Google Analytics und der Datenschutz

Google Analytics ist das beliebteste Analysetool auf dem Markt jedoch gibt es in den letzten Jahren immer wieder Beschwerden über fragwürdige Datenschutzpraktiken von Google. Zu den Beschwerdeführern gehörte auch die Organisation noyb um Max Schrems, welche nach der Schrems-II-Entscheidung 101 Musterbeschwerden gegen Unternehmen in 30 EU- und EWR Statten aufgrund der Nutzung von Google Analytics und Facebook Connect vorlegte.

Darauf folgte die erste Beschwerdeentscheidung durch die DSB, welche die Übertragung von Daten von der Website netdoktor.at an Google betrifft.

Entscheidung der österreichischen Aufsichtsbehörde

Die österreichische Datenschutzbehörde kam schließlich zu dem Ergebnis, dass der Einsatz von Google Analytics einen Verstoß der DSGVO darstellt.

Personenbezogene Daten

Die Aufsichtsbehörde hat eingangs geprüft, ob dabei personenbezogene Daten verarbeitet wurden. Der Art.4 Nr. 1 DSGVO beinhaltet folgende Informationen:

„Personenbezogene Daten sind alle Daten, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen; eine identifizierbare natürliche Person ist eine Person, die direkt oder indirekt, insbesondere mittels Zuordnung [...] zu einer Online-Kennung [...] identifiziert werden kann.“

Aufgrund der Aktivierung von Google Analytics und der Besuch der Website (netdoktor.at), werden an den Google-Server folgende Informationen übertragen:

• eindeutige Netzwerkkennungen („unique identifier“), die sowohl den Browser als auch das Gerät des Beschwerdeführers sowie das des Erstbeschwerdegegners (unter Verwendung des Google Analytics-Kontos des Erstbeschwerdegegners als Webmaster) darstellen;

• Adresse und HTML-Titel der vom Beschwerdeführer besuchten Websites und Unterseiten;

• Informationen über Browser, Betriebssystem, Bildschirmauflösung, Sprachauswahl sowie Datum und Uhrzeit des Aufrufens der Website;

• die IP-Adresse des vom Beschwerdeführer verwendeten Geräts.

Die Aufsichtsbehörde stellte fest, dass diesen Daten, personenbezogene Daten im Sinne von Art. 4 Nr. 1 DSGVO sind. Netdoktor.at kann aufgrund der oben genannte Punkte Website-Besucherinnen unterscheiden und feststellen, ob es sich um neue oder wiederkehrende Nutzerinnen handelt. Derdie Besucherin wird somit aus einer homogenen Gruppe aller Website-Besucherinnen ausgewählt und durch eine Kennung identifiziert. Diese Annahme wird durch EG 26 S. 4, EG 30 verstärkt, da eine eindeutige Identifikationsnummer mit jedem anderen aufgelisteten Element wie Browserdaten oder IP-Adresse kombiniert werden kann, wodurch die Wahrscheinlichkeit erhöht wird, dass eine Website-Besucher*in identifiziert wird.

Dabei stellt sich die Frage, warum netdoktor.at nicht an die Verwendung der „IP-Anonymisierungsfunktion“ von Google Analytics gedacht hat. Netdoktor.at räumte in seiner Stellungnahme gegenüber der Aufsichtsbehörde ein, dass diese Funktion nicht korrekt implementiert wurde. Die DSB argumentierte jedoch, dass eine ordnungsgemäße Umsetzung das Rating nicht verändert hätte. Denn die Kennung ist mit so vielen anderen Elementen verknüpft, dass der Personenbezug dennoch besteht.

Datenübertragung mit Folgen

In diesem Fall stellt die österreichische Aufsichtsbehörde fest, dass kein ausreichendes Schutzniveau bei der Übermittlung von Daten von netdoktor.at an Google durch ein Instrument des Kapitel V der DSGVO vorliegt und daher von einem Verstoß von Art. 44 DSGVO gesprochen werden kann.

Die Standardvertragsklauseln die netdoktor.at mit Google vereinbart hatte, gewährleisten kein angemessenes Schutzniveau nach Artikel 44 DSGVO. Denn Google unterliegt der Überwachung durch den US Secret Service gemäß 50 US Code § 1881 (auch bekannt als FISA 702). Die aktuellen zusätzlichen Maßnahmen reichen dabei nicht aus, um die Möglichkeit der Überwachung und des Zugriffs durch den Secret Service auszuschließen. Für die Datenübertragung kann kein anderes Instrument gemäß Kapitel V der DSGVO verwendet werden.

In den Entscheidungsgründen verweist die Institution auf die „Empfehlungen 01/2020 zu Maßnahmen zur Ergänzung von Übermittlungstools zur Gewährleistung des unionsrechtlichen Schutzniveaus für personenbezogene Daten“ des EDSA. Dabei geht es vor allem um die Feststellung (Rz 70), dass die im Urteil Schrems II genannten „zusätzlichen Maßnahmen“ nur dann als wirksam angesehen werden können, wenn die Maßnahmen, die vom Datenexporteur festgestellten Rechtslücken schließen würden, welche bei der Prüfung der Rechtslage im Drittland festgestellt wurden.

Die Behörde zitiert die klare Aussage des EDSA aus diesem Dokument:

„Sollte es dem Datenexporteur letztendlich nicht möglich sein, ein im Wesentlichen gleichwertiges Schutzniveau zu erzielen, darf er die personenbezogenen Daten nicht übermitteln“ (S. 37).

Folgende weitere vertragliche und organisatorischen Maßnahmen wurden vereinbart:

• die Benachrichtigung der Betroffenen über Anfragen der Geheimdienste (ob überhaupt im Einzelfall zulässig),

• die Veröffentlichung eines Transparenzberichts oder Richtlinien zur Zusammenarbeit mit dem Geheimdienst,

• die Überprüfung aller Auskunftsersuchen der Geheimdienste.

Google hat zudem diese technische Maßnahmen angekündigt:

• Schutz der Kommunikation zwischen Google-Diensten, Schutz der Daten bei der Übertragung zwischen Rechenzentren und Schutz der Kommunikation zwischen Nutzer*innen und Websites.

• Implementierung einer „On-Site-Security “.

• Verschlüsselung der „Daten im Ruhestand“ in Rechenzentren.

Hinsichtlich der Behörde vorgelegten vertraglichen und organisatorischen Maßnahmen ist nicht ersichtlich, wie wirksam diese aus Sicht des EDSA sind.

Was mögliche technische Maßnahmen betrifft, so ist auch nicht klar, inwieweit sie den Zugriff durch den Secret Service der Vereinigten Staaten verhindern würden. So wendet sich die Behörde beispielsweise gegen die von Google bereitgestellten Verschlüsselungstechniken, zusammen mit Forderungen der EDSA, die in ihren oben genannten Empfehlungen an die Vereinigten Staaten feststellte, dass ein Datenimporteur, der § 1881a (FISA 702) 50 des US-Codes unterliegt, Zugriff auf die Daten zu erlauben hat, was sich explizit auf Verschlüsselungsschlüssel erstrecken könnee (Rz 76).

Das Urteil betrifft den Betreiber der Website netdoktor.at, und geht nicht gegen Google LLC (USA), da die Vorgaben des Kapitels V der DSGVO nicht vom Datenimporteur, sondern nur vom Datenexporteur erfüllt werden müssen.

Wird es Zeit für eine Google-Analytics Alternative?

Wie bereits erwähnt, war diese Entscheidung die erste von 101 Musterbeschwerden. Doch weitere Länder ziehen nach. So hat auch die französische Aufsichtsbehörde, CNIL, nur zwei Wochen nach der wegweisenden Entscheidung der österreichischen Datenschutzbehörde verkündet, dass der Einsatz von Google Analytics auf Websites gegen die DSGVO verstößt. In den folgenden Monaten veröffentlichten die italienische und die dänische DBS ähnliche Bescheide. Es wird erwartet, dass weitere EU-Länder diesem Beispiel folgen werden. Kommen diese zum gleichen Schluss, hat das nicht nur Konsequenzen für die Nutzung von Google Analytics in Europa. In weiterer Folge dürfen EU-Unternehmen künftig keine US-Cloud-Dienste mehr verwenden.

Diese Entscheidung wird zwangsläufig zu Diskussionen führen. Einerseits müssen US-Unternehmen ihre Produkte DSGVO-konform anpassen, andererseits sollten sich EU-Unternehmen nach datenschutzfreundlicheren Alternativen „umsehen“.

Eine andere Lösung könnte darin bestehen, US-Gesetze zu ändern, um die Daten von EU-Bürgerinnen besser zu schützen, oder die Verwendung von Daten von EU-Bürgerinnen auf Servern außerhalb der USA zu verbieten. Sollten weiterhin personenbezogene Daten ohne entsprechende Garantien in die USA transferiert werden, drohen empfindliche Strafen.

Präsident Biden unterzeichnete am 07.10.2022 eine Executive Order, wodurch die Schritte zum European Union-DS Data Privacy Framework festgelegt wurden. Ziel ist es die rechtlichen Rahmenbedingungen in den USA zu schaffen, auf deren Basis dann der Prüfungsprozess der EU-Kommission für einen Angemessenheitsbeschluss begonnen werden kann. Die Executive Order soll also den Weg für ein neues Kapitel zum Datentransfer in die USA freimachen. Kritikerinnen bemängeln allerdings, dass Geheimdienste weiterhin auf personenbezogene Daten von EU-Bürgerinnen zugreifen können. Lesen Sie hier mehr.

Es ist bereits ein Trend zu bemerken, weg von Google Analytics hin zu europäischen Lösungen. Wir helfen Ihnen eine DSGVO-konforme und sichere Lösung für Ihr Anliegen zu finden. Vereinbaren Sie gleich einen Ersttermin mit uns, denn Datenschutz steht bei uns an erster Stelle!