Die NGO noyb hatte mit einer Beschwerde gegen Google Analytics teilweise Erfolg vor der österreichischen Datenschutzbehörde (DSB). Diese sah eine Verletzung der allgemeinen Grundsätze der Datenübermittlung gemäß Art. 44 DSGVO gegeben. Hier erfahren Sie mehr über diese Entscheidung.
Der Inhalt im Überblick
Datenübermittlung an Google
Die Organisation noyb rund um Max Schrems hatte im Nachgang an die Schrems II-Entscheidung 101 Musterbeschwerden gegen Unternehmen in 30 EU- und EWR-Mitgliedsstaaten eingereicht, weil diese Tools wie Google Analytics und Facebook Connect einsetzten.
Die erste Entscheidung über eine der Beschwerden durch die DSB betrifft die Datenübermittlung der Website netdoktor.at an Google.
Die Entscheidung der österreichischen Aufsichtsbehörde
Die österreichische Datenschutzbehörde stellte nun fest, dass die Nutzung von Google Analytics gegen die DSGVO verstößt.
Personenbezogene Daten
Zunächst hat die Aufsichtsbehörde geprüft, ob personenbezogene Daten verarbeitet wurden. Dazu sieht Art. 4 Nr. 1 DSGVO vor:
„„personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung […] zu einer Online-Kennung […], identifiziert werden kann.“
Durch die Implementierung von Google Analytics und den Websitebesuch (hier netdoktor.at) ausgelöst, werden folgende Daten an den Server von Google übermittelt:
- einzigartige Online-Kennungen („unique identifier“), die sowohl den Browser bzw. das Gerät des Beschwerdeführers als auch den Erstbeschwerdegegner (durch die Google-Analytics-Account-ID des Erstbeschwerdegegners als Websitebetreiber) identifizieren;
- die Adresse und den HTML-Titel der Website sowie die Unterseiten, die der Beschwerdeführer besucht hat;
- Informationen zum Browser, Betriebssystem, Bildschirmauflösung, Sprachauswahl sowie Datum und Uhrzeit des Website-Besuchs;
- die IP-Adresse des Geräts, welches der Beschwerdeführer verwendet hat.
Die Aufsichtsbehörde kam zu dem Ergebnis, dass es sich bei diesen Daten um personenbezogene Daten gemäß Art. 4 Nr. 1 DSGVO handelt. Es sei netdoktor.at möglich, mit der oben genannten Kennung Websitebesucher zu unterscheiden und zu erkennen, ob es sich um einen neuen oder um einen wiederkehrenden Besucher handelt. Ein Besucher wird also aus der homogenen Menge aller Websitebesucher herausgegriffen und mittels Kennung individualisiert. Bestärkt wird diese Annahme durch EG 26 S. 4, EG 30, da die einzigartige Kennnummer mit all den anderen aufgelisteten Elementen wie Browserdaten oder IP-Adresse kombiniert werden kann und so die Identifizierungswahrscheinlichkeit des Websitebesuchers steigert.
Natürlich stellt sich jetzt dem einen oder anderen Leser die Frage, warum netdoktor.at die „Anonymisierungsfunktion der IP-Adresse“ von Google Analytics nicht verwendet hat. Hier hat netdoktor.at bei einer Stellungnahme an die Aufsichtsbehörde eingeräumt, dass diese Funktion nicht korrekt implementiert wurde. Doch die DSB ließ durchblicken, dass die korrekte Implementierung an der Bewertung nichts geändert hätte. Denn die Kennung wird mit so vielen weiteren Elementen verknüpft, dass ein Personenbezug immer noch vorliege.
Datenübermittlung mit Folgen
Im vorliegenden Fall sieht die österreichische Aufsichtsbehörde für die Datenübermittlung von netdoktor.at an Google kein angemessenes Schutzniveau durch ein Instrument des Kapitel V der DSGVO gewährleistet, so dass eine Verletzung von Art. 44 DSGVO gegeben ist.
Netdoktor.at hatte mit Google Standardvertragsklauseln abgeschlossen. Diese bieten allerdings kein angemessenes Schutzniveau nach Art. 44 DSGVO. Grund dafür ist, dass Google bedingt durch den 50 US Code § 1881a (auch FISA 702 genannt) der Überwachung durch US-Geheimdienste unterliegt und die vorhandenen zusätzlichen getroffenen Maßnahmen nicht ausreichen, um die Überwachungs- und Zugriffsmöglichkeiten der Geheimdienste auszuschließen. Ein anderes Instrument gemäß Kapitel V der DSGVO könne für die Datenübermittlung nicht herangezogen werden.
In der Begründung der Entscheidung nimmt die Behörde Bezug auf die „Empfehlungen 01/2020 zu Maßnahmen zur Ergänzung von Übermittlungstools zur Gewährleistung des unionsrechtlichen Schutzniveaus für personenbezogene Daten“ des EDSA und insbesondere auf dessen Feststellung (Rz. 70), dass „zusätzliche Maßnahmen“ nur dann als effektiv i.S.d. Schrems-II-Urteils zu betrachten seien, sofern die Maßnahmen genau die Rechtslücken schließen würden, die der Datenexporteur bei seiner Prüfung der Rechtslage im Drittland festgestellt hat. Die Behörde wiederholt auch die ganz klare Aussage der EDSA aus diesem Papier:
„Sollte es dem Datenexporteur letztendlich nicht möglich sein, ein im Wesentlichen gleichwertiges Schutzniveau zu erzielen, darf er die personenbezogenen Daten nicht übermitteln“ (S. 37).
Als zusätzliche vertragliche, organisatorische Maßnahmen hatte man vereinbart:
- die Betroffenen über Datenanfragen der Geheimdienste zu benachrichtigen (sollte dies im Einzelfall
überhaupt zulässig sein), - einen Transparenzberichts oder eine „Richtlinie für den Umgang mit Regierungsanfragen“ zu veröffentlichen,
- jede Datenzugriffsanfrage durch Geheimdienste sorgfältig zu prüfen.
Als technische Maßnahmen gab Google an:
- Den Schutz der Kommunikation zwischen Google-Diensten, der Schutz von Daten im Transit zwischen Rechenzentren sowie der Schutz der Kommunikation zwischen Nutzern und Websites.
- Eine „On-Site-Security“.
- Die Verschlüsselung von „Daten im Ruhezustand“ in den Datenzentren.
In Bezug auf dieser der Behörde dargelegten vertraglichen und organisatorischen Maßnahmen sei nicht zu erkennen, inwiefern diese effektiv i.S.d. Überlegungen des EDSA seien.
Bezüglich möglicher technischer Maßnahmen sei ebenso wenig erkennbar, inwiefern diese den Zugriff von US-Geheimdiensten verhindern oder einschränken würden. Zum Beispiel hält die Behörde den von Google vorgebrachten Verschlüsselungstechnologien wiederum die Ausführungen des EDSA entgegen, der bezüglich der USA in seinen o.g. Empfehlungen festgestellt hat, dass ein Datenimporteur, der 50 US Code § 1881a (FISA 702) unterliege, den Zugriff auf die Daten zu gewähren habe, was sich ausdrücklich auch auf die kryptografischen Schlüssel erstrecken könne (Rz. 76).
Diese Entscheidung richtet sich gegen den Webseitenbetreiber netdoktor.at und nicht gegen Google LLC (USA), da die Vorschriften des Kapitel V der DSGVO nicht vom Datenimporteur einzuhalten seien, sondern nur vom Datenexporteur, so die Behörde.
Google Analytics bald Geschichte?
Wie bereits erwähnt war das die erste Entscheidung von 101 Musterbeschwerden. Die niederländische Aufsichtsbehörde hat in der Sache ebenfalls zwei Entscheidungen für Anfang 2022 angekündigt. Wenn andere Aufsichtsbehörden und anschließend die Gerichte zu dem gleichen Ergebnis kommen, hat das nicht nur Folgen für den Einsatz von Google Analytics in Europa. Vielmehr dürften EU-Unternehmen in Zukunft eventuell keine US-Clouddienste mehr nutzen.
Diese Entscheidung wird sicherlich für Diskussionen sorgen. Einerseits müssen US-Unternehmen ihre Produkte DSGVO-konformer gestalten und andererseits sollten EU-Unternehmen sich nach datenschutzfreundlicheren Alternativen „umschauen“, sofern diese vorhanden sind.
Eine weitere Lösung könnte die Änderung der US-Gesetze sein, wodurch die Daten von EU-Bürgern besser geschützt werden, oder auf die Daten von EU-Bürgern auf Servern außerhalb der USA kein Zugriff mehr erfolgt. Bei einem Treffen mit Google am 01.12.2021 informierte der europäische Kommissar für Justiz darüber, dass man sehr viele Fortschritte bei den Verhandlungen über ein Nachfolgeabkommen für das Privacy Shield mit den USA erzielen konnte.
Sehr interessant, aber wie soll die Zukunft aussehen? Soll man als Folge gleich alles abschalten? Vielen Dank im Voraus!
Sorry, aber das klingt nach der gleichen Argumentation, mit der die Landwirte in den 70ern gegen das DDT-Verbot lamentiert haben.
Genauso, wie es gesetzeskonforme, wirksame Alternativen zu DDT gibt, existieren zu allen US-MarTech Anbietern sehr gute, rechtssichere EU-Alternativen.
Klar, dass der Umstieg zunächst weh tut – wie bei DDT. Am Ende zahlt es sich aber für alle aus. Unternehmen, wie Verbraucher. Nur merkt man das manchmal erst Jahre später… ;-)
Danke für den guten Artikel!
Ein Punkt ist leider etwas missverständlich formuliert: „Vielmehr dürften EU-Unternehmen in Zukunft eventuell keine US-Clouddienste mehr nutzen.“
Das ist so nicht ganz korrekt, denn Cloud-Dienste, die z.B. ausschließlich eine „Dateiablage“ zur Verfügung stellen (wie Dropbox, Box, OneDrive etc.), können sehr wohl über eine Verschlüsselung, bei der nur der Verschlüsselde den Schlüssel hat (Inhaltsverschlüsselung) mit SCC rechtskonform betrieben werden. Denn die Verschlüsselung verhindert den Zugriff der US-Behörden und sie ist eine„zusätzliche Garantie“, die bei Datenexport in ein unsicheres Drittland technisch greift.
Richtig ist, dass alle US-Cloud-Dienste, bei denen eine Inhaltsverschlüsselung *nicht* möglich ist, derzeit unzulässig sind. Dazu zählen insbesondere alle Marketing- und andere Tools, die auf Websites eingebunden werden. Denn diese können die Daten per se nicht verschlüsseln, da eine Datenanalyse/anreicherung auf Seiten des Dienst-Anbieters zum Kern der Leistung zählt. Angefangen bei Targeting-Diensten, über A/B-Testing, bis hin zum Tracking sind hier praktische alle US-MarTech Anbieter betroffen.
In dem Zusammenhang ist insbesondere die Position der deutschen Aufsichtsbehörden (im neuen DSK-Papier) interessant. Geben diese doch unmissverständlich zu erkennen, dass die Einwilligung der Betroffenen für einen Datenexport in ein unsicheres Drittland als Rechtsgrundlage grundsätzlich nicht zulässig ist:
„Gerade im Zusammenhang mit der Einbindung von Dritt-Inhalten und der Nutzung von Tracking-Dienstleistungen werden allerdings oft keine ausreichenden ergänzenden Maßnahmen möglich sein. In diesem Fall dürfen die betroffenen Dienste nicht genutzt, also auch nicht in die Webseite eingebunden werden. Personenbezogene Daten, die im Zusammenhang mit der regelmäßigen Nachverfolgung von Nutzerverhalten auf Webseiten oder in Apps verarbeitet werden, können grundsätzlich nicht auf Grundlage einer Einwilligung nach Art. 49 Abs. 1 lit. a DS-GVO in ein Drittland übermittelt werden. Umfang und Regelmäßigkeit solcher Transfers widersprechen regelmäßig dem Charakter des Art. 49 DS-GVO als Ausnahmevorschrift und den Anforderungen aus Art. 44 S. 2 DS-GVO.“
Fazit: Ohne dass sich die USA bewegen und ihre Überwachungsgesetze ändern, werden es US-MarTech Anbieter in der EU sehr schwer haben. Denn ohne Rechtsgrundlage ist der Datenexport schlicht verboten und damit der Einsatz aller dieser US-Tools.
Danke für Ihre Rückmeldung und ausgeführten Punkte. Wie formuliert im Beitrag beziehen wir uns auf eine Eventualität, die dann eintreffen könnte, wenn weitere Aufsichtsbehörden sich der Meinung aus Österreich anschließen sollten.
Ein Inhalteverschlüsselung kann eine „zusätzliche Maßnahme“ darstellen. Wie aber auch aus den Empfehlungen des EDSA (zu Maßnahmen zur Ergänzung von Übermittlungstools zur Gewährleistung des unionsrechtlichen Schutzniveaus für personenbezogene Daten) hervorgeht, ist in einigen Ländern zum Beispiel der Import verschlüsselter Daten nicht gestattet. Aber auch hier hat die Empfehlung des EDSA in Anhang 2 weitere Beispiele aufgeführt für zusätzliche Maßnahmen.
Ihrem Fazit kann ich mich nur anschließen.
Danke für den interessanten Beitrag. Leider ist für mich in dem Beitrag nicht ersichtlich, auf welcher Rechtsgrundlage Google Analytics von netdoktor.at auf seiner Website eigebunden war, Art. 6 Abs. 1 lit. f DSGVO oder Art. 6 Abs. 1 lit. a DSGVO? Darüber hinaus marketingplatform.google.com/about/analytics/terms/de/ wird nach Angabe der Nutzungsbedingungen die Vereinbarung mit Google Ireand Limited abgeschlossen. Daher findet die Verarbeitung in Irland im EWR statt. Laut DPA business.safety.google/adsprocessorterms/ gilt folgendes: Wenn die Adresse von Google in einem Land mit angemessenem Schutz ist:
(A) Für alle eingeschränkten Übermittlungen von Google an Unterauftragsverarbeiter gelten die Standardvertragsklauseln (EU Auftragsverarbeiter-an-Auftragsverarbeiter, Google als Exporteur). Demnach ist Google Exporteur der Daten und nicht der Kunde. Daher findet durch den Kunden keine Datenübermittlung in ein Drittland statt? Meines Wissens ist es umstritten ist, ob die bloße Zugriffsmöglichkeit aus den USA eine Datenübermittlung in ein Drittland im datenschutzrechtliche Sinne darstellt. Daher ist für mich die Frage zu klären, ob der Kunde überhaupt Daten in ein Drittland übermittelt und es daher geeignete Garantien bedarf. Daher wäre es super wenn auf diese Aspekte auch noch einmal eingegangen werden könnte.
Leider ergeht aus der Entscheidung nicht auf welcher Rechtsgrundlage Google Analytics eingebunden wurde. Ihre weiteren Fragen dürfte die verlinkte Entscheidung der österreichischen Aufsichtsbehörde beantworten.
Die Entscheidung beruht jedoch auf den noch alten SCC´s, welche ja mittlerweile von Google, Facebook, etc. angepasst wurden. Ich sehe es so, als könnte diese Entscheidung mittlerweile auch schon wieder hinfällig geworden sein. Gerne auch Stellung hierzu beziehen.
Hinfällig ist die Entscheidung nicht, da auch mit den neuen SCC allein nach Ansicht des EuGH, des EDSA und der Datenschutzaufsichtsbehörden kein angemessenes Datenschutzniveau bei Übermittlung in oder Zugriffsmöglichkeit aus den USA herzustellen ist. Tatsächlich sind weiterhin zusätzliche Maßnahmen notwendig, um einen Datentransfer mit den USA abzusichern und rechtmäßig zu gestalten.