Das Ende von Google Analytics?
Anfang 2022 wurde eine Entscheidung der österreichischen Datenschutzbehörde (DSB Entscheidung vom 22. Dezember 2021, GZ D155.027) publik, in der diese feststellte, dass die Einbindung von Google Analytics auf einer Webseite gegen die Datenschutzgrundverordnung (DSGVO) verstößt. „Drahtzieher“ dieses Verfahrens war wieder einmal der Wiener Datenschutzaktivist Max Schrems, der mit seinem Verein Nyob den Beschwerdeführer vertrat.
Zum Hintergrund dieser Beschwerde sei folgendes erwähnt: Nachdem der Europäische Gerichtshof (EuGH) am 16. Juli 2020) das „Privacy Shield“-Abkommen für ungültig erklärte (Rechtssache C-311/18, gleichzeitig aber feststellte, dass unter gewissen Voraussetzungen sogenannte Standardvertragsklauseln für den Datentransfer in die USA verwendet werden können, brachte Nyob im August 2020 101 Beschwerden (angelehnt an die 101 Dalmatiner von Disney) gegen Webseiten-Betreiber in der EU aber gleichzeitig auch gegen Google bzw. Facebook ein. Mit diesen Beschwerden wollte Nyob aufzeigen, dass die Verwendung von Google Analytics, mit welcher zwingend ein Datentransfer in die USA verknüpft ist, aktuell datenschutzkonform nicht möglich sei. Die Vielzahl an Beschwerden führte dazu, dass der Europäische Datenschutzausschuss (EDSA)1 eine eigene Task Force einrichtete, die sich umfassend mit diesem Thema auseinandersetzt. Ziel ist es nämlich, möglichst schnell und europaweit einheitlich zu entscheiden.
Die DSB war nun die erste EU-Behörde, die eine Entscheidung zu den 101 anhängigen Verfahren fällte. Beachtlich ist, dass sich der Spruch nur auf das österreichische Unternehmen (Erstbeschwerdegegnerin) bezieht; die gleichzeitig gegen Google als Zweitbeschwerdegegnerin eingebrachte Beschwerde wurde abgewiesen.
Inhaltlich stellte die DSB insbesondere fest, dass die Erstbeschwerdegegnerin die allgemeinen Grundsätze der Datenübermittlung gemäß Art. 44 DSGVO verletze, weil personenbezogene Daten des Beschwerdeführers (dies sind zumindest einzigartige Nutzer-Identifikations-Nummern, IP-Adresse und Browserparameter) an Google in den USA übermittelt wurden. Die zwischen den beiden Beschwerdegegnern abgeschlossenen Standarddatenschutzklauseln böten kein angemessenes Schutzniveau gemäß Art. 44 DSGVO, da
- Google als Anbieter elektronischer Kommunikationsdienste zu qualifizieren ist und als solcher der Überwachung durch US-Geheimdienste gemäß 50 U.S. Code § 1881a („FISA 702”) unterliegt, und
- die Maßnahmen, die zusätzlich zu den vereinbarten Standarddatenschutzklauseln getroffenen wurden, nicht effektiv sind, da diese die Überwachungs- und Zugriffsmöglichkeiten durch US-Nachrichtendienste nicht beseitigen können.
Die Entscheidung schlug in der EU natürlich wie ein Blitz ein und verunsichert die meisten Webseiten-Betreiber, die das Analyse-Tool verwenden. Google Analytics ist wie der Name schon sagt, ein Webseiten-Analyse-Tool, mit dem das Nutzerverhalten von Webseitenbesuchern mittels Cookies ausgelesen und anschließend analysiert werden kann. Webseitenbetreiber können damit die User-Experience ihrer Nutzer verbessern und ihre Services und Werbekampagnen gezielter einsetzen.
Spricht man mit Webseiten-Betreibern scheint es so, als wäre das Tool von Google alternativlos und mittlerweile unentbehrlich. Es stellt sich somit die Frage, ob und inwieweit die Entscheidung der DSB ernst zu nehmen ist und welche Konsequenzen daraus gezogen werden sollten. Die Bandbreite bei der internen Entscheidungsfindung geht von DSB-Entscheidung komplett ignorieren bis hin zu Verzicht auf Google-Analytics. Die Wahrheit liegt jedoch, wie so oft, in der Mitte. Ohne Anspruch auf Vollständigkeit werden nachfolgend einige Punkte angeführt, die bei der Entscheidungsfindung berücksichtigt werden sollten.
Zuerst ist festzuhalten, dass es sich bei dem aktuellen Fall grundsätzlich um eine „Einzelfallentscheidung“ handelt und diese damit nicht unbedingt 1:1 auf andere Fälle angewendet werden kann. Im Zuge der Verwendung des Tools Google Analytics wird die Möglichkeit angeboten, eine „IP-Anonymisierungsfunktion“ zu verwenden. Diese Funktion wurde jedoch von der Erstbeschwerdegegnerin nicht (korrekt) implementiert. Es ist daher zu empfehlen, diese Funktion jedenfalls einzusetzen.
Selbst wenn die Entscheidung noch nicht rechtskräftig ist, ist davon auszugehen, dass vor allem der gegenständliche Fall, wie auch die anderen 100 Beschwerden, intensiv von der Task Force des EDSA behandelt wurden und diese im Vorfeld der gegenständlichen Entscheidung auch mit der DSB im Austausch gestanden ist. In diesem Zusammenhang ist zu erwähnen, dass mittlerweile auch die französische Aufsichtsbehörde CNIL in ihrer Entscheidung vom Februar 2022, einem Webseiten-Betreiber angeordnet hat, die Nutzung von Google Analytics zu stoppen.
Auch in diesem Fall hielt die französische Behörde fest, dass die von Google ergriffenen zusätzlichen Maßnahmen zur Regelung der Datenübermittlung nicht ausreichen, um den Zugriff der US-Geheimdienste auf diese Daten auszuschließen. Beachtlich ist, dass die französische Entscheidung in vielen Teilen nahezu inhaltsgleich mit der österreichischen Entscheidung ist, was wiederum ein Beweis dafür ist, dass sich die EU Behörden entsprechend absprechen.
In Bezug auf Dienste zur Messung und Analyse der Besucherzahlen von Websites empfiehlt die CNIL, dass diese Instrumente nur zur Erstellung anonymer statistischer Daten verwendet werden sollten, so dass eine Ausnahme von der Einwilligungspflicht möglich ist. Damit deutet, die CNIL jedoch an, dass der Einsatz von Google Analytics aufgrund einer wirksamen Einwilligung der betroffenen Webseiten-Besucher möglich sein sollte. Die deutsche Datenschutzkonferenz (DSK) bietet beispielsweise eine gute und übersichtliche Orientierungshilfe zur Einwilligung, deren Aussagen grundsätzlich auch auf Österreich übertragen werden können. Natürlich sind auch die Datenschutzerklärungen entsprechend anzupassen und ist in diesen über die Verwendung des Analyse Tools vollständig aufzuklären.
Liest man sich die Begründung der DSB durch, so ist der „Spielraum“, in dem Google Analytics rechtswirksam eingesetzt werden kann, offensichtlich sehr klein. Dies liegt vor allem daran, dass Google – wie bereits eingangs erwähnt – als Anbieter elektronischer Kommunikationsdienste der Überwachung durch US-Nachrichtendienste gemäß FISA 702 unterliegt und daher die Verpflichtung hat, den US-Behörden personenbezogene Daten zur Verfügung zu stellen. In diesem Zusammenhang verweist die DSB auf den Transparenzbericht („Transparency Report“) von Google, in dem angeführt wird, dass regelmäßig derartige Anfragen von US-Behörden an Google gestellt werden. Es ist somit notwendig, neben den von Google vorgegebenen Standarddatenschutzklauseln zusätzliche Maßnahmen zu treffen.
Im gegenständlichen Fall waren diese Maßnahmen (vertraglicher, technischer und organisatorischer Natur), die allesamt alleine von Google getroffen wurden, laut der DSB jedoch nicht ausreichend. Dazu ist zu sagen, dass der Webseiten-Betreiber realistischerweise eigentlich keine Möglichkeit hat, solche Maßnahmen ohne Mitwirkung von Google selbst zu treffen. Es bleibt somit abzuwarten, ob und inwieweit Google auf die aktuellen Entscheidungen in Österreich und Frankreich reagiert und möglicherweise neue zusätzliche Maßnahmen anbietet. Bis dahin, ist der Einsatz von Google Analytics jedenfalls mit einem gewissen Risiko verbunden, welches vor allem darin liegt, bei der Nutzung des Tools (vor allem von Nyob) „erwischt“ zu werden.
DISCLAIMER
Dieser Blog stellt lediglich eine allgemeine Information und keine rechtsanwaltliche Beratung dar. Schindler Rechtsanwälte GmbH übernimmt keine Haftung für die Richtigkeit, Vollständigkeit und Aktualität des Blogs. Der Blog kann eine individuelle Rechtsberatung nicht ersetzen.
1 Der EDSA ist eine unabhängige europäische Einrichtung, die zur einheitlichen Anwendung der Datenschutzvorschriften in der gesamten Europäischen Union beiträgt und die Zusammenarbeit zwischen den EU-Datenschutzbehörden fördert.