§Urteil: Verwendung von Google Analytics unzulässig lt. DSB Datenschutzbehörde Österreich

Die österreichischen Datenschutzbehörden haben festgestellt, dass eine österreichische Website – wenn auf dieser GoogleAnalytics in Verwendung ist – gegen die DSGVO verstößt. Auch die niederländischen Datenschutzbehörden prüfen derzeit, ob GoogleAnalytics lizenziert ist.

Grund dafür war eine Datenschutzorganisation NOYB-Beschwerde von Max Schrems. NOYB hat 101 Beschwerden eingereicht, nachdem der EuGH den Datenschutzschild in der Schrems-II-Entscheidung im Jahr 2020 aufgehoben hatte. Die österreichische Datenschutzbehörde hat nun über die erste Beschwerde entschieden.

Welche Entscheidungen wurden getroffen?

Datenschutzbehörden folgten in erster Linie den Schlussfolgerungen des EuGH.

• US-Anbieter dürfen nicht mit personenbezogenen Daten aus Europa in die Vereinigten Staaten übermitteln.
• In den Vereinigten Staaten von Amerika besteht kein sicheres Datenschutzniveau. Der US-Geheimdienst hat Zugriff auf EU-Nutzerdaten, kann sich dagegen aber nicht schützen.
• Die Google-Maßnahmen sind nicht ausreichend, um Nutzerdaten angemessen zu schützen.

Google unterzeichnet Standardvertragsbedingungen der EU-Kommission. Diese Klausel stellt sicher, dass Google die europäischen Datenschutzstandards einhält. Außerdem nennt Google organisatorische und technische Maßnahmen wie beispielsweise Verschlüsselung und Transparenzberichte. Allerdings erkennt die Datenschutzbehörde das Übermitteln und den Zugriff der US-Geheimdienste nicht an, inwieweit diese abgehört werden können.

Welche Auswirkungen hat die Entscheidung?

Dies ist nur als Sachverhalt im Einzelfall des österreichischen Websitebetreibers eine Entscheidung. Sie hat keine unmittelbaren Auswirkungen auf Sie, als Betreiber der deutschen Website. Website-Betreiber in Deutschland haben derzeit keine Bußgelder aus Österreich zu befürchten.

NOYB hat jedoch auch eine Beschwerde bei den deutschen Behörden eingereicht. Sofern eine deutsche zuständige Behörde hierüber entscheidet, dürfte eine ähnliche Angemessenheitsentscheidung getroffen werden. Die Luft wird dadurch dünner. Alles deutet darauf hin, dass die Datenschutzbehörden in Deutschladn die Lage ähnlich einschätzen werden.

Obwohl dies unwahrscheinlich ist, werden die deutschen Behörden jedoch anders entscheiden. Letztendlich wandten die österreichischen Behörden einfach die Argumentation von NOYB an. Das erweckt kaum den Eindruck, als wurde es mit Einzelfällen und realen Risiken auseinandergesetzt. Etwa, ob insbesondere sensible Daten in den Vereinigten Staaten übermittelt werden oder zum Beispiel Pseudodaten eine Rolle spielen.
Wie die Gerichte dann in einem derartigen Fall entscheiden werden, ist derzeit schwer absehbar.

Wie sieht die Rechtslage aus?

1. So kommt die Datenschutzgrundverordnung zur Anwendung:Wie der DSB in der Bekanntmachung richtig anführt, sind die Bestimmungen der Umsetzungen der Richtlinien 2002/58/EG (ePrivacyRL) – in Österreich das TKG 2021, BGBl. I Nr. 190/2021 idgF – vorrangig der Datenschutz-Grundverordnung als besonderem Punkt zu entnehmen. Die Electronic Communications and Privacy Directive enthält jedoch keine Regelungen zur Übermittlung personenbezogener Daten in Drittländer, weshalb dadurch das Kapitel V der Datenschutz-Grundverordnung gilt.

 

2. Die von GoogleAnalytics übermittelten Daten sind personenbezogene Daten im Sinne der Datenschutz-Grundverordnung:Der Datenschutzbeauftragte präzisiert nun, dass gerade durch diese Verbindung verschiedener übermittelter Daten eine Rückverfolgung auf eine wenige Personen auf theoretische Basis möglich ist. Es besteht somit ein Personenbezug aller Daten nach Artikel 4 Z 1 DSGVO sowie der Anwendungsbereich der Datenschutz-Grundverordnung ist offen. Interessanterweise hält das DSB in diesem Zusammenhang sowie die IP-Anonymisierungsfunktion von GoogleAnalytics für nicht ausreichend: Durch das Übermitteln großer Datenmengen wird die IP-Adresse nicht als zentrales Bindeglied zur Einordnung von Daten als personenbezogen benötigt Daten im Sinne der Datenschutz-Grundverordnung.

 

3. Verantwortlich für die Datenverarbeitung des Tools ist der Websitebetreiber:Der DSB stellt in seiner Entscheidung fest, dass der Webseitenbetreiber bei der Nutzung dieses Tools die Rolle des Datenschutzbeauftragten einnimmt. Hierbei ist zu beachten, dass die zuständige Stelle eine Datenverarbeitung nur so lange in Betracht zieht, bis die Daten erfolgreich an Google übermittelt wurden. Die zuständige Behörde widersprach der weiteren Verarbeitung durch Google, da hierfür ein gesondertes Verfahren eingeleitet wurde.

 

4. Die Datenübertragung in die Vereinigten Staaten bei der Verwendung von GoogleAnalytics ist nicht Datenschutz-Grundverordnung-konform:Der EU-US-Angemessenheitsbeschluss („Privacy Shield“), also das EuGH: Urteil vom 16.07.2020 wurde vom Gerichtshof des Europäischen Gerichtshofs (RS. C 11/18 Schrems II) für ungültig erklärt. Daher wird der Art. 45 der Datenschutz-Grundverordnung nicht mehr als rechtmäßiges Mittel zur Datenübermittlung verwendet, und aus Sicht des DSB gab es in bestimmten Fällen kein angemessenes Schutzniveau (vor allem dann, weil in diesem Fall keine Einholung einer Einwilligung erfolgt war).

Die Kommission kann nach angemessener Untersuchung feststellen, ob ein spezielles Drittland über das angemessene Schutzniveau verfügt. Entscheidungen können auch auf bestimmte Regionen oder Sektoren von Drittländern oder bestimmte Datenkategorien beschränkt werden. Wenn in einem Drittstaat aufgrund von nationaler rechtlichen Vorschriften und deren Existenz, der Anwendung und optimalen Arbeitsweise einer oder weiterer unabhängiger Aufsichtsbehörden und gleichwertiger internationaler Verpflichtungen ein gewisses Schutzniveau besteht, liegt ein angemessenes Schutzniveau vor. Von dem durch die Datenschutz-Grundverordnung GSGVO gewährten Schutz.

 

Die Datenübertragung auf der Grundlage einer solchen Gültigkeitsbestimmung erfordert keine durch die für den Administrator oder Auftragsverarbeiter weitere Genehmigung ortsansässige nationale Aufsichtsbehörde. Andere Anforderungen der Datenschutz-Grundverordnung an die Zulässigkeit der Datenverarbeitung wirken unabhängig davon („Zwei-Stufen-Test“).

Als letztes Mittel bleibt nur die „angemessene Garantie“ nach Art. 46 Datenschutz-Grundverordnung DSGVO. Eine angemessene Garantie ist Art. 46 Abs. 1 2 lit c Datenschutz-Grundverordnung konforme Standard-Datenschutzgrundverordnung (SDK). In diesem Fall hatte der Webseitenbetreiber ein SDK bei Google. Genauer gesagt handelte es sich jedoch um die 2010/87 / EU-Version des “alten” SDK, nicht um das neue SDK, das nach Juni 2021 veröffentlicht wurde.

Bei der Verwendung von GoogleAnalytics kann die Datenübertragung jedoch nicht allein auf das fertige SDK gestützt werden. Denn Google unterliegt den US-Überwachungsgesetzen und vertragliche Maßnahmen allein reichen nicht aus, um Drittstaatsbehörden zu binden. Eine Datenübertragung hat eine wahre Zulässigkeit, wenn weitere technische und organisatorische Maßnahmen („Zusätzliche Maßnahmen“ oder „Ergänzende Maßnahmen“) ergriffen werden, um den fehlenden Rechtsschutz in den Vereinigten Staaten auszugleichen. In der Mitteilung stellt DSB fest, dass Google keine ausreichenden Beweise für “zusätzliche Maßnahmen” vorgelegt habe.

Was kann jeder Webseitenbetreiber nun tun?

Bitte beachten Sie, dass die oben genannten Entscheidungen nicht endgültig sind und sich auf die Integration einzelner Arten von GoogleAnalytics zu einem bestimmten Zeitpunkt auf der Website des Unternehmens beziehen. Es kann keine pauschale Ableitung dargestellt, dass GoogleAnalytics selbst nicht datenschutzkonform ist.

Experten sagen jedoch, dass die unverbindliche GoogleAnalytics-Version einen Marktanteil von 86 Prozent hat. Daher sind viele Websites aller Größen betroffen, wenn die Entscheidung endgültig ist und auf die Weltmasse angewendet werden muss. Theoretisch könnte die Entscheidung der österreichischen Datenschutzbehörde von einem Bundesverwaltungsgericht aufgehoben werden.

Google selbst hat sich zu diesem Thema geäußert.

Zusammenfassend hat sich ein Sprecher schon zu dem Standard in der Entscheidung von Datenschutzbehörde Österreich geäußert. Diese Gruppe bietet Website-Betreibern mehrere Möglichkeiten, GoogleAnalytics datenschutzkonform einzusetzen. Dafür ist der jeweilige Websitebetreiber verantwortlich.

Zusammenfassend:

1. Es ist im ersten Schritt zu prüfen, ob GoogleAnalytics wirklich benötigt wird. Gibt es EU-basierte Alternativen oder selbst gehostete Dienste?

 

2. Wenn Sie GoogleAnalytics aus finanziellen Gründen weiterhin verwenden, holen Sie bitte eine wirksame Cookie-Einwilligung ein und achten Sie auf die Vollständigkeit und Aktualität Ihrer Datenschutzerklärung.

 

3. Wenn Sie eine Verbotsverfügung von einer Datenschutzbehörde erhalten, ignorieren Sie das nicht. Prüfen Sie spätestens, ob Sie eine bessere Alternative zum Datenschutz wie Matomo oder eTracker in Betracht ziehen können.

Gibt es Alternativen zu GoogleAnalytics?

Insgesamt sind die Fachexperten trotz der Maßnahmen mit Skepsis erfüllt. Wenn der österreichische Website-Anbieter tatsächlich garantiert, dass personenbezogene Daten, die in die USA gesendet werden, sicher vor Datendiebstahl durch Geheimdienste sind, wird GoogleAnalytics weiterhin funktionieren, aber es ist derzeit kaum möglich. Google sollte hier handeln, indem sichergestellt wird, dass alle Daten den Europäischen Wirtschaftsraum nicht verlassen und nicht für Geheimdienste zugänglich sind.

Schalten Sie GoogleAnalytics aus – und wer auf diese Analysetools nicht verzichten kann, sollte auf Alternativen zurückgreifen. Es klingt zunächst hart, aber wenn Google GA nicht drastisch ändert, ist die Fortsetzung der Arbeit sehr riskant. Kein Websitebesitzer kann behaupten, er wüsste nicht, dass GoogleAnalytics ein risikobasierter Ansatz sein kann.

Es ist auch möglich, dass die derzeitige Situation den Rückhalt anderer Anbieter verstärkt und diese leicht die Marktführersstärke stören. Denn Alternativen gibt es nur wenige – wie dem in der EU generierten und gehosteten Anbieter Plausible, der behauptet, keine Cookies zu verwenden und des weiteren unter der Datenschutz-Grundverordnung arbeitet. Auch der kanadische Anbieter „Fathom“ rühmt sich der Datenschutz-Grundverordnung-Kompatibilität und der Fakt, dass die Daten auf Servern in der EU verarbeitet werden.

Zusätzliche Lösungen sind unter anderem Open Source. Sie laufen unmittelbar auf den Servern ihrer eigenen Websites wie Matomo und Open Services. Matomo bezeichnet insbesondere Red Bull sowie die Europäische Kommission als Referenzen und gibt an: DSGVO ist anwendbar. Offen konzentriert sich eher auf Ethik und Datenschutz als auf Matomo. Die Auswertung erfolgt hier insbesondere nur nach Einwilligung des Nutzers.

Fazit

Aufgrund der Entscheidung des österreichischen DSB muss das Verwenden von GoogleAnalytics bis zu einer weiteren Entscheidung eingestellt werden. Eine andere rechtliche Möglichkeit, die Verwendung datenschutzrechtlich zu legalisieren, besteht derzeit nicht. Es war weiterhin bisher nicht bekannt, dass Google als Reaktion auf solche Entscheidung weitere technische Maßnahmen ergreifen würde, um zum Beispiel die Überwachung der US-Nachrichtendienste und für die Daten von US-Behörden unzugänglich zu machen.

Auch wenn diese Beratung keine rechtsverbindliche Entscheidung des DSB darstellt, sollte ihre (Rechts-)Wirkung nicht unterschätzt werden. Am 13. Januar 2022 teilte auch die niederländische Datenschutzbehörde mit: „Die Verwendung von GoogleAnalytics wird möglicherweise bald verboten.“ Es ist ferner davon auszugehen, dass bald inhaltliche Entscheidungen mit Ähnlichkeiten von nationalen Datenschutzbehörden zum Erlass gebracht werden. Denn NOYB hatte im Jahre 2020 seine „101 Beschwerden“ eingereicht, woraufhin der Europäische Datenschutzausschuss bekannt gab, dass er eine Arbeitsgruppe zur „engen Zusammenarbeit seiner Mitglieder“ (= nationale Datenschutzbehörden) eingerichtet habe.

Website-Betreiber sollten die eigenen Cookies zeitnah überprüfen, da die Argumentation des DSB in der Entscheidung auf weitere Analyse-Cookies übertragbar wäre. Der Datenschutzbeauftragte (in der Regel der Webseitenbetreiber) ist auch verantwortlich für die Bereitstellung der erforderlichen Dokumentation gegenüber der Datenschutzbehörde, wie von der Datenschutzbehörde gemäß Artikel 5 Absatz 2 der Datenschutz-Grundverordnung DSGVO gefordert (= „Verantwortlichkeit“).
So hat beispielsweise die Europäische Datenschutzkommission am 5. Januar 2022 die für eine Übermittlung in die Vereinigten Staaten erforderlichen zusätzlichen „Maßnahmen“ nicht nachgewiesen, sodass das Europäische Parlament GoogleAnalytics auf seiner Website verboten hat.

 

 

Zusammenfassung zu unseren vorherigen Beiträge zum Thema:

 

Das Urteil von der DSK und des Europäischen Gerichtshofs ist eindeutig. Google Analytics ist nicht EU-datenschutzkonform.

 

2022 Datenschutzverstoß durch Google Analytics: 9 von 10 Unternehmen in Europa betroffen

 

 

 

Tracking – Third Party Cookies werden ab 2023 auch in Chrome blockiert.

Cookieless: Kommt 2023 die Zeit ohne Cookies?

 

2022 EDSA Europäischer Datenschutzausschuss äußert sich zu Cookie Consent

 

Online-Werbemarkt in Europa vor dem Kollaps?

https://datenschutzbeauftragter-dsgvo.com/urteil-02-2022-cookies-tracking-einwilligungen-ueber-das-transparency-consent-framework-tcf-2-0-nicht-dsgvo-konform-und-damit-unzulaessig/

 

 

DSGVO – Teil 1: Datenübermittlung aus der Schweiz in die USA ungeschützt

 

DSGVO – Teil 2: Keine Daten mehr in die USA – Der EuGH hat das “Privacy Shield” für nichtig erklärt

 

DSGVO – Teil-3: Stopp Privacy Shield Datentransfer in USA: 5000 Firmen betroffen, was beachten

 

 

 

7 Tipps, die den Firmen offenstehen, um Daten dennoch ins Ausland übermitteln zu können

1. Angemessenheitsbeschluss
2. Standarddatenschutzkalusel
3. EU-U.S. Privacy Shield
4. Binding Corporate Rules
5. Genehmigte Zertifizierungen
6. Genehmigte Verhaltensregeln
7. Ausnahmen für bestimmte Fälle

Lesen Sie hierzu unserem gesamten Beitrag:

https://datenschutzbeauftragter-dsgvo.com/dsgvo-im-internationalen-datenverkehr/