Über die Autoren
Stefan Evertz M.Sc.
Geschäftsführer
Datenschutzbeauftragter TÜV
Dennis Morgenstern LL.M.
Frame for Business GmbH
Wirtschaftsjurist
UPDATE VOM 11.02.2022
Nun ist auch die französische Behörde den Kollegen aus Österreich gefolgt und hat den Einsatz von Google Analytics für unzulässig erklärt. Andere EU-Datenschutzbehörden könnten folgen.
Google Analytics ist der Marktführer unter den Website-Tracking Diensten. Auf Websites, bei denen der Dienst eingebunden ist, werden zahlreiche Daten der Besucher erfasst. Nach dem Google Analytics Verbot sorgen sich viele Websitebetreiber vor rechtlichen Schwierigkeiten. Im diesem Beitrag geben wir eine Einschätzung zu den möglichen Auswirkungen des Urteils.
Eine wichtige Erkenntnis vorweg:
Die Folgen gehen weit über Google Analytics hinaus. Betroffen sind sämtliche US-Dienste, die ein Tracking ermöglichen.
Österreichische Datenschutzbehörde:
Google Analytics ist unzulässig!
Nun erklärte die österreichische Datenschutzbehörde den Dienst Google Analytics für unzulässig. Vorausgegangen war eine Beschwerde von Max Schremms (Jurist und Datenschutz-Aktivist), die sich gegen einen österreichischen Internetseiten-Betreiber richtete, der auf seiner Website Google Analytics verwendete.
Auf der Website wurde die IP-Anonymisierung auf Grund eines Codefehlers nicht richtig implementiert.
Allerdings sah Max Schrems und seine Organisation NOYB nicht nur in der Übermittlung der IP-Adresse ein personenbezogenes Datum. Auch die sogenannten „Kennnummern“, die in den von Google Analytics gesetzten Cookies vorhanden waren, wurden als personenbezogene Daten eingestuft, da es möglich ist mithilfe solcher Kennnummern Website-Betreiber zu unterscheiden und auch Information darüber zu erhalten, ob des sich um einen neuen oder einen erneuten Nutzer handelt.
Dies sah das Gericht ebenfalls so und hielt fest, dass die Kennnummern personenbezogene Daten sein können.
Rechtlicher Hintergrund
Grundlage dieser Einschätzung, ist der Beschluss des EuGH, vom 16.07.2020, (dieser geht ebenfalls auf eine Beschwerde von Max Schrems zurück). Der EuGH stellte fest, dass in den USA kein Datenschutzniveau herrscht, welches dem europäischen Standard entspricht. Dies wurde vor allem darauf gestützt, dass amerikanische Geheimdienste auf Daten von europäischen Nutzern zugreifen können, ohne dass diesen hiergegen geeignete Rechtsmittel zur Verfügung stehen.
Da der EuGH innerhalb der Entscheidung bestätigt hat, dass weiterhin sogenannte Standardvertragsklauseln zulässig sind, stützen sich Unternehmen wie Google hierauf. Dabei handelt es sich um Klauseln, die von der Europäischen Kommission herausgegeben werden. Verwendet werden die Standardvertragsklauseln um Verträge mit US-Anbietern über die Übermittlung personenbezogener Daten in die USA zu schließen.
Dies ist allerdings kein Freifahrtsschein! Denn der EuGH hat zeitgleich die Datenschutzbehörden aufgefordert, Einzelfallbezogen zu überprüfen, ob die Standardvertragsklauseln in dem Zielland überhaupt eine Wirkung entfalten können. Das bedeutet, dass auch ein Vertrag mit Standardvertragsklauseln schwer bis überhaupt nicht durchsetzbar ist, wenn in dem Zielland der Daten kein der EU gleichwertiges Datenschutzniveau vorhanden ist. Unserer Auffassung nach, muss man dies bei den USA annehmen. Aktuell fehlt für die USA ein Angemessenheitsbeschluss. Gleiches gilt für entsprechende Garantien zwischen der EU und den USA.
Der Schutz der Nutzerdaten kann im Zielland USA somit nicht gewährleistet werden, da aktuell kein der EU gleichwertiges Datenschutzniveau vorhanden ist und keine Garantien im Hinblick auf das Unterbleiben von Zugriffen auf die übermittelten Daten durch staatliche Stellen gegeben sind.
Die österreichische Datenschutzbehörde stellt in ihrer Entscheidung fest, dass die Datenübermittlung nicht allein auf die abgeschlossenen Standardvertragsklauseln gestützt werden kann. Auch die gegenständlichen „zusätzlichen Maßnahmen“ sind laut Behörde nicht effektiv, da diese die im Rahmen des EuGH-Urteils Schrems II aufgezeigten Rechtsschutzlücken – also die Zugriffs- und Überwachungsmöglichkeiten von US-Nachrichtendiensten – nicht schließen.
Wo ist das Problem?
Es kann nicht ausgeschlossen werden, dass US-Behörden auf Grundlage von Abschnitt 702 des Foreign Intelligence Surveillance Act (kurz FISA; zu Deutsch etwa „Gesetz zur Überwachung in der Auslandsaufklärung“, ein Gesetz, das die Auslandsaufklärung und Spionageabwehr der Vereinigten Staaten regelt) auf die Daten zugreifen. Auch ein Zugriff auf Grund des sogenannten Cloud Acts kann nicht ausgeschlossen werden, sodass kein auch bei Speicherung der Daten in der EU kein ausreichender Schutz gegeben ist, so lange es sich um ein amerikanisches (Mutter)Unternehmen handelt.
EU-Bürger haben somit keine effektive Rechtsschutzmöglichkeit gegen den Zugriff und die Verarbeitung der Daten durch US-Behörden. Dies bestätigt nun auch die österreichische Datenschutzbehörde. Ihrer Einschätzung nach ist der Schutz der durch Google gesammelten Nutzerdaten, trotz Standardvertragsklauseln und sonstigen Maßnahmen wie Transparenzberichte etc. nicht ausreichend.
Einzelfall oder richtungsweisende Entscheidung?
Es wird enger. Von einem Einzelfall kann nicht mehr die Rede sein. Die niederländischen Behörden beschäftigen sich ebenfalls mit dem Thema. Unserer Einschätzung nach, ist es eine Zeitfrage bis die deutschen Behörden vor einer entsprechenden Entscheidung stehen.
Gerüchten zu Folge handelt es sich bei dem Urteil, um eine koordinierte Aktion innerhalb der EU. Wenn sich dies bestätigt, war Österreich nur der Anfang und die weiteren EU-Länder dürften demnächst folgen.
Google Analytics mit Einwilligung zulässig?
Nein, auch eine informierte Einwilligung nach Art. 49 Abs. 1 lit. a DSGVO erteilte die österreichische Datenschutzbehörde eine Absage „Nach Auffassung der Datenschutzbehörde kann das Tool Google Analytics (jedenfalls in der Version vom 14. August 2020) somit nicht in Einklang mit den Vorgaben von Kapitel V DSGVO genutzt werden.“
Diese Einschätzung teilte auch die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder in ihrer Orientierungshilfe vom 20.12.2021: „Personenbezogene Daten, die im Zusammenhang mit der regelmäßigen Nachverfolgung von Nutzerverhalten auf Webseiten oder in Apps verarbeitet werden, können grundsätzlich nicht auf Grundlage einer Einwilligung nach Art. 49 Abs. 1 lit. a DS-GVO in ein Drittland übermittelt werden. Umfang und Regelmäßigkeit solcher Transfers widersprechen regelmäßig dem Charakter des Art. 49 DS-GVO als Ausnahmevorschrift und den Anforderungen aus Art. 44 S. 2 DS-GVO.“
Was Sie jetzt tun sollten
Unsere Empfehlung: Um „auf Nummer Sicher“ zu gehen, entfernen Sie Google Analytics von Ihrer Website. Es gibt gute europäische Alternativen, die ebenfalls kostenfrei sind. Wenn Sie hier eine kostenfreie Tool-Empfehlung haben wollen, schreiben Sie uns einfach eine Nachricht.
Wir machen Sie abmahnsicher
Jetzt Angebot für Ihre Website anfordern.
Unverbindlich und kostenfrei.