Das Urteil von der DSK und des Europäischen Gerichtshofs ist eindeutig. Google Analytics ist nicht EU-datenschutzkonform.

Die Woche vor Weihnachten 2021 stellte keine gute Woche für Organisationen, Behörden und Firmen dar, welche auf US-Dienste bei ihren Internetauftritt setzen. So wurde Google Analytics durch die österreichische Datenschutzbehörde (kurz: DSB) verboten, da sie gegen die Datenschutzgrundverordnungen verstoßen. Grundlage für diese Entscheidung bildete eine Musterbeschwerde gegen eine österreichische Homepage.

Breits im Jahr 2020 wurden mehrere Musterbeschwerden europaweit eingereicht. Das erste Urteil hierzu traf nun die österreichische Behörde und gibt damit eine Richtung vor.
Das Schrems-II – Urteil bildet für die Entscheidung die Grundlage. Dieses wurde vom Europäischen Gerichtshof (kurz: EuGH) getroffen und befasst sich mit dem Datentransfer zwischen der EU und der USA. Bei dem EuGH-Urteil im Schrems II-Fall wurde festgestellt, dass die personenbezogenen Daten bei einer Übermittlung strenge Bedingungen einhalten müssen. Dies bedeutet Homepages dürfen keine personenbezogenen Daten in die USA übermitteln, da deren Schutzniveau nicht gewährleistet ist.

 

  • Kurzer Rückblick unserer vorherigen Beiträge zum Thema:

DSGVO – Teil 2: Keine Daten mehr in die USA – Der EuGH hat das “Privacy Shield” für nichtig erklärt

DSGVO – Teil-3: Stopp Privacy Shield Datentransfer in USA: 5000 Firmen betroffen, was beachten

 

Urteil kurz Zusammengefasst

Das Urteil zum Fall von Analytics ist umfassend. Nachfolgend die wichtigsten Punkte kurz zusammengefasst.

 

Fehlende Rechtsgrundlage

Den Webseiten-Tools aus den Vereinigten Staaten von Amerika fehlen sämtliche Rechtsgrundlagen. Hiervon ist insbesondere das Analytics-Tool von Google betroffen, welches sehr beliebt bei den europäischen Unternehmen ist. Rechtlich unwirksam sind auch die Einwilligungen über den Consent-Banner. Zusätzliche Garantien über eine Verschlüsselung sind technisch gesehen unmöglich, weshalb Standardvertragsklauseln nicht greifen. Für US-Anbieter stellt eine Datenspeicherung innerhalb der EU derzeit keinen sinnvollen Ausweg aus der Misere dar.

 

Anordnung Consent-Banner

Der Ablehnen-Button bei Consent-Banner muss an oberster Ebene stehen und optisch gleichwertig gestaltet sein wie der Zustimmen-Button. Zudem ist an oberster Ebene eine Übersicht über alle einwilligungsbedürftigen Verarbeitungsvorgängen von Nöten. Illegal ist die Erschwerung einer Ablehnung. Diese fällt oftmals über ein konfigurieren aus.

 

Cookies und ähnliche Technologien

Es kommt ausschließlich auf den Nutzer darauf an, ob Cookies oder ähnlich funktionierende Technologien im Sinne von TTDSG beurteilt werden. Keine Einwilligung benötigen deshalb nur Cookies, welche seitens des Nutzers notwendig werden um die ausdrücklich gewünschte Leistung technisch notwendig machen zu können. Nicht für Nutzer erforderlich sind Cookies aus Tracking, A/B-Testing, Targetings und Profilbildung. Deshalb dürfen diese erst nach einer rechtlich wirksamen Einwilligung angewendet werden.

 

Webeseiten-Dienste und Tracking ohne Einwilligung

Grundsätzlich sind Tracking und andere Webseiten-Dienste – ohne einer ausdrücklichen Einwilligung – nur mit einem Berechtigten Interesse möglich. Die Datenschutzgrundverordnung regelt das berechtigte Interesse in einem sehr engen Rahmen im Art. 6.1 f DSGVO.

Es muss sich um einen rechtsgültigen Auftragsdatenverarbeitungsvertrag handeln, der in keinerlei Zusammenhang mit den eigenen Zwecken des Verarbeiters steht. Eine Datenverarbeitung erfolgt nur von EU-Unternehmen innerhalb der EU. Daneben ist eine Verwendung von Cookies oder ähnlichen Technologien ausgeschlossen.

 

Maßnahmen zur DSGVO unzureichend

Ein angemessenes Schutzniveau ist durchaus notwendig um weiterhin eine Datenübertragung nach Amerika unternehmen zu können. Aus diesem Grunde hat Google bereits reagiert und sowohl technische als auch organisatorische Maßnahmen hierzu ergriffen. Dennoch hielt die DSB diese Bemühungen als ungenügend und wenig sinnvoll. Seitens der Behörde ist unklar, wie effektiv diese vertraglich festgelegten Maßnahmen wirklich sind.

Die Datenschutzbehörden der EU arbeiten in den Fragen zum Datenschutzgesetz in einer EDPB-Taskforce eng zusammen. Deshalb werden ähnliche Entscheidungen nun von anderen EU-Mitgliedstaaten erwartet. Die Europäische Datenschutzbeauftrage (kurz: EDSB) hat erst vor kurzen bestätigt, der Einsatz von Analytics des Anbieters Google ist auch der COVID-Test-Homepage des EU-Parlamentes nicht datenschutzkonform.

Der Vorsitzende von noyb.eu Herr Max Schrems zeigt sich erfreut über das gefällte Urteil. Mit der fundierten und sehr detaillierten Entscheidung können Europäische Unternehmen keine US-Cloud-Dienste mehr in Anspruch nehmen. Nach der zweiten Bestätigung dieses Sachverhaltes innerhalb von nur 1,5 Jahren sei es nun an der Zeit dieses Gesetz durchzusetzen.

 

Richtungsweißend für weitere Internetseiten Europaweit

Trotz des Erfolges der Musterklage ist bis dato unklar, ob der Einsatz von den US-Cloud-Diensten und Analyseerstellungen eine Strafe nach sich zieht, schließlich handelt es sich erst einmal um einen Teilbescheid. Laut „Schrems“ dürfte nun jeden Unternehmen klar sein eine Strafe zu riskieren falls sie den Teilbescheid vernachlässigen und das Thema nicht angehen.
Auch wenn die Entscheidung der DSB vorerst nur für eine der zahlreichen Musterklagen gilt, ist sich richtungsweisend. Sie sollte als Basis gelten für alle Unternehmen, welche die Analystics von Google auf ihren eigenen Homepages verwenden.

Jeder Einzelne entscheidet selbst wie er mit dem Urteil und mit den US-Diensten umgeht. Dennoch muss jedem bewusst sein, dass das Urteil des DSB nicht ohne Folgen bleibt. Wie bei jeden Verstoß gilt auch hier: Jeder einzelne muss auch bei einem Schnellverfahren eine Strafe erhalten, meint Schrems.

 

Die Google-Stellungnahme

Der Anbieter Google hat auf Nachfragen eine Stellungnahme verfasst. Diese geht jedoch nicht explizit auf das Urteil ein. Vielmehr meint Google, dass der Nutzer von gut besuchten Webseiten eine einfach zu verwendete und gut gestaltete Homepage erwartet, welche die Privatsphäre respektiert. Analytics soll lediglich Regierungen, NGOs, Einzelhändlern und anderen Organisationen dabei unterstützen zu verstehen, wie gut Apps und Webseiten für den Besucher funktionieren ohne dabei Einzelpersonen im Internet zu verfolgen oder zu identifizieren.
Google hat keinen Einfluss darauf, da die Organisationen kontrollieren welche Daten genau mit dem Analytics-Tool gesammelt und verwendet werden sollen. Jedoch Helfe das Unternehmen mit der Bereitstellung einer Reihe von Kontrollen, Sicherheitsvorkehrungen und Ressourcen die Datenschutzgrundverordnung einzuhalten und diese zu wahren.

Noyb.eu legte bereits eine Beschwerde gegen Google als Datenempfänger in Amerika ein. Diese wurde jedoch von der Datenschutzbehörde zurückgewiesen, da diese die Ansicht vertreten, dass die Regelungen für eine Übermittlung der Daten nicht für US-Empfänger gelten, sondern lediglich für EU-Einrichtungen.

 

Amerika in der Bringschuld

Wie genau es mit den Analytics von Google weitergeht, ist noch unklar und ob dieser Dienst in der EU legal eingesetzt werden kann. Über lange Sicht kommen zwei Möglichkeiten in Betracht:

  • 1. Die US-Gesetzte bieten einen verbesserten Datenschutz für EU-Länder an, um damit ihre eigene Industrie weiterhin zu unterstützen.
  • 2. Die US-Anbieter greifen auf eine Verarbeitung von ausländischen Daten außerhalb der Vereinigten Staaten an.

Schrems ist der Meinung, dass auf lange Sicht die Vereinigten Staaten einen besseren und vor allem angemessenen Datenschutz benötigen oder am Ende die Produkte von Amerika und EU getrennt werden müssen. Sinnvoll wäre jedoch erstere Variante, aber dies liege in der Hand des US-Gesetzgebers.

 

Handlungsbedarf seitens Unternehmen

Jedes Unternehmen und jede Organisation, die bei ihren Webseiten auf spezielle Analyse-Tools aus den Vereinigten Staaten von Amerika zurückgreifen, stehen jetzt unter Druck. Auf das bereits gefällte Teilurteil folgen weitere Gerichtsverfahren und unter Umständen werden Strafen verhängt, da die Tools gegen geltendes Datenschutzgesetz verstoßen.

Aus diesem Grunde ist es ratsam die Verwendung einzuschränken. Entweder greifen Webseitenbetreiber innerhalb der Europäischen Union auf EU-Anbieter zurück oder stellen das Analyseverfahren komplett ein. Dies hat jedoch einen entscheidenden Nachteil für die Firmen: Sie können nicht mehr richtig auf die Bedürfnisse ihrer Webseiten-Besucher reagieren.

Eine neue Lösung muss für EU-Länder her, welche geltendes Recht, zu den personenbezogen Daten einhält und die Daten nicht auslesen sondern verallgemeinert. Einzelne Personen dürfen nicht identifiziert werden oder gar im Internet verfolgt.
Richtlinien für den richtigen Umgang mit dem Urteil hat die Datenschutzkonferenz in einem ausführlichen Bericht für die Unternehmen zusammengefasst.

 

Orientierungshilfe für Anbieter/innen von Telemedien

Das gefällte Urteil zu Analytics und ähnlichen US-Tools hat eine erhebliche Auswirkung auf Anbieter/innen von Telemedien in der gesamten EU. Deswegen stellt die Datenschutzkonferenz eine Orientierungshilfe zur Verfügung. Diese gilt ab dem 01. Dezember 2021.

Auf gut 33 Seiten verfasste die Konferenz der unabhängigen Datenschutzaufsichtsbehörde des Bundes und der Länder eine Richtlinie mit dem Umgang von US-Tools. Unter anderem werden die neuen Rechtsgrundlagen für Telemedien aufgezeigt sowie der Schutz der Privatsphäre in den Endeinrichtungen und die rechtmäßige Verarbeitung von Daten gemäß der Datenschutzverordnung. Der Punkt zur Übermittelung der personenbezogenen Daten in Drittländer wird ebenfalls in einem separaten Punkt genauer aufgeführt.
Genaueres ist im ausführlichen Skript unter Datenschutzkonferenz Online PDF nachzulesen.

 

FAZIT

Das gefällte Urteil hat weitreichende Auswirkungen auf die Nutzung von Analyse-Tools von US-Anbietern. Neben den vereinigten Staaten von Amerika sind jetzt die Webseitenbetreiber gefragt, wie sie damit umgehen und gleichzeitig die Datenschutzverordnung wahren.

 

  • Ja, es ist ernst, ja es ist kein Spaß,
  • ja es betrifft nicht nur Google Analytics, sondern auch Microsoft mit Office / Teams,
  • ja es betrifft so ziemlich alles, auch Hubspot und Salesforce und und und…
  • und  ja es wird sicherlich noch ERNSTER wenn sich die USA und die EU sich nicht irgendwann einigen auf ein einheitliches Datenschutzniveau
  • aaaaaber: Keine Panik! Abwarten, Kaffee trinken und wachsam sein.