Erste Datenschutzbehörden erklären die Nutzung von Google Analytics für unzulässig
Am 16.7.2020 hatte der Europäische Gerichtshof (EuGH) in seinem Schrems-II-Urteil entschieden, dass Übermittlungen personenbezogener Daten in die USA nicht mehr auf das Privacy-Shield-Abkommen gestützt werden können. Für derartige Übermittlungen benötigt es seither die Basis einer anderen Rechtsgrundlage. Sofern Daten auf der Grundlage von Standardvertragsklauseln in Drittländer übermittelt werden sollen und die Rechte der betroffenen Personen im jeweiligen Drittland kein gleichwertiges Schutzniveau wie in der EU genießen, sind zusätzliche Maßnahmen zu treffen, um dieses Ziel zu erreichen.
Etwa einen Monat später, am 18.8.2020, reichte die u.a. von Max Schrems gegründete Nichtregierungsorganisation NOYB bei Datenschutzbehörden in ganz Europa 101 Beschwerden gegen verschiedene Unternehmen ein, deren Websites personenbezogene Daten ihrer Nutzer:innen an Google und Facebook weiterleiteten. Der Europäische Datenschutzausschuss (EDSA) erstellte daraufhin eine Arbeitsgruppe, in der die Datenschutzbehörden der einzelnen Nationen gemeinsam an der Bearbeitung dieser Beschwerden gearbeitet haben.
Vor Kurzem hat erstmals eine Datenschutzbehörde eine Entscheidung zu einer dieser Beschwerden getroffen: Die österreichische Datenschutzbehörde gab der Beschwerde statt und entschied, dass die Übermittlung personenbezogener Daten über Google Analytics im vorliegenden Fall gegen die Datenschutz-Grundverordnung (DSGVO) verstieß. Etwas später folgte die französische Datenschutzbehörde (CNIL) mit einer übereinstimmenden Entscheidung.
Was genau haben die Datenschutzbehörden entschieden?
In den beiden bisherigen Entscheidungen ging es um die Nutzung von Google Analytics von Websitebetreibern im Jahr 2020. Websitebetreiber hatten im Rahmen der Verwendung von Google Analytics u.a. IP-Adressen und andere sogenannte Online-Identifier (also Datensätze, anhand derer Nutzer:innen identifizierbar sind) von Nutzer:innen ihrer Websites an Google LLC mit Sitz in den USA übermittelt. Google Analytics ist ein weitverbreitetes Statistikprogramm, das der Datenverkehrsanalyse von Websites dient. Mit diesem Werkzeug kann u.a. die Herkunft der Websitebesucher:innen, ihre Verweildauer auf einzelnen Seiten und die Nutzung von Suchmaschinen untersucht werden, um Nutzer:innen individualisierte Werbung anzuzeigen.
Dabei erfolgt eine Übermittlung der Daten an Google LLC in den USA. Dies ist problematisch, da Google LLC nach US-amerikanischem Recht von US-Behörden verpflichtet werden kann, personenbezogene Daten herauszugeben, ohne dass betroffenen Personen, die keine US-Bürger:innen sind, dagegen rechtlicher Schutz gewährt wird. Aus diesem Grund gelten die Vereinigten Staaten nicht als sicheres Drittland, in das man ohne Weiteres personenbezogene Daten übermitteln kann. Die europäischen Websitebetreiber müssen als Datenexporteure daher sicherstellen, dass sie zusätzliche Maßnahmen treffen, um die Sicherheit der Daten zu gewährleisten.
Die österreichische Datenschutzbehörde hat nun entschieden, dass sich ein Unternehmen bei der Nutzung der Dienste der Google LLC zu diesem Zweck nicht auf die Verwendung von Standardvertragsklauseln verlassen kann, da diese im konkreten Fall kein angemessenes Schutzniveau bieten. Die zusätzlichen Sicherheitsmaßnahmen aufseiten von Google seien nicht dazu geeignet, die Gefahr des Zugriffs durch die US-amerikanischen Behörden auszuschließen. Da insgesamt keine ausreichenden Maßnahmen getroffen wurden, um die Daten ausreichend zu schützen, stellte die Übermittlung an Google in diesem Fall einen Verstoß gegen die DSGVO dar.
Die französische Behörde veröffentliche kurze Zeit später eine Stellungnahme, die mit der Entscheidung der österreichischen Behörde übereinstimmte. Sie forderte den Websitebetreiber, gegen den sich die Beschwerde richtete, dazu auf, sich an die DSGVO zu halten und wenn nötig die Nutzung von Google Analytics in der aktuellen Form zu unterlassen. Der Websitebetreiber hatte zur Umsetzung dieser Vorgaben einen Monat Zeit. Die Behörde empfiehlt des Weiteren, vergleichbare Analysedienste nur zu verwenden, um anonyme statistische Daten zu generieren. Zusätzlich betonte die Behörde, dass sich diese Ergebnisse nicht nur auf Google Analytics beschränken, sondern auch auf andere Dienste angewendet werden können, die Datenübermittlungen in die USA mit sich bringen.
Was bedeuten die Entscheidungen?
Da die Datenschutzbehörden aus Frankreich und Österreich zusammen mit Vertreter:innen weiterer europäischer Datenschutzbehörden an einer Bearbeitung der Beschwerden von NOYB gearbeitet haben, ist zu erwarten, dass die übrigen Datenschutzbehörden, die sich noch nicht zu der Sache geäußert haben, ähnliche Entscheidungen veröffentlichen werden. Auch in Deutschland waren in den vergangenen Jahren bereits Stimmen laut geworden, die sich kritisch mit der Datenschutzkonformität von Google Analytics auseinandergesetzt haben. Eine Stellungnahme der deutschen Datenschutzbehörde steht bislang aber noch aus.
Es ist daher allgemein davon auszugehen, dass die Nutzung von Diensten wie Google Analytics, bei denen personenbezogene Daten in die USA gelangen, gegen die DSGVO verstößt, sofern Websitebetreiber nicht umfangreiche Maßnahmen treffen, die einen ausreichenden Schutz der Daten garantieren. Aus diesem Grund müssen die Anbieter solcher Dienste zukünftig etwa dafür sorgen, dass die Daten den Raum der Europäischen Union (jedenfalls in Richtung der USA) nicht verlassen. Bis dahin wird Websitebetreibern dazu geraten, auf alternative Analysedienste zurückzugreifen, die in Europa gehostet werden. Ansonsten besteht die Gefahr eines Verstoßes gegen die DSGVO und es sind empfindliche Strafen zu befürchten.
Bleiben Google Analytics oder vergleichbare Dienste dennoch weiterhin im Einsatz, sollten Websitebetreiber darauf achten, dass sie
- die informierte, freiwillige, aktive und vorherige Einwilligung der Nutzer:innen einholen,
- einen einfachen und immer zugänglichen Mechanismus zum Widerruf von Einwilligungen auf ihrer Website implementieren,
- Nutzer:innen umfassend über die Verarbeitung ihrer personenbezogenen Daten informieren und
- die IP-Adressen der Nutzer:innen vor der Übermittlung anonymisieren, indem etwa mittels der Funktion „_anonymizeIP()“ eine Kürzung der zu übermittelnden IP-Adressen erfolgt.
Doch selbst mit solchen Maßnahmen findet immer auch eine Übermittlung weiterer Online-Identifier statt, sodass der Anwendungsbereich der DSGVO stets eröffnet ist und ein Verstoß gegen die Vorschriften der DSGVO nicht ausgeschlossen ist.
Sollten Sie Fragen zu den Rechten und Pflichten aus der DSGVO, zur Nutzung von Diensten wie Google Analytics oder zur Übermittlung von personenbezogenen Daten in Drittländer wie die USA haben, helfen wir Ihnen gerne weiter.