Im August 2020 hat die von Max Schrems gegründete Datenschutzorganisation NOYB in Reaktion auf die „Schrems II“-Entscheidung des Europäischen Gerichtshofs in verschiedenen EU-Mitgliedstaaten sage und schreibe 101 Muster-Beschwerden wegen des Datentransfers von europäischen Website-Betreibern zu den US-Anbietern Google und Facebook erhoben.
Nun hat die österreichische Datenschutzbehörde (DSB) die erste Entscheidung zu diesen Parallelverfahren getroffen. Konkret geht es hier um die Nutzung von Google Analytics. Die dieser Entscheidung zugrundeliegende Beschwerde richtete sich sowohl gegen einen österreichischen Websitebetreiber (der Datenexporteur), auf dessen Seite Google Analytics genutzt wurde, und gegen die Google LLC (als Diensteanbieter und Datenimporteur in den USA). Verfahrensgegenstand war die Datenübermittlung im August 2020. Die DSB kommt in Ihrer Entscheidung zu dem Schluss, dass die damalige Nutzung von Google Analytics gegen die Anforderungen der DSGVO für internationale Datentransfers verstieß.
Insbesondere stellt die Aufsichtsbehörde fest:
Bei der Nutzung von Google Analytics werden personenbezogene Daten verarbeitet
Auf einer Website, die Google Analytics nutzt, werden beim Besuch dieser Website die folgenden Informationen an Google gesendet:
- einzigartige Online-Kennungen („unique identifier“), die den Browser bzw. das Gerät des Website-Besuchers und den Websitebetreiber identifizieren,
- die URL und den Namen der Website sowie die besuchten Unterseiten,
- Informationen zu Browser, Betriebssystem, Bildschirmauflösung, Sprachauswahl des Besuchers sowie Datum und Uhrzeit des Besuchs und
- die IP-Adresse des Besuchers.
Diese Informationen sind nach dem weiten Anwendungsbereich der DSGVO personenbezogene Daten, so die DSB. Denn die Online-Kennungen ermöglichen es dem Websitebetreiber, einen Nutzer in einer Menge von vielen Nutzern zu individualisieren. Insbesondere in Kombination mit weiteren Informationen, die über den Nutzer gesammelt werden, wird dessen „digitaler Fußabdruck“ umso einzigartiger und eine Identifizierung umso wahrscheinlicher.
Mit Blick auf die „Anonymisierungsfunktion für IP-Adressen“ von Google Analytics stellt die Behörde klar, dass diese im vorliegenden Fall nicht korrekt implementiert war. Jedoch hätte eine korrekte Umsetzung es auch zu keiner anderen Bewertung geführt, da die IP-Adresse nur eins von vielen Elementen ist, mit deren Hilfe ein Personenbezug hergestellt werden kann.
Die EU-Standardvertragsklauseln in Verbindung mit den von Google getroffenen zusätzlichen Schutzmaßnahmen sind unzureichend, um ein angemessenes Schutzniveau zu gewährleisten.
Die Google LLC mit Sitz in den USA fällt als „Anbieter elektronischer Kommunikationsdienste“ unter die Überwachung durch US-Geheimdienste nach dem US-Gesetz „FISA 702“. Die von Google getroffenen Maßnahmen zum Schutz der Nutzerdaten sind nicht ausreichend, da sie keinen effektiven Schutz gegen die Überwachungs- und Zugriffsmöglichkeiten der US-Geheimdienstebieten – so das Urteil der österreichischen Aufsichtsbehörde.
So seien Standardvertragsklauseln zwar als Instrument für den internationalen Datentransfer nicht per se zu beanstanden, würden aufgrund Ihrer Natur als Vertrag jedoch nicht ausreichen, da sie keinerlei rechtliche Bindung für US-Behörden entfalten.
Die Behörde betont: Der Datenexporteur muss für den Fall, dass das Recht des Drittlands sich auf die Wirksamkeit von Standardvertragsklauseln auswirkt, die Datenübermittlung entweder aussetzen oder zusätzliche Maßnahmen („supplementary measures“) treffen, um ein angemessenes Schutzniveau zu gewährleisten.
Zusätzliche technische, organisatorische und vertragliche Maßnahmen sind jedoch nur dann als effektiv und damit ausreichend im Sinne von „Schrems II“ zu betrachten, sofern sie gerade die durch die Zugriffs- und Überwachungsmöglichkeiten von US-Behörden entstandene Rechtsschutzlücke schließen.
Laut Behörde sei nicht ersichtlich, dass die von Google getroffenen Schutzmaßnahmen (zum Beispiel Richtlinien für den Umgang mit und sorgfältige Prüfung jeder Behördenanfrage oder Schutz von Daten bei der Übertragung) eine solche Schutzlücke effektiv schließen könnten.
Konkret zu den von Google genutzten Verschlüsselungstechnologien führt die Behörde aus, dass diese einen Zugriff nicht effektiv verhindern können, sofern der Datenimporteur auf die Daten im Klartext zugreifen kann, da US-Geheimdienste explizit auch Offenlegung des kryptografischen Schlüssels verlangen können (der in diesem Fall beim Datenimporteur liegt).
Das bedeutet, dass selbst zusätzliche technische Maßnahmen, die über die von Google getroffenen Maßnahmen hinausgehen, regelmäßig nicht ausreichen werden, sofern der Datenimporteur in der USA Zugriff auf die Daten im Klartext hat. In einem solchen Fall ist es nicht möglich, personenbezogene Daten effektiv vor Zugriff und Überwachung durch US-Geheimdienste zu schützen.
Google hat für sich genommen nicht gegen die Anforderungen nach Kapitel V der DSGVO verstoßen – die Prüfung ist diesbezüglich aber noch nicht abgeschlossen
Die verfahrensgegenständlichen Vorgaben des Kapitel V der DSGVO sind nur von demjenigen zu beachten, der personenbezogene Daten einem Datenimporteur offenlegt (und damit nicht für denjenigen, der sie erhält). Entsprechend hat die DSB die Beschwerde gegen die Google LLC selbst in dieser Hinsicht zurückgewiesen.
Davon unbenommen bleibt eine (mögliche) Verletzung von Art. 5 ff. iVm Art. 28 Abs. 3 lit. a und Art. 29 DSGVO durch Google wegen der Offenlegung von personenbezogenen Daten gegenüber US-Geheimdiensten („heimliche Datenweitergabe“). Diese Rechtsfrage soll in einem weiteren Bescheid entschieden werden, so die Behörde.
Welche Auswirkungen hat die Entscheidung auf die von Google Analytics in der heute verfügbaren Ausgestaltung?
Die Entscheidung der DSB bezieht sich wie erwähnt (nur) auf die Datenübermittlung im August 2020. Seinerzeit war die Google LLC in den USA gemäß der Google-AGB der Vertragspartner für die (im vorliegenden Fall genutzte) kostenlose Version von Google Analytics. Seit Ende April 2021 werden sowohl der kostenlose als auch der kostenpflichtige Google Analytics 360-Dienst von Google Ireland Limited angeboten, die ihren Sitz in der EU hat. Zumindest jetzt ist also nicht mehr Google LLC, sondern Google Ireland Limited Auftragsverarbeiter für die Google Analytics-Dienste.
Diese Änderung könnte dazu führen, dass eine Bewertung der Nutzung von Google Analytics in der aktuellen Ausgestaltung anders ausfällt.
Da es aber bei der Nutzung von Google Analytics auch aktuell noch zu Datenweiterübermittlungen an die Google LLC in den USA kommt, für die der Websitebetreiber als für die Datenverarbeitung Verantwortlicher weiterhin verantwortlich ist, ist es jedoch auch denkbar, dass eine Bewertung der aktuellen Nutzung von Google Analytics ähnlich ausfällt.
Die Ausführungen der Aufsichtsbehörde zur Überwachung durch US-Geheimdienste gemäß der US-Gesetze sowie zu den nicht ausreichenden Schutzmaßnahmen lassen sich jedenfalls durchaus auch über den konkreten Fall hinaus auf andere (große) US-Clouddienste übertragen, die als „Anbieter elektronischer Kommunikationsdienste“ zu qualifizieren sind und regelmäßig Ziel von Auskunftsanfragen durch US-Geheimdienste gemäß FISA 702 sind.
Da die österreichische Website, um die es im Verfahren ging, zum 1. Februar 2021 außerdem auf eine Firma in München übertragen wurde, hat die österreichische Aufsichtsbehörde das Verfahren diesbezüglich an die Bayerische Aufsichtsbehörde weitergegeben, um feststellen zu lassen, inwieweit auch die derzeitige Nutzung von Google Analytics auf der Website unzulässig ist. Es bleibt abzuwarten, wie dieser zweite Teil des Verfahrens entscheiden wird.
Welche Konsequenzen hat diese Entscheidung für die Onlinemarketing-Branche?
Sollte auch die Nutzung von Google Analytics in der aktuellen Ausgestaltung als unzulässig eingestuft werden, werden – sofern keine Änderung der US-Gesetze erfolgt – Google und andere US-Anbieter ihre Dienste DSGVO-konformer aufstellen müssen. Google beispielsweise hat offenbar bereits damit begonnen und möchte seinen Google Cloud Service mit einer „EU-Only-Option“ für EU-Kunden anbieten, die u.a. eine Data Residency-Funktion für die EU, eine kryptografische Kontrolle über den Datenzugriff ausschließlich beim EU-Kunden sowie ein Google Cloud-Kundensupport von einem Standort innerhalb der EU beinhalten soll.
In jedem Fall sollte die eigene Nutzung von Google Analytics nochmals überprüft und zumindest so DSGVO-konform wie möglich ausgestaltet werden (hierzu hatten wir Sie bereits separat informiert).
Wer sich darauf auch kurzfristig nicht verlassen und den Weg der größtmöglichen Rechtssicherheit gehen möchte, sollte sich (zumindest innerlich) bereits darauf einstellen, dass zum 2. Quartal eine europäische Alternative zu Google Analytics gefunden werden muss und dass für die Zeit darüber hinaus auch andere US-Clouddienste möglicherweise nicht mehr rechtssicher und DSGVO-konform genutzt werden können.
Denn auch andere Behörden, die in den nächsten Monaten über die von NOYB angestrengten Parallelverfahren entscheiden müssen, schlagen ähnliche Töne an. So warnte die niederländische Datenschutzbehörde bereits davor, dass die Nutzung von Google Analytics untersagt werden könnte. Und erst vor kurzem hatte der für EU-Behörden zuständigte Datenschutzbeauftragte verdeutlicht, dass der Einsatz von Google Analytics und des Zahlungsanbieters Stripe durch das Europäische Parlament nicht mit der DSGVO zu vereinbaren sei.
Wir behalten die Lage für Sie weiterhin im Blick und beraten Sie selbstverständlich bei allen aufkommenden Fragen und zu Ihren weiteren Schritten.
(Dr. Frank Eickmeier, Dr. Lukas Mezger UNVERZAGT Rechtsanwälte)