseln) reichen nach Ansicht der CNIL nicht aus um das bestehende Risiko (Zugriff der US-Geheimdienste) auszuschließen. Es ist zu erwarten, dass andere europäische Aufsichtsbehörden bald ebenfalls nachlegen und den Einsatz von Google Analytics als rechtswidrig einstufen. Die niederländische Datenschutzbehörde "Autoriteit Persoonsgegevens" weist in ihren FAQ zum Einsatz von Google Analytics bereits darauf hin, dass die Verwendung von Google Analytics möglicherweise bald nicht mehr zulässig sein wird (vgl. https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/internet-telefoon-tv-en-post/cookies#hoe-kan-ik-bij-google-analytics-de-privacy-van-mijn-websitebezoekers-beschermen-4898).

Wie wir in einem kurzen Blogbeitrag bereits berichteten, erklärte die österreichische Datenschutzbehörde die Übermittlung personenbezogener Daten in die USA durch den Einsatz von Google Analytics auf Websites aus der EU für datenschutzwidrig.

Seit dem Ende des EU-US Privacy Shield-Abkommens (wir berichteten hier) ist eine Übermittlung personenbezogener Daten in die USA auf der Grundlage dieses Teilangemessenheitsbeschlussesrechtlich nicht mehr zulässig. US-Unternehmen wie Google sind im Zuge des Urteils auf andere von der DSGVO vorgesehene Schutzmechanismen ausgewichen. Insbesondere verwenden diese Unternehmen nunmehr die (neuen) Standarddatenschutzklauseln der EU. Die Standarddatenschutzklauseln stellen laut der österreichischen Datenschutzbehörde keine ausreichende Garantie im Sinne der DSGVO dar, da Sie den Nutzer nicht ausreichend vor dem Zugriff durch US-Nachrichtendienste schützen.

Grundlage der Entscheidung der Aufsichtsbehörde

Im Juli 2020 erklärte der Europäische Gerichtshof (EuGH) in seinem „Schrems II“-Urteil (Urt. v. 16.7.2019, Az. C-311/18) das EU-US Privacy Shield -Abkommen für ungültig. Bei dem Abkommen handelte es sich um einen Teil- Angemessenheitsbeschluss der EU-Kommission gemäß Art. 45 DSGVO, der als Rechtsgrundlage für die Übermittlung personenbezogener Daten in die USA diente.

Liegt kein Angemessenheitsbeschluss vor, können Datenübermittlungen in Drittländer auch auf Basis anderer geeigneter Garantien im Sinne des Art. 46 DSGVO erfolgen. Darunter fallen grundsätzlich auch Standarddatenschutzklauseln, die der EuGH im „Schrems II“-Urteil grundsätzlich weiterhin für zulässig erachtete und für deren Übernahme sich Google entschied. Die EU überarbeitete nach dem Urteil sogar die Standarddatenschutzklauseln, die bis zum Zeitpunkt der Überarbeitung noch aus der Zeit vor in Kraft treten der DSGVO stammten.
Gegen das EU-US Privacy Shield hatte der österreichische Datenschutzaktivist Max Schrems geklagt. Im Nachgang des Urteils hatte NOYB - Europäisches Zentrum für digitale Rechte, eine Vereinigung, der Max Schrems angehört, nach eigener Aussage 101 Musterbeschwerden gegen Unternehmen eingereicht, die Websites unter Nutzung von Plugins wie an Google und Facebook betreiben (vgl. https://noyb.eu/de/101-beschwerden-zu-eu-us-transfers-eingereicht). Die Entscheidung der österreichischen Datenschutzbehörde ist nun eine der ersten Entscheidungen, die auf eine Beschwerde von noyb hin ergingen.
Die noyb-Beschwerde richtete sich gegen einen österreichischen Webseitenbetreiber, der auf seiner Website Google Analytics eingebunden hatte, sowie gegen Google selbst.

Die übermittelten Daten sind personenbezogen

Laut der österreichischen Datenschutzbehörde (österreichische DSB) erfolge bei der Verwendung von Google Analytics auf einer Website eine Übermittlung personenbezogener Daten der Nutzer an Google. Die einzigartige Nutzer-Identifikations-Nummer, IP-Adresse und die Browserparameter könnten bereits einzeln betrachtet personenbezogene Daten gemäß Art. 4 Nr. 1 DSGVO sein.
Kombiniere man diese Daten, werde es umso wahrscheinlicher, dass Nutzer identifiziert werden können. „Der „digitale Fußabdruck“ des Beschwerdeführers werde nach Ansicht der österreichischen DSB durch eine solche Kombination noch einzigartiger.“ (Entscheidung der österreichischen DSB, S. 29).

Für die Frage nach der Identifizierbarkeit einer Person sei es auch nicht erforderlich, dass der Websitebetreiber bzw. Google jeweils alleine den Bezug zur Person herstellen kann. „Vielmehr sei ausreichend, dass irgendjemand – mit rechtlich zulässigen Mitteln und vertretbarem Aufwand – diesen Personenbezug herstellen könne“ (Entscheidung der österreichischen DSB, S. 29).
Im zu entscheidenden Fall war der Beschwerdeführer in seinen Google-Account eingeloggt, sodass über den Google-Account eine Zuordnung der die Online-Kennungen aus dem Tool Google Analytics zu der betroffenen Person zugeordnet werden konnte. (Entscheidung der österreichische DSB, S. 31).
Dagegen argumentierte Google, dass eine solche Zuordnung nur unter gewissen Voraussetzungen, wie etwa der Aktivierung personalisierter Werbung in den Kontoeinstellungen, möglich sei.
Die österreichische DSB ist jedoch der Auffassung, dass technisch alle Möglichkeiten für eine Identifizierbarkeit vorlägen, wenn diese nur davon abhänge, ob bestimmte Willenserklärungen im Google-Account abgegeben würden. (Entscheidung der österreichischen DSB, S. 31).
Darüber hinaus sei auch die Identifizierung von Personen durch US-Behörden nicht ausgeschlossen, zumal es in der Vergangenheit bereits Datenanfragen bei Google gegeben habe.
Im Ergebnis handele es sich bei den übermittelten Daten daher um personenbezogenen Daten gemäß Art. 4 Nr. 1 DSGVO.

Standarddatenschutzklauseln reichen auch in Verbindung mit TOMs nicht aus

Für die übermittelten personenbezogenen Daten gewähren die Standarddatenschutzklauseln, die der Websitebetreiber mit Google abgeschlossen hat, kein angemessenes Schutzniveau, wie es Art. 44. DSGVO fordert.
Die österreichische Datenschutzbehörde bezieht sich dabei inhaltlich auf die im Rahmen des „Schrems II“-Urteils getätigten Einschätzungen des EuGH. Standarddatenschutzklauseln selbst stellen keine hinreichende Garantie für die Übermittlung personenbezogener Daten dar, sondern benötigen aufgrund der jeweils im Land geltenden Besonderheiten ggf. weitere geeignete Garantien und Maßnahmen. Dies liegt darin begründet, dass Standardvertragsklauseln nicht in der Lage sind, Behörden aus einem Drittstaat zu binden. (Entscheidung der österreichischen DSB, S. 35).

Als Anbieter elektronischer Kommunikationsdienste unterfällt nach Ansicht der österreichischen DSB Google der Überwachung durch US- Geheimdienste. Google kann dabei potentiell auch verpflichtet werden, US-Behörden personenbezogene Daten zur Verfügung zu stellen.
Die Datenübermittlung in die USA kann aufgrund dieser Tatsache daher nicht allein auf die Standarddatenschutzklauseln gestützt werden. Rein praktisch sieht die österreichische DSB keine von Google vorgesehene Möglichkeit, wie Google die Nutzer effektiv vor diesem Zugriff schützt.
Für die österreichische DSB ist zudem nicht erkennbar „inwiefern der Schutz der Kommunikation zwischen den einzelnen Google-Diensten, der Schutz von Daten im Transit zwischen Rechenzentren, der Schutz der
Kommunikation zwischen Nutzern und Websites oder eine „On-Site-Security“ gesetzlich durchsetzbaren Zugriffen auf Daten durch US-Behörden verhindern könnten. Selbst die Verwendung von Standard-Verschlüsselungstechnologien sieht die österreichische DSB als ebenso wirkungslos an, da es US-Behörden auf Basis der aktuellen Rechtslage auch erlaubt ist, auch den kryptografischen Schlüssel von Google zu verlangen. (Entscheidung der österreichische DSB, S. 38).
Im Ergebnis besteht für die Übermittlung personenbezogener Daten durch den Websitebetreiber an Google in die USA kein angemessenes Schutzniveau gemäß Art. 44 und die Übermittlung war daher rechtswidrig

Welche Zugriffsbefugnisse haben US-Behörden überhaupt?

Wie weitreichend die Zugriffsbefugnisse der US-Behörden auf Daten sind, untersucht ein im Auftrag der Datenschutzkonferenz erstelltes Gutachten (Gutachten zum aktuellen Stand des US-Überwachungsrechts und der Überwachungsbefugniss vom 15.11.2021 – Prof. Stephan I. Vladek).
Autor des Gutachtens ist Professor Stephen I. Vladeck von der University of Texas School of Law.
Nach Ansicht von Professor Vladek ist unter anderem der für die Anwendbarkeit der einschlägigen Gesetze zentrale Begriff „electronic communication service provider“ weit zu verstehen, da dieser neben klassischen IT- und Telekommunikationsunternehmen z.B. auch Banken, Fluggesellschaften, Hotels oder Versanddienstleister erfasst.
Folgende Punkte werden in dem Gutachten unter anderem hervorgehoben:

Die US-Gesetze nehmen keine Rücksicht auf anderweitige Gesetze, da diese „ungeachtet anderer gesetzlicher Bestimmungen“ gelten. Dies gilt nicht ausschließlich für US-Recht sondern auch für alle exterritorialen Gesetze und Rechtsgrundlagen.
Die Möglichkeit zum Erlass eines „Durchsuchungbefehl[s] (der bei hinreichendem Verdacht auf eine Straftat ausgestellt werden kann)“, mit dem “in einem geeigneten Fall […] praktisch alle Daten im Besitz des Empfängers [herausgefordert werden können]“.
Die entsprechenden Gesetze verfolgen nämlich generell das Ziel der Beweismittelsicherung in Strafverfahren, der Spionageabwehr oder der Überwachung bestimmter Branchen auf Einhaltung zivilrechtlicher Vorschriften (S. 13);
Die US-Behörden verfügen über Mittel zur Durchsetzung solches Zugangsrechts, z.B. Geldstrafen bei Nichteinhaltung von Gerichtsbeschlüssen ( S. 14);
Es gibt eine – in ihrem Anwendungsbereich auf exterritoriale Gegebenheiten rechtlich umstrittene Pflicht zur Vorratsdatenspeicherung (S. 17);
Rechtsbehelfe gegen den Zugriff auf Daten stehen auch betroffenen EU-Bürgern nur eingeschränkt zur Verfügung (vgl. S. 18 ff.)

Die Auswirkungen der Entscheidung der österreichischen Datenschutzbehörde

Nach Ansicht der österreichischen Datenschutzbehörde ist die Nutzung von Google Analytics in der EU datenschutzwidrig.
Die Entscheidung durch eine österreichische Behörde betrifft den konkreten Fall eines österreichischen Websitebetreibers.
Auch bei deutschen Aufsichtsbehörden sind derzeit Beschwerden von NOYB anhängig. Im Lichte des „Schrems II“-Urteils, der Ansicht des Europäischen Datenschutzbeauftragten und der neuen Orientierungshilfe für Anbieter:innen von Telemdien (vgl. https://datenschutzkonferenz-online.de/media/oh/20211220_oh_telemedien.pdf) ist zu erwarten, dass deutschen Aufsichtsbehörden den Einsatz von Google Analytics ebenfalls als rechtlich höchst problematisch bewerten werden.
Auch wenn es schwer fällt, muss aus rechtlicher Sicht weiterhin dazu geraten werden, auf Dienste von US-Anbietern zu verzichten und nach Möglichkeit entsprechende europäische Dienste einzusetzen. Hier bietet sich eine Exit-Strategie an, bei der Unternehmen evaluieren welche Daten Sie tatsächlich benötigen und nach entsprechenden – datenschutzfreundlicheren – Alternativen suchen.
Ob und in wieweit sich hier eine „Besserung“ der Lage einstellt (z.B. durch ein neues EU-US-Privacy Shield) bleibt abzuwarten. Aufgrund der derzeitigen politischen Entwicklungen ist jedoch nicht mit einer raschen Änderung der Rechtslage zu rechnen.

Co-Autor: Wissenschaftliche Mitarbeiterin – Stud. jur. Caroline Weis

Bildquelle: Bild von ndemello auf Pixabay