Google Analytics in der EU am Ende?

28.01.2022  — Rolf Becker.  Quelle: Verlag Dashöfer GmbH.

Die Einschläge durch Maßnahmen der Datenschutzbehörden rücken näher. Der Datenschutzaktivist Max Schrems hat jetzt in seinem Heimatland Österreich die Datenschutzbehörde im Rahmen einer Musterbeschwerde veranlasst zu entscheiden, dass der Einsatz von Google Analytics generell gegen die DSGVO verstößt. Rechtsanwalt Rolf Becker erläutert die Auswirkungen.

Max Schrems agiert über seine Organisation noyb. Diese hatte im Zuge der so genannten Schrems II"-Entscheidung in ganz Europa in 101 Fällen eingereicht. Im Jahr 2020 hatte der Europäische Gerichtshof (EuGH) bekanntlich das PrivacyShield für ungültig erklärt (EuGH, Urt. v. 16.07.2020, C-311/18). Damit entfiel die Grundlage für Datenübermittlungen in die USA, da der Angemessenheitsbeschluss pulverisiert wurde. Österreich reagiert jetzt als erste Behörde auf die Musterbeschwerde im Rahmen eines Teilbescheids. Ähnliche Entscheidungen werden in anderen EU-Mitgliedstaaten erwartet, da die Datenschutzbehörden nach Angaben von noyb in diesen Fällen in einer "EDPB-Taskforce" zusammengearbeitet haben.

Schrems wirft Unternehmen vor, dass sie ihre Dienste nicht technisch angepasst haben. Stattdessen habe man nur versucht, „ein paar Texte in ihre Datenschutzrichtlinien einzufügen, und den EuGH zu ignorieren.“

Datenübermittlungen in die USA, da der Angemessenheitsbeschluss pulverisiert wurde. Österreich reagiert jetzt als erste Behörde auf die Musterbeschwerde im Rahmen eines Teilbescheids. Ähnliche Entscheidungen werden in anderen EU-Mitgliedstaaten erwartet, da die Datenschutzbehörden nach Angaben von noyb in diesen Fällen in einer "EDPB-Taskforce" zusammengearbeitet haben.

Die aktuelle Entscheidung der Datenschutzbehörde in Österreich betrifft den Einsatz von Google Analytics auf der Website im August 2020 und richtet sich gegen eine österreichische Verlagsgesellschaft und gegen Google LLC, USA, wobei die Beschwerde diesbezüglich zurückgewiesen und zu anderen möglichen Verstößen vertagt wurde.

Die Behörde prüft, ob nach dem Ende des PrivacyShields eine andere Rechtsgrundlage für die Übermittlung von Daten in die USA vorhanden war. Die DSGVO kennt hierfür mehrere Alternativen:

  • Angemessenheitsbeschluss nach Art. 45 DSGVO
  • Vereinbarung geeigneter Garantien nach Art. 46 DSGVO
  • Binding Corporate Rules nach Art. 47 DSGVO
  • Ausnahmen nach Art. 49 DSGVO

Standardvertragsklauseln mit Google nicht ausreichend

Nachdem es also keinen Angemessenheitsbeschluss (vormals eben das PrivacyShield) mehr gibt, prüfte das Gericht, ob die zwischen dem Unternehmen und Google vereinbarten Standarddatenschutzklauseln ausreichend waren.

Die Datenschutzbehörde kommt in ihrer Entscheidung zu dem Ergebnis, dass (im August 2020) die Vereinbarung von Standarddatenschutzklauseln kein angemessenes Schutzniveau gemäß Art. 44 DSGVO bieten konnte, da Google dem FISA 702 unterliegt.

Die Regelungen des FISA 702 erlauben es, US-amerikanische "Anbieter elektronischer Kommunikationsdienste" (wie in 50 U.S.C. §1881(4) definiert) zu zwingen, den Sicherheitsbehörden Zugang zu personenbezogenen Daten von "Nicht-US-Personen" zu gewähren. Die Überwachungsanordnungen ermöglichen ein pauschales Überwachungsprogramm wie PRISM oder Upstream. Gerichte müssen nicht bemüht werden. FISA 702 wurde 2008 verabschiedet. Gleichzeitig mit dieser Erweiterung wurden immer mehr personenbezogene Daten von US-amerikanischen Anbietern elektronischer Kommunikationsdienste (wie Apple, Microsoft, Facebook, Google und Yahoo) gesammelt.

Die österreichische Datenschutzbehörde führt in der Entscheidung aus:

„Wenn nun aber bereits der EU-US Angemessenheitsbeschluss aufgrund der Rechtslage in den USA für ungültig erklärt wurde, so kann fallbezogen nicht davon ausgegangen werden, dass der (bloße) Abschluss von SDK ein angemessenes Schutzniveau nach Art. 44 DSGVO für die gegenständliche Datenübermittlung gewährleistet. Vor diesem Hintergrund hat der EuGH im angeführten Urteil vom 16. Juli 2020 auch festgehalten, dass „[…] Standarddatenschutzklauseln ihrer Natur nach keine Garantien bieten können, die über die vertragliche Verpflichtung, für die Einhaltung des unionsrechtlich verlangten Schutzniveaus zu sorgen, hinausgehen […]“ und es „[…] je nach der in einem bestimmten Drittland gegebenen Lage erforderlich sein [kann], dass der Verantwortliche zusätzliche Maßnahmen ergreift, um die Einhaltung dieses Schutzniveaus zu gewährleisten“ (ebd. Rz 133).“

Allein Standardvertragsklauseln können also nach Ansicht der Behörde und auch des EuGH nicht ausreichen, um ein angemessenes Schutzniveau herzustellen. Damit helfen wohl auch die zwischenzeitlich erlassenen „neuen“ Standarddatenschutzklauseln hier nicht weiter.

Google hatte in seiner Eingabe auf „zusätzliche technische und organisatorische Maßnahmen“ verwiesen, wie Zäune um Datenzentren, Verschlüsselungen von Datentransits und ruhenden Daten. Die Datenschutzbehörde dazu:

"In Bezug auf die dargelegten vertraglichen und organisatorischen Maßnahmen ist nicht erkennbar, inwiefern [die Maßnahmen] effektiv im Sinne der obigen Überlegungen sind."

"Sofern die technischen Maßnahmen betroffen sind, ist ebenso nicht erkennbar (...) inwiefern [die Maßnahmen] die Zugriffsmöglichkeiten von US-Nachrichtendiensten auf der Grundlage des US-Rechts tatsächlich verhindern oder einschränken.."

Ein Datenimporteur, der wie Google dem FISA 702 unterliege, habe zu den Daten eine direkte Verpflichtung, den Zugriff zu gewähren oder diese herauszugeben. „Diese Verpflichtung kann sich ausdrücklich auch auf die kryptografischen Schlüssel erstrecken, ohne die die Daten nicht lesbar sind (ebd. Rz 76).“ Solange Google selbst die Möglichkeit habe, auf die Daten im Klartext zuzugreifen, könnten Maßnahmen nicht als effektiv betrachtet werden.

Auch der Verweis auf pseudonyme Verarbeitung reichte nicht.

Dem ist jedoch die überzeugende Ansicht der Deutschen Datenschutzkonferenz entgegenzuhalten, wonach „[…] die Tatsache, dass die Nutzer etwa über IDs oder Kennungen bestimmbar gemacht werden, keine Pseudonymisierungsmaßnahme i. S. d. DSGVO darstellt. Zudem handelt es sich nicht um geeignete Garantien zur Einhaltung der Datenschutzgrundsätze oder zur Absicherung der Rechte betroffener Personen, wenn zur (Wieder-)Erkennung der Nutzer IP-Adressen, Cookie-IDs, Werbe-IDs, Unique-User-IDs oder andere Identifikatoren zum Einsatz kommen. Denn, anders als in Fällen, in denen Daten pseudonymisiert werden, um die identifizierenden Daten zu verschleiern oder zu löschen, so dass die betroffenen Personen nicht mehr adressiert werden können, werden IDs oder Kennungen dazu genutzt, die einzelnen Individuen unterscheidbar und adressierbar zu machen. Eine Schutzwirkung stellt sich folglich nicht ein.

Eine weitere Möglichkeit zur Datenübertragung in die USA wären Binding Corporate Rules. Diese spielten in dem Verfahren aber keine Rolle, weil diese letztlich nur innerhalb einer Unternehmensgruppe Geltung haben können, also wenn Daten z.B. von einem EU-Unternehmen an eine US-Tochter übermittelt werden sollen. Auch Einwilligungen auf Basis der Ausnahmeregelungen von Art. 49 DSGVO und sonstige Tatbestände des Art. 49 wurden nicht weiter diskutiert.

Einwilligung nur im Einzelfall

Fraglich ist aber auch, ob eine Einwilligung hier weitergeholfen hätte.

Art. 49 Abs. 1 DSGVO sagt in seinem Wortlaut, dass eine Übertragung ohne Angemessenheitsbeschluss nach Art. 45 und ohne geeignete Garantien nach Art. 46 DSGVO zulässig ist, wenn z.B.

„…die betroffene Person in die vorgeschlagene Datenübermittlung ausdrücklich eingewilligt hat, nachdem sie über die für sie bestehenden möglichen Risiken derartiger Datenübermittlungen ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien unterrichtet wurde.“

Die deutschen Datenschutzbehörden verstehen Art. 49 DSGVO jedoch so, dass die hiernach vorgesehenen Einwilligungen nur für einmalige, jedenfalls vereinzelte Übertragungen möglich sein soll und auch nur für eine kürzere Zeit. Als verantwortliche Stelle soll man sich nicht dauerhaft auf das Vorliegen von Einwilligungen berufen können. Zudem muss transparent über das Risiko aufgeklärt werden, was eher schwierig zu realisieren sein dürfte.

Fazit

Die Entscheidung aus Österreich ist noch nicht rechtskräftig. Das dort betroffene Unternehmen hat die Möglichkeit, Rechtsmittel dagegen einzulegen, so dass die aufgeworfenen Fragen einer gerichtlichen Klärung zugeführt werden können. Google hatte die Entscheidung als nicht weitreichend bezeichnet, gleichzeitig aber die US-Regierung aufgefordert, schnell eine neue Grundlage für die Datenübermittlung mit der EU auszuhandeln. Die Unternehmen kontrollierten, welche Daten gesammelt würden und nicht Google, so das Unternehmen unter Verweis auf Sicherheitsmaßnahmen, Kontrollfunktionen und andere Mittel zur Erfüllung rechtlicher Vorgaben.

Die Entscheidung betrifft die Rechtslage im August 2020, also einen Zeitpunkt vor der Veröffentlichung der neuen Standarddatenschutzklauseln im Juni 2021. Allerdings dürften diese angesichts der Begründung keine Rolle spielen. Von Strafen gegen die Unternehmen ist in diesem Teilbescheid (noch) nicht die Rede. Schrems erwartet allerdings dazu noch entsprechende Entscheidungen. Der Europäische Datenschutzbeauftragte erteilte am 11.01.2022 dem Europäischen Parlament einen Verweis auf gleicher Basis. Dort habe man auf der internen Corona-Test-Webseite, auf der Gesetzgeber und Mitarbeiter des Parlaments einen Termin für einen Test buchen konnten, Daten außerhalb der EU über Cookies der in den USA ansässigen Unternehmen Google und Stripe übermittelt.

Unternehmen, die Google Analytics noch einsetzen, sollten in jedem Fall Einwilligungen einsetzen, die es bei dem betroffenen Unternehmen nicht gab. Zudem sind die neuen DPAs von Google („Google Data Processing Terms for all Google Products“) zu akzeptieren. Serverside Tracking ist zu überlegen, da dabei die IP-Adressen (anders als bei der IP-Anonymization) vor Übermittlung an Google und dessen Cloud – allerdings sehr aufwändig - komplett entfernt werden können. Ob sich Google Analytics allein im Serverside-Teil so konfigurieren lässt, dass eine DSGVO Konformität hergestellt wird, ist im Einzelnen zu prüfen.Ansonsten kann als sicherster Weg nur empfohlen werden, auf Analyse-Tools umzusteigen, bei denen keine Datentransfers in einen unsicheren Drittstaat erfolgen. Es ist nicht in Sicht, dass die USA den Schutz betroffener Personen anpassen.

Bild: Soumil Kumar (Pexels, Pexels Lizenz)

nach oben