Die Zukunft von Goog­le Analytics

Die öster­rei­chi­sche Auf­sichts­be­hör­de ent­schied vor Kur­zem in einer Mus­ter­be­schwer­de, die von der Orga­ni­sa­ti­on noyb (Euro­päi­sches Zen­trum für digi­ta­le Rech­te) ein­ge­reicht wur­de, dass die Daten­über­mitt­lung im Rah­men der Nut­zung von Goog­le Ana­ly­tics unzu­läs­sig ist und gegen Art. 44 DSGVO (Daten­schutz­grund­ver­ord­nung) ver­stößt. Die noyb hat­te gegen die Web­site­be­trei­be­rin von netdoktor.at Beschwer­de ein­ge­reicht, da die­se das Tool Goog­le Ana­ly­tics ein­ge­setzt hat­te und damit per­so­nen­be­zo­ge­ne Daten des Beschwer­de­füh­rers unzu­läs­sig in die USA übermittelte.

Will man per­so­nen­be­zo­ge­ne Daten von Deutsch­land in ein Dritt­land über­tra­gen, schreibt Art. 44 DSGVO vor, dass die­se Über­mitt­lung nur dann zuläs­sig ist, wenn der Ver­ant­wort­li­che und der Auf­trags­ver­ar­bei­ter die in Kapi­tel V der DSGVO nie­der­ge­leg­ten Bedin­gun­gen ein­hal­ten und auch die sons­ti­gen Bestim­mun­gen der DSGVO ein­ge­hal­ten werden.

Per­so­nen­be­zo­ge­ne Daten

Bei der Nut­zung von Goog­le Ana­ly­tics wer­den bei­spiels­wei­se ein­zig­ar­ti­ge Online-Ken­nun­­gen („uni­que iden­ti­fier“), Infor­ma­tio­nen zum Brow­ser und Betriebs­sys­tem, zur Bild­schirm­auf­lö­sung und Sprach­aus­wahl, zu Datum und Uhr­zeit des Besuchs der Web­site sowie die (ggf. anony­mi­sier­te) IP-Adres­­se des Web­site­be­su­chers ver­ar­bei­tet. Nach Ansicht der Auf­sichts­be­hör­de neh­men Nach­rich­ten­diens­te gewis­se Online-Ken­nun­­gen (wie die IP-Adres­­se oder ein­zig­ar­ti­ge Kenn­num­mern) als Aus­gangs­punkt für die Über­wa­chung von Ein­zel­per­so­nen. Es kann daher mög­lich sein, dass Nach­rich­ten­diens­te bereits Infor­ma­tio­nen gesam­melt haben, mit deren Hil­fe die durch Goog­le Ana­ly­tics über­tra­ge­nen Daten auf die betrof­fe­ne Per­son rück­führ­bar sind.

Die Auf­sichts­be­hör­de ist der Auf­fas­sung, dass es sich hier­bei um per­so­nen­be­zo­ge­ne Daten gemäß Art. 4 Nr. 1 DSGVO han­delt, wodurch die DSGVO Anwen­dung findet.

Bedin­gun­gen in Kapi­tel V

In den Art. 45 ff. DSGVO ist fest­ge­legt, unter wel­chen Bedin­gun­gen eine Daten­über­mitt­lung in ein Dritt­land zuläs­sig ist. Die Zuläs­sig­keit kann bei­spiels­wei­se erreicht werden:

  • Durch einen Ange­mes­sen­heits­be­schluss (Art. 45 DSGVO),
  • die Ver­ein­ba­rung geeig­ne­ter Garan­tien (Art. 46 DSGVO) oder
  • sofern eine Aus­nah­me für bestimm­te Fäl­le vor­liegt (Art. 49 DSGVO).

Daten­über­mitt­lung auf der Grund­la­ge eines Ange­mes­sen­heits­be­schlus­ses gemäß Art. 45 DSGVO

Zunächst kann die Daten­über­mitt­lung in ein Dritt­land dann zuläs­sig sein, wenn die Euro­päi­sche Kom­mis­si­on beschlos­sen hat, dass das betref­fen­de Dritt­land ein ange­mes­se­nes Schutz­ni­veau bie­tet. Exis­tiert für ein Dritt­land ein sol­cher Ange­mes­sen­heits­be­schluss, darf eine Daten­über­mitt­lung ohne beson­de­re Geneh­mi­gung erfol­gen. Das Dritt­land wird dann wie ein Land der EU behandelt.

Bis­her hat die Euro­päi­sche Kom­mis­si­on für die fol­gen­den Län­der ein ange­mes­se­nes Schutz­ni­veau aner­kannt und einen Ange­mes­sen­heits­be­schluss erlas­sen: Andor­ra, Argen­ti­ni­en, Kana­da (kom­mer­zi­el­le Orga­ni­sa­tio­nen), Färö­er Inseln, Guern­sey, Isra­el, Isle of Man, Japan, Jer­sey, Neu­see­land, Repu­blik Korea (Süd­ko­rea), Schweiz, das Ver­ei­nig­te König­reich und Uruguay.

Für die USA gab es mit dem EU-US Pri­va­cy Shield eine Abspra­che, die aus Zusi­che­run­gen der US-ame­ri­­ka­­ni­­schen Regie­rung und einem Ange­mes­sen­heits­be­schluss der Euro­päi­schen Kom­mis­si­on bestand. Die­ser wur­de aller­dings vom Euro­päi­schen Gerichts­hof (EuGH) am 16. Juli 2020 (C‑3118/18) für ungül­tig erklärt. Seit­her muss für die Daten­über­mitt­lung in die USA eine der Bedin­gun­gen der Art. 46, 47 oder 49 DSGVO erfüllt sein.

Daten­über­mitt­lung vor­be­halt­lich geeig­ne­ter Garan­tien gemäß Art. 46 DSGVO

Liegt für ein Dritt­land kein Beschluss gemäß Art. 45 DSGVO vor, darf gemäß Art. 46 DSGVO ein Ver­ant­wort­li­cher oder Auf­trags­ver­ar­bei­ter per­so­nen­be­zo­ge­ne Daten in ein Dritt­land nur dann über­mit­teln, sofern der Ver­ant­wort­li­che oder der Auf­trags­ver­ar­bei­ter geeig­ne­te Garan­tien vor­ge­se­hen hat und den betrof­fe­nen Per­so­nen durch­setz­ba­re Rech­te und Rechts­be­hel­fe zur Ver­fü­gung ste­hen. Wor­in geeig­ne­te Garan­tien bestehen kön­nen, lis­tet Art. 46 in sei­nem Abs. 2 DSGVO auf: Das kön­nen bei­spiels­wei­se recht­lich bin­den­de und durch­setz­ba­re Doku­men­te zwi­schen den Behör­den oder öffent­li­chen Stel­len, ver­bind­li­che inter­ne Daten­schutz­vor­schrif­ten gemäß Art. 47 DSGVO oder die Ver­ein­ba­rung von Stan­dard­da­ten­schutz­klau­seln gemäß Art. 46 II lit. c) sein.

Stan­dard­da­ten­schutz­klau­seln sind von der Euro­päi­schen Kom­mis­si­on ent­wor­fe­ne Mus­ter­ver­trä­ge. Wer­den für die Daten­über­mitt­lung die Stan­dard­da­ten­schutz­klau­seln ver­wen­det, ist die Daten­über­mitt­lung geneh­mi­gungs­frei, sofern kei­ne Ände­run­gen an den Klau­seln vor­ge­nom­men wur­den. Es ist aber zuläs­sig, wei­te­re Klau­seln oder zusätz­li­che Garan­tien hin­zu­zu­fü­gen, solan­ge die­se nicht im Wider­spruch zu den von der Kom­mis­si­on erlas­se­nen Stan­dard­da­ten­schutz­klau­seln ste­hen oder die Grund­rech­te und Grund­frei­hei­ten der betrof­fe­nen Per­son beschnei­den. Soll die Daten­über­mitt­lung in die USA auf die Stan­dard­da­ten­schutz­klau­seln gestützt wer­den, sind nach dem EuGH zudem wei­te­re Maß­nah­men erfor­der­lich, um ein gleich­wer­ti­ges Schutz­ni­veau wie in der EU zu errei­chen. Nach den Emp­feh­lun­gen 01/2020 der EDSA (Euro­pean Data Pro­tec­tion Board) kön­nen die­se Maß­nah­men tech­ni­scher, ver­trag­li­cher und/oder orga­ni­sa­to­ri­scher Natur sein.

Im vor­lie­gen­den Fall hat­te die Web­site­be­trei­be­rin die Stan­dard­da­ten­schutz­klau­seln mit Goog­le abge­schlos­sen. Als zusätz­li­che ver­trag­li­che und orga­ni­sa­to­ri­sche Maß­nah­men wur­de fol­gen­des vereinbart:

  • Benach­rich­ti­gung der betrof­fe­nen Per­son über Datenanfragen
  • Ver­öf­fent­li­chung eines Transparenzberichts
  • Richt­li­nie im Umgang mit Regie­rungs­an­fra­gen sowie
  • die sorg­fäl­ti­ge Prü­fung einer jeden Datenzugriffsabfrage

Goog­le hat­te zusätz­lich fol­gen­de tech­ni­sche Maß­nah­men implementiert:

  • Schutz der Kom­mu­ni­ka­ti­on mit Google-Diensten
  • Schutz von Daten im Tran­sit von Rechenzentren
  • Schutz der Kom­mu­ni­ka­ti­on zwi­schen Nut­zern und Websites
  • eine „On-Site-Secu­ri­­ty“, die Zugriffs­mög­lich­kei­ten von US-Nach­rich­­ten­­di­ens­­ten auf der Grund­la­ge des US-Rechts tat­säch­lich ver­hin­dern oder ein­schrän­ken soll
  • Ver­schlüs­se­lung der „Daten im Ruhe­zu­stand“ sowie
  • Anony­mi­sie­rung der IP-Adressen

Die Auf­sichts­be­hör­de hat hier­zu ent­schie­den, dass die mit Goog­le abge­schlos­se­nen Stan­dard­da­ten­schutz­klau­seln kein ange­mes­se­nes Daten­schutz­ni­veau bie­ten, da Goog­le als Anbie­ter elek­tro­ni­scher Kom­mu­ni­ka­ti­ons­diens­te im Sin­ne von 50 U.S. Code § 1881 (b)(4) zu qua­li­fi­zie­ren ist und damit der Über­wa­chung durch die US-Geheim­­di­ens­­te („FISA 702“) unter­liegt. Dass es sich hier­bei nicht nur um eine „theo­re­ti­sche Gefahr“ han­delt, zei­ge zum einen das Urteil des EuGH, der auf­grund der Metho­den und Zugriffs­mög­lich­kei­ten der US-Behör­­den den Pri­­va­­cy-Shield für unzu­läs­sig erklärt hat­te und zum ande­ren der von Goog­le ver­öf­fent­lich­te Trans­pa­renz­be­richt, der ver­deut­licht, dass es zu Anfra­gen durch Behör­den in der Ver­gan­gen­heit gekom­men ist.

Die zusätz­li­chen Maß­nah­men, die zwi­schen der Web­site­be­trei­be­rin und Goog­le ver­ein­bart wur­den, waren nach Auf­fas­sung der Behör­de nicht effek­tiv, da die­se die Über­­­wa­chungs- und Zugriffs­mög­lich­kei­ten durch US-Nach­rich­­ten­­di­ens­­te nicht besei­ti­gen konn­ten. So geht nach der Auf­sichts­be­hör­de bei­spiels­wei­se die Maß­nah­me „Ver­schlüs­se­lung der Daten im Ruhe­zu­stand“ ins Lee­re, da Goog­le ver­pflich­tet ist, den Zugriff auf die Daten zu gewäh­ren und einen etwa­igen kryp­to­gra­phi­schen Schlüs­sel herauszugeben.

Die Anony­mi­sie­rung der IP-Adres­­sen wur­de im vor­lie­gen­den Fall nicht kor­rekt imple­men­tiert, sodass sich die Behör­de hier­mit nicht aus­führ­lich befas­sen muss­te. Aller­dings ließ sie durch­bli­cken, dass eine Anony­mi­sie­rung an der Bewer­tung nichts geän­dert hät­te, da eine IP-Adres­­se ohne­hin nur eines von vie­len „Puz­zle­tei­len“ des digi­ta­len Fuß­ab­drucks der betrof­fe­nen Per­son ist.

Damit konn­te die Web­site­be­trei­be­rin die Daten­über­mitt­lung an Goog­le nicht auf Art. 46 II lit. c) stüt­zen, da kei­ne zusätz­li­chen effek­ti­ven Maß­nah­men ver­ein­bart wurden.

Aus­nah­men für bestimm­te Fäl­le gemäß Art. 49

Falls weder ein Ange­mes­sen­heits­be­schluss vor­liegt noch geeig­ne­te Garan­tien − wie bei­spiels­wei­se die Ver­ein­ba­rung von Stan­dard­da­ten­schutz­klau­seln − bestehen, ist eine Über­mitt­lung von per­so­nen­be­zo­ge­nen Daten in ein Dritt­land unter den in Art. 49 Abs. 1 DSGVO auf­ge­zähl­ten Bedin­gun­gen zuläs­sig. Eine Bedin­gung kann bei­spiels­wei­se dann erfüllt sein, wenn die Über­mitt­lung für die Erfül­lung eines Ver­trags zwi­schen der betrof­fe­nen Per­son und dem Ver­ant­wort­li­chen erfor­der­lich ist, die Über­mitt­lung zur Gel­tend­ma­chung, Aus­übung und Ver­tei­di­gung von Rechts­an­sprü­chen erfor­der­lich ist oder, wenn die betrof­fe­ne Per­son in die Daten­über­mitt­lung aus­drück­lich ein­ge­wil­ligt hat.

Da im vor­lie­gen­den Fall kei­ne der Bedin­gun­gen erfüllt war, muss­te die Behör­de hier­über auch nicht ent­schei­den. Es wäre ins­be­son­de­re inter­es­sant gewe­sen, ob die Ein­ho­lung der Ein­wil­li­gung aus­ge­reicht hätte.

Wie geht es weiter?

Die hier vor­ge­stell­te Ent­schei­dung ist die ers­te von ins­ge­samt 101 Mus­ter­be­schwer­den, die noyb in 30 EU- und EWR-Mit­­glied­s­­staa­­ten ein­ge­reicht hat. Die nächs­ten Ent­schei­dun­gen wer­den in Kür­ze fol­gen. Es bleibt abzu­war­ten, ob die ande­ren Auf­sichts­be­hör­den der Auf­fas­sung der öster­rei­chi­schen Auf­sichts­be­hör­de fol­gen. Ange­sicht der Tat­sa­che, dass vor kur­zem sowohl der Euro­päi­sche Daten­schutz­be­auf­trag­te als auch die CNIL (Frank­reichs Daten­schutz­be­hör­de) den Ein­satz von Goog­le Ana­ly­tics für rechts­wid­rig befun­den haben, ist davon aus­zu­ge­hen, dass die nächs­ten Ent­schei­dun­gen ähn­lich aus­fal­len werden.

Fazit

Das Risi­ko beim Ein­satz von Goog­le Ana­ly­tics ist aktu­ell sehr hoch. Im Sin­ne einer Risi­ko­ver­mei­dung ist daher zu emp­feh­len, Goog­le Ana­ly­tics nicht mehr ein­zu­set­zen und statt­des­sen einen Anbie­ter aus der EU zu beauftragen.

Wenn Goog­le Ana­ly­tics den­noch wei­ter­hin ein­ge­setzt wer­den soll, ist dar­auf zu ach­ten, dass eine aus­drück­li­che und vor allem infor­mier­te Ein­wil­li­gung des Web­site­be­su­chers für die Über­mitt­lung in die USA vor­liegt. Die Anfor­de­run­gen an eine rechts­wirk­sa­me Ein­wil­li­gung hat die Daten­schutz­kon­fe­renz (DSK) in ihrer Ori­en­tie­rungs­hil­fe der Auf­sichts­be­hör­den für Anbieter:innen von Tele­me­di­en aus­führ­lich beschrieben.

Ob eine Ein­wil­li­gung aber tat­säch­lich aus­reicht, wer­den wohl die nächs­ten Ent­schei­dun­gen klären.

Danie­la Frank, Datenschutzbeauftragte

image_pdf

Pres­se­mit­tei­lun­gen

  • Die Lehmen­siek Tief­bau GmbH und die Lehmen­siek Tele-Tech­nik GmbH stre­ben mit­hil­fe eines vor­läu­fi­gen Eigen­ver­wal­tungs­ver­fah­rens eine Sanie­rung an. Unter­schied­li­che Wirt­schafts­fak­to­ren führ­ten zu einer finan­zi­el­len Schief­la­ge des Unter­neh­mens. In einem ers­ten Schritt wird ein Sanie­rungs­kon­zept erar­bei­tet und den Gläu­bi­gern zur Abstim­mung vorgelegt.

  • 25 Jah­re Sanie­rungs­be­ra­tung aus einer Hand! Gemein­sam mit unse­rer Schwes­ter­ge­sell­schaft ple­no­via fei­ern wir im Jah­re 2023 das Erfolgs­kon­zept der inte­grier­ten Bera­tung: Betriebs­wirt­schaft­li­che Kom­pe­tenz mit spe­zia­li­sier­ter Rechts­be­ra­tung und Rechts­ge­stal­tung auf allen Gebie­ten des Restrukturierungsrechts.

  • Die NEUERO-Farm- und För­der­tech­nik GmbH hat sich mit­hil­fe eines Eigen­ver­wal­tungs­ver­fah­rens erfolg­reich saniert. Das Fami­li­en­un­ter­neh­men, das rund 50 Mit­ar­bei­ten­de beschäf­tigt, hat­te am 23.02.2022 beim Amts­ge­richt Osna­brück ein Eigen­ver­wal­tungs­ver­fah­ren bean­tragt. Der Restruk­tu­rie­rungs­plan wur­de von den Gläu­bi­gern ein­stim­mig ange­nom­men und das Ver­fah­ren am 31.12.2022 aufgehoben.

Ver­an­stal­tun­gen

News­let­ter

Bücher

Stu­di­en & Leitfäden

Vide­os

image_pdf