Die Zukunft von Google Analytics
Die österreichische Aufsichtsbehörde entschied vor Kurzem in einer Musterbeschwerde, die von der Organisation noyb (Europäisches Zentrum für digitale Rechte) eingereicht wurde, dass die Datenübermittlung im Rahmen der Nutzung von Google Analytics unzulässig ist und gegen Art. 44 DSGVO (Datenschutzgrundverordnung) verstößt. Die noyb hatte gegen die Websitebetreiberin von netdoktor.at Beschwerde eingereicht, da diese das Tool Google Analytics eingesetzt hatte und damit personenbezogene Daten des Beschwerdeführers unzulässig in die USA übermittelte.
Will man personenbezogene Daten von Deutschland in ein Drittland übertragen, schreibt Art. 44 DSGVO vor, dass diese Übermittlung nur dann zulässig ist, wenn der Verantwortliche und der Auftragsverarbeiter die in Kapitel V der DSGVO niedergelegten Bedingungen einhalten und auch die sonstigen Bestimmungen der DSGVO eingehalten werden.
Personenbezogene Daten
Bei der Nutzung von Google Analytics werden beispielsweise einzigartige Online-Kennungen („unique identifier“), Informationen zum Browser und Betriebssystem, zur Bildschirmauflösung und Sprachauswahl, zu Datum und Uhrzeit des Besuchs der Website sowie die (ggf. anonymisierte) IP-Adresse des Websitebesuchers verarbeitet. Nach Ansicht der Aufsichtsbehörde nehmen Nachrichtendienste gewisse Online-Kennungen (wie die IP-Adresse oder einzigartige Kennnummern) als Ausgangspunkt für die Überwachung von Einzelpersonen. Es kann daher möglich sein, dass Nachrichtendienste bereits Informationen gesammelt haben, mit deren Hilfe die durch Google Analytics übertragenen Daten auf die betroffene Person rückführbar sind.
Die Aufsichtsbehörde ist der Auffassung, dass es sich hierbei um personenbezogene Daten gemäß Art. 4 Nr. 1 DSGVO handelt, wodurch die DSGVO Anwendung findet.
Bedingungen in Kapitel V
In den Art. 45 ff. DSGVO ist festgelegt, unter welchen Bedingungen eine Datenübermittlung in ein Drittland zulässig ist. Die Zulässigkeit kann beispielsweise erreicht werden:
- Durch einen Angemessenheitsbeschluss (Art. 45 DSGVO),
- die Vereinbarung geeigneter Garantien (Art. 46 DSGVO) oder
- sofern eine Ausnahme für bestimmte Fälle vorliegt (Art. 49 DSGVO).
Datenübermittlung auf der Grundlage eines Angemessenheitsbeschlusses gemäß Art. 45 DSGVO
Zunächst kann die Datenübermittlung in ein Drittland dann zulässig sein, wenn die Europäische Kommission beschlossen hat, dass das betreffende Drittland ein angemessenes Schutzniveau bietet. Existiert für ein Drittland ein solcher Angemessenheitsbeschluss, darf eine Datenübermittlung ohne besondere Genehmigung erfolgen. Das Drittland wird dann wie ein Land der EU behandelt.
Bisher hat die Europäische Kommission für die folgenden Länder ein angemessenes Schutzniveau anerkannt und einen Angemessenheitsbeschluss erlassen: Andorra, Argentinien, Kanada (kommerzielle Organisationen), Färöer Inseln, Guernsey, Israel, Isle of Man, Japan, Jersey, Neuseeland, Republik Korea (Südkorea), Schweiz, das Vereinigte Königreich und Uruguay.
Für die USA gab es mit dem EU-US Privacy Shield eine Absprache, die aus Zusicherungen der US-amerikanischen Regierung und einem Angemessenheitsbeschluss der Europäischen Kommission bestand. Dieser wurde allerdings vom Europäischen Gerichtshof (EuGH) am 16. Juli 2020 (C‑3118/18) für ungültig erklärt. Seither muss für die Datenübermittlung in die USA eine der Bedingungen der Art. 46, 47 oder 49 DSGVO erfüllt sein.
Datenübermittlung vorbehaltlich geeigneter Garantien gemäß Art. 46 DSGVO
Liegt für ein Drittland kein Beschluss gemäß Art. 45 DSGVO vor, darf gemäß Art. 46 DSGVO ein Verantwortlicher oder Auftragsverarbeiter personenbezogene Daten in ein Drittland nur dann übermitteln, sofern der Verantwortliche oder der Auftragsverarbeiter geeignete Garantien vorgesehen hat und den betroffenen Personen durchsetzbare Rechte und Rechtsbehelfe zur Verfügung stehen. Worin geeignete Garantien bestehen können, listet Art. 46 in seinem Abs. 2 DSGVO auf: Das können beispielsweise rechtlich bindende und durchsetzbare Dokumente zwischen den Behörden oder öffentlichen Stellen, verbindliche interne Datenschutzvorschriften gemäß Art. 47 DSGVO oder die Vereinbarung von Standarddatenschutzklauseln gemäß Art. 46 II lit. c) sein.
Standarddatenschutzklauseln sind von der Europäischen Kommission entworfene Musterverträge. Werden für die Datenübermittlung die Standarddatenschutzklauseln verwendet, ist die Datenübermittlung genehmigungsfrei, sofern keine Änderungen an den Klauseln vorgenommen wurden. Es ist aber zulässig, weitere Klauseln oder zusätzliche Garantien hinzuzufügen, solange diese nicht im Widerspruch zu den von der Kommission erlassenen Standarddatenschutzklauseln stehen oder die Grundrechte und Grundfreiheiten der betroffenen Person beschneiden. Soll die Datenübermittlung in die USA auf die Standarddatenschutzklauseln gestützt werden, sind nach dem EuGH zudem weitere Maßnahmen erforderlich, um ein gleichwertiges Schutzniveau wie in der EU zu erreichen. Nach den Empfehlungen 01/2020 der EDSA (European Data Protection Board) können diese Maßnahmen technischer, vertraglicher und/oder organisatorischer Natur sein.
Im vorliegenden Fall hatte die Websitebetreiberin die Standarddatenschutzklauseln mit Google abgeschlossen. Als zusätzliche vertragliche und organisatorische Maßnahmen wurde folgendes vereinbart:
- Benachrichtigung der betroffenen Person über Datenanfragen
- Veröffentlichung eines Transparenzberichts
- Richtlinie im Umgang mit Regierungsanfragen sowie
- die sorgfältige Prüfung einer jeden Datenzugriffsabfrage
Google hatte zusätzlich folgende technische Maßnahmen implementiert:
- Schutz der Kommunikation mit Google-Diensten
- Schutz von Daten im Transit von Rechenzentren
- Schutz der Kommunikation zwischen Nutzern und Websites
- eine „On-Site-Security“, die Zugriffsmöglichkeiten von US-Nachrichtendiensten auf der Grundlage des US-Rechts tatsächlich verhindern oder einschränken soll
- Verschlüsselung der „Daten im Ruhezustand“ sowie
- Anonymisierung der IP-Adressen
Die Aufsichtsbehörde hat hierzu entschieden, dass die mit Google abgeschlossenen Standarddatenschutzklauseln kein angemessenes Datenschutzniveau bieten, da Google als Anbieter elektronischer Kommunikationsdienste im Sinne von 50 U.S. Code § 1881 (b)(4) zu qualifizieren ist und damit der Überwachung durch die US-Geheimdienste („FISA 702“) unterliegt. Dass es sich hierbei nicht nur um eine „theoretische Gefahr“ handelt, zeige zum einen das Urteil des EuGH, der aufgrund der Methoden und Zugriffsmöglichkeiten der US-Behörden den Privacy-Shield für unzulässig erklärt hatte und zum anderen der von Google veröffentlichte Transparenzbericht, der verdeutlicht, dass es zu Anfragen durch Behörden in der Vergangenheit gekommen ist.
Die zusätzlichen Maßnahmen, die zwischen der Websitebetreiberin und Google vereinbart wurden, waren nach Auffassung der Behörde nicht effektiv, da diese die Überwachungs- und Zugriffsmöglichkeiten durch US-Nachrichtendienste nicht beseitigen konnten. So geht nach der Aufsichtsbehörde beispielsweise die Maßnahme „Verschlüsselung der Daten im Ruhezustand“ ins Leere, da Google verpflichtet ist, den Zugriff auf die Daten zu gewähren und einen etwaigen kryptographischen Schlüssel herauszugeben.
Die Anonymisierung der IP-Adressen wurde im vorliegenden Fall nicht korrekt implementiert, sodass sich die Behörde hiermit nicht ausführlich befassen musste. Allerdings ließ sie durchblicken, dass eine Anonymisierung an der Bewertung nichts geändert hätte, da eine IP-Adresse ohnehin nur eines von vielen „Puzzleteilen“ des digitalen Fußabdrucks der betroffenen Person ist.
Damit konnte die Websitebetreiberin die Datenübermittlung an Google nicht auf Art. 46 II lit. c) stützen, da keine zusätzlichen effektiven Maßnahmen vereinbart wurden.
Ausnahmen für bestimmte Fälle gemäß Art. 49
Falls weder ein Angemessenheitsbeschluss vorliegt noch geeignete Garantien − wie beispielsweise die Vereinbarung von Standarddatenschutzklauseln − bestehen, ist eine Übermittlung von personenbezogenen Daten in ein Drittland unter den in Art. 49 Abs. 1 DSGVO aufgezählten Bedingungen zulässig. Eine Bedingung kann beispielsweise dann erfüllt sein, wenn die Übermittlung für die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen erforderlich ist, die Übermittlung zur Geltendmachung, Ausübung und Verteidigung von Rechtsansprüchen erforderlich ist oder, wenn die betroffene Person in die Datenübermittlung ausdrücklich eingewilligt hat.
Da im vorliegenden Fall keine der Bedingungen erfüllt war, musste die Behörde hierüber auch nicht entscheiden. Es wäre insbesondere interessant gewesen, ob die Einholung der Einwilligung ausgereicht hätte.
Wie geht es weiter?
Die hier vorgestellte Entscheidung ist die erste von insgesamt 101 Musterbeschwerden, die noyb in 30 EU- und EWR-Mitgliedsstaaten eingereicht hat. Die nächsten Entscheidungen werden in Kürze folgen. Es bleibt abzuwarten, ob die anderen Aufsichtsbehörden der Auffassung der österreichischen Aufsichtsbehörde folgen. Angesicht der Tatsache, dass vor kurzem sowohl der Europäische Datenschutzbeauftragte als auch die CNIL (Frankreichs Datenschutzbehörde) den Einsatz von Google Analytics für rechtswidrig befunden haben, ist davon auszugehen, dass die nächsten Entscheidungen ähnlich ausfallen werden.
Fazit
Das Risiko beim Einsatz von Google Analytics ist aktuell sehr hoch. Im Sinne einer Risikovermeidung ist daher zu empfehlen, Google Analytics nicht mehr einzusetzen und stattdessen einen Anbieter aus der EU zu beauftragen.
Wenn Google Analytics dennoch weiterhin eingesetzt werden soll, ist darauf zu achten, dass eine ausdrückliche und vor allem informierte Einwilligung des Websitebesuchers für die Übermittlung in die USA vorliegt. Die Anforderungen an eine rechtswirksame Einwilligung hat die Datenschutzkonferenz (DSK) in ihrer Orientierungshilfe der Aufsichtsbehörden für Anbieter:innen von Telemedien ausführlich beschrieben.
Ob eine Einwilligung aber tatsächlich ausreicht, werden wohl die nächsten Entscheidungen klären.
Daniela Frank, Datenschutzbeauftragte
Zurück zur Newsletter Artikel-Übersicht.
