{"id":1236,"date":"2022-02-02T17:23:38","date_gmt":"2022-02-02T16:23:38","guid":{"rendered":"https:\/\/blog.eprivacy.eu\/?p=1236"},"modified":"2022-02-02T17:23:38","modified_gmt":"2022-02-02T16:23:38","slug":"schrems-ii-in-der-praxis-was-jetzt-aus-der-entscheidung-der-oesterreichischen-aufsichtsbehoerde-in-sachen-google-analytics-folgt","status":"publish","type":"post","link":"https:\/\/blog.eprivacy.eu\/?p=1236&lang=de","title":{"rendered":"\u201eSchrems II\u201c in der Praxis: Was jetzt aus der Entscheidung der \u00f6sterreichischen Aufsichtsbeh\u00f6rde in Sachen Google Analytics folgt"},"content":{"rendered":"\n<p>Im August 2020 hat die von Max Schrems gegr\u00fcndete Datenschutzorganisation NOYB in Reaktion auf die \u201eSchrems II\u201c-Entscheidung des Europ\u00e4ischen Gerichtshofs in verschiedenen EU-Mitgliedstaaten sage und schreibe 101 Muster-Beschwerden wegen des Datentransfers von europ\u00e4ischen Website-Betreibern zu den US-Anbietern Google und Facebook erhoben.<br><br>Nun hat die \u00f6sterreichische Datenschutzbeh\u00f6rde (DSB) die erste Entscheidung zu diesen Parallelverfahren getroffen. Konkret geht es hier um die Nutzung von Google Analytics. Die dieser Entscheidung zugrundeliegende Beschwerde richtete sich sowohl gegen einen \u00f6sterreichischen Websitebetreiber (der Datenexporteur), auf dessen Seite Google Analytics genutzt wurde, und gegen die Google LLC (als Diensteanbieter und Datenimporteur in den USA). Verfahrensgegenstand war die Daten\u00fcbermittlung im August 2020. Die DSB kommt in Ihrer Entscheidung zu dem Schluss,&nbsp;dass die damalige Nutzung von Google Analytics gegen die Anforderungen der DSGVO f\u00fcr internationale Datentransfers verstie\u00df.<br><br>Insbesondere stellt die Aufsichtsbeh\u00f6rde fest:<br><br><strong>Bei der Nutzung von Google Analytics werden personenbezogene Daten verarbeitet<\/strong><br>&nbsp;Auf einer Website, die Google Analytics nutzt, werden beim Besuch dieser Website die folgenden Informationen an Google gesendet:<\/p>\n\n\n\n<ul><li>einzigartige&nbsp;Online-Kennungen&nbsp;(<em>\u201eunique identifier\u201c<\/em>), die den Browser bzw. das Ger\u00e4t des Web\u00adsite-Besuchers und den Websitebetreiber identifizieren,<\/li><li>die&nbsp;URL und den Namen der Website&nbsp;sowie die besuchten Unterseiten,<\/li><li>Informationen zu&nbsp;Browser, Betriebssystem, Bildschirmaufl\u00f6sung, Sprachauswahl&nbsp;des Besuchers&nbsp;sowie Datum und Uhrzeit&nbsp;des Besuchs und<\/li><li>die&nbsp;IP-Adresse&nbsp;des Besuchers.<\/li><\/ul>\n\n\n\n<p>Diese Informationen sind&nbsp;nach dem weiten Anwendungsbereich der DSGVO personenbezogene Daten, so die DSB. Denn die Online-Kennungen erm\u00f6glichen es dem Websitebetreiber, einen Nutzer in einer Menge von vielen Nutzern zu individualisieren. Insbesondere in&nbsp;Kombination mit weiteren Informationen, die \u00fcber den Nutzer gesammelt werden, wird dessen \u201edigitaler Fu\u00dfabdruck\u201c umso einzigartiger und eine Identifizierung umso wahrscheinlicher.<br><br>Mit Blick auf die \u201eAnonymisierungsfunktion f\u00fcr IP-Adressen\u201c von Google Analytics stellt die Be\u00adh\u00f6rde klar, dass diese im vorliegenden Fall nicht korrekt implementiert war. Jedoch h\u00e4tte eine korrekte Umsetzung es auch zu keiner anderen Bewertung gef\u00fchrt, da die&nbsp;IP-Adresse nur eins von vielen Elementen ist, mit deren Hilfe ein Personenbezug hergestellt werden kann.<br><br><strong>Die EU-Standardvertragsklauseln in Verbindung mit den von Google getroffenen zus\u00e4tzlichen Schutzma\u00dfnahmen sind unzureichend, um ein angemessenes Schutzniveau zu gew\u00e4hrleisten.<\/strong><br><br>Die Google LLC mit Sitz in den USA f\u00e4llt als \u201eAnbieter elektronischer Kommunikationsdienste\u201c unter die \u00dcberwachung durch US-Geheimdienste nach dem US-Gesetz \u201eFISA 702\u201c. Die von Google getroffenen Ma\u00dfnahmen zum Schutz der Nutzerdaten sind nicht ausreichend, da sie&nbsp;keinen effektiven Schutz gegen die \u00dcberwachungs- und Zugriffsm\u00f6glichkeiten der US-Ge\u00adheim\u00addienstebieten \u2013 so das Urteil der \u00f6sterreichischen Aufsichtsbeh\u00f6rde.<br><br>So seien Standardvertragsklauseln zwar als Instrument f\u00fcr den internationalen Datentransfer nicht per se zu beanstanden, w\u00fcrden aufgrund Ihrer Natur als Vertrag jedoch nicht ausreichen, da sie keinerlei rechtliche Bindung f\u00fcr US-Beh\u00f6rden entfalten.<br><br>Die Beh\u00f6rde betont: Der Datenexporteur muss f\u00fcr den Fall, dass das Recht des Drittlands sich auf die Wirksamkeit von Standardvertragsklauseln auswirkt, die&nbsp;Daten\u00fcbermittlung entweder aussetzen oder zus\u00e4tzliche Ma\u00dfnahmen (\u201esupplementary measures\u201c) treffen, um ein angemessenes Schutzniveau zu gew\u00e4hrleisten.<br><br>Zus\u00e4tzliche technische, organisatorische und vertragliche Ma\u00dfnahmen sind jedoch&nbsp;nur dann als effektiv&nbsp;und damit ausreichend im Sinne von \u201eSchrems II\u201c zu betrachten,&nbsp;sofern sie gerade die durch die Zugriffs- und \u00dcberwachungsm\u00f6glichkeiten von US-Beh\u00f6rden entstandene Rechts\u00adschutzl\u00fccke schlie\u00dfen.<br><br>Laut Beh\u00f6rde sei&nbsp;nicht ersichtlich, dass die von Google getroffenen Schutzma\u00dfnahmen (zum Beispiel Richtlinien f\u00fcr den Umgang mit und sorgf\u00e4ltige Pr\u00fcfung jeder Beh\u00f6rdenanfrage oder Schutz von Daten bei der \u00dcbertragung) eine solche&nbsp;Schutzl\u00fccke effektiv schlie\u00dfen k\u00f6nnten.<br><br>Konkret zu den&nbsp;von Google genutzten Verschl\u00fcsselungstechnologien&nbsp;f\u00fchrt die Beh\u00f6rde aus, dass diese einen Zugriff nicht effektiv verhindern k\u00f6nnen, sofern der Datenimporteur auf die Daten im Klartext zugreifen kann, da US-Geheimdienste explizit auch Offenlegung des kryptografischen Schl\u00fcssels verlangen k\u00f6nnen (der in diesem Fall beim Datenimporteur liegt).<br><br>Das bedeutet, dass selbst zus\u00e4tzliche technische Ma\u00dfnahmen, die \u00fcber die von Google getroffenen Ma\u00dfnahmen hinausgehen,&nbsp;regelm\u00e4\u00dfig nicht ausreichen werden, sofern der Datenimporteur in der USA Zugriff auf die Daten im Klartext hat. In einem solchen Fall ist es nicht m\u00f6glich, personenbezogene Daten effektiv vor Zugriff und \u00dcberwachung durch US-Geheim\u00addienste zu sch\u00fctzen.<br><br><strong>Google hat f\u00fcr sich genommen nicht gegen die Anforderungen nach Kapitel V der DSGVO versto\u00dfen \u2013 die Pr\u00fcfung ist diesbez\u00fcglich aber noch nicht abgeschlossen<\/strong><br><br>Die verfahrensgegenst\u00e4ndlichen Vorgaben des Kapitel V der DSGVO sind nur von demjenigen zu beachten, der personenbezogene Daten einem Datenimporteur offenlegt (und damit nicht f\u00fcr denjenigen, der sie erh\u00e4lt). Entsprechend hat die DSB die Beschwerde gegen die Google LLC selbst in dieser Hinsicht zur\u00fcckgewiesen.<br><br>Davon unbenommen bleibt eine (m\u00f6gliche) Verletzung von Art. 5 ff. iVm Art. 28 Abs. 3 lit. a und Art. 29 DSGVO durch Google wegen der Offenlegung von personenbezogenen Daten gegen\u00fcber US-Geheimdiensten (\u201eheimliche Datenweitergabe\u201c). Diese Rechtsfrage soll in einem weiteren Bescheid entschieden werden, so die Beh\u00f6rde.<br><br><strong>Welche Auswirkungen hat die Entscheidung auf die von Google Analytics in der heute verf\u00fcgbaren Ausgestaltung?<\/strong><br><br>Die Entscheidung der DSB bezieht sich wie erw\u00e4hnt (nur) auf die Daten\u00fcbermittlung im August 2020. Seinerzeit war die Google LLC in den USA gem\u00e4\u00df der Google-AGB der Vertragspartner f\u00fcr die (im vorliegenden Fall genutzte) kostenlose Version von Google Analytics. Seit Ende April 2021 werden sowohl der kostenlose als auch der kostenpflichtige Google Analytics 360-Dienst von Google Ireland Limited angeboten, die ihren Sitz in der EU hat. Zumindest jetzt ist also nicht mehr Google LLC, sondern Google Ireland Limited Auftragsverarbeiter f\u00fcr die Google Analytics-Dienste.<br><br>Diese \u00c4nderung k\u00f6nnte dazu f\u00fchren, dass eine Bewertung der Nutzung von Google Analytics in der aktuellen Ausgestaltung anders ausf\u00e4llt.<br><br>Da es aber bei der Nutzung von Google Analytics auch aktuell&nbsp;noch zu Datenweiter\u00fcbermittlungen an die Google LLC in den USA kommt, f\u00fcr die der Websitebetreiber als f\u00fcr die Datenverarbeitung Verantwortlicher weiterhin verantwortlich ist, ist es jedoch auch denkbar, dass eine Bewertung der aktuellen Nutzung von Google Analytics \u00e4hnlich ausf\u00e4llt.<br><br>Die Ausf\u00fchrungen der Aufsichtsbeh\u00f6rde zur \u00dcberwachung durch US-Geheimdienste gem\u00e4\u00df der US-Gesetze sowie zu den nicht ausreichenden Schutzma\u00dfnahmen lassen sich jedenfalls durchaus&nbsp;auch \u00fcber den konkreten Fall hinaus auf andere (gro\u00dfe) US-Clouddienste \u00fcbertragen, die als \u201eAnbieter elektronischer Kommunikationsdienste\u201c zu qualifizieren sind&nbsp;und regelm\u00e4\u00dfig Ziel von Auskunftsanfragen durch US-Geheimdienste gem\u00e4\u00df FISA 702 sind.<br><br>Da die \u00f6sterreichische Website, um die es im Verfahren ging, zum 1. Februar 2021 au\u00dferdem auf eine Firma in M\u00fcnchen \u00fcbertragen wurde, hat die \u00f6sterreichische Aufsichtsbeh\u00f6rde das Verfahren diesbez\u00fcglich an die Bayerische Aufsichtsbeh\u00f6rde weitergegeben, um feststellen zu lassen,&nbsp;inwieweit auch die&nbsp;<em>derzeitige<\/em>&nbsp;Nutzung von Google Analytics auf der Website unzul\u00e4ssig ist. Es bleibt abzuwarten, wie dieser zweite Teil des Verfahrens entscheiden wird.<br><br><strong>Welche Konsequenzen hat diese Entscheidung f\u00fcr die Onlinemarketing-Branche?<\/strong><br><br>Sollte auch die Nutzung von Google Analytics in der aktuellen Ausgestaltung als unzul\u00e4ssig eingestuft werden, werden \u2013 sofern keine \u00c4nderung der US-Gesetze erfolgt \u2013&nbsp;Google und andere US-Anbieter ihre Dienste DSGVO-konformer aufstellen m\u00fcssen. Google beispielsweise hat offenbar bereits damit begonnen und m\u00f6chte seinen Google Cloud Service mit einer&nbsp;\u201e<a href=\"https:\/\/t5baa4d95.emailsys1a.net\/c\/107\/4940975\/4221\/0\/11200275\/445\/311521\/efe85e9a5a.html\">EU-Only-Option<\/a>\u201c&nbsp;f\u00fcr EU-Kunden anbieten, die u.a. eine Data Residency-Funktion f\u00fcr die EU, eine kryptografische Kontrolle \u00fcber den Datenzugriff ausschlie\u00dflich beim EU-Kunden sowie ein Google Cloud-Kundensupport von einem Standort innerhalb der EU beinhalten soll.<br><br>In jedem Fall sollte die eigene Nutzung von Google Analytics nochmals \u00fcberpr\u00fcft und zumindest so DSGVO-konform wie m\u00f6glich ausgestaltet werden (hierzu hatten wir Sie bereits separat informiert).<br><br>Wer sich darauf auch kurzfristig nicht verlassen und den&nbsp;Weg der gr\u00f6\u00dftm\u00f6glichen Rechtssicherheit&nbsp;gehen m\u00f6chte, sollte sich (zumindest innerlich) bereits darauf einstellen, dass zum 2.&nbsp;Quartal eine europ\u00e4ische Alternative zu Google Analytics gefunden werden muss und dass f\u00fcr die Zeit dar\u00fcber hinaus auch andere US-Clouddienste m\u00f6glicherweise nicht mehr rechtssicher und DSGVO-konform genutzt werden k\u00f6nnen.<br><br>Denn auch andere Beh\u00f6rden, die in den n\u00e4chsten Monaten \u00fcber die von NOYB angestrengten Parallelverfahren entscheiden m\u00fcssen, schlagen \u00e4hnliche T\u00f6ne an. So warnte die niederl\u00e4ndische Datenschutzbeh\u00f6rde bereits davor, dass die Nutzung von Google Analytics untersagt werden k\u00f6nnte.&nbsp;Und erst vor kurzem hatte der f\u00fcr EU-Beh\u00f6rden zust\u00e4ndigte Datenschutzbeauftragte verdeutlicht, dass der<a href=\"https:\/\/t5baa4d95.emailsys1a.net\/c\/107\/4940975\/4221\/0\/11200275\/445\/311517\/1aec14a27a.html\"><u>&nbsp;Einsatz von Google Analytics und des Zahlungsanbieters Stripe durch das Europ\u00e4ische Parlament<\/u><\/a>&nbsp;nicht mit der DSGVO zu vereinbaren sei.<br><br>Wir behalten die Lage f\u00fcr Sie weiterhin im Blick und beraten Sie selbstverst\u00e4ndlich bei allen aufkommenden Fragen und zu Ihren weiteren Schritten.<br><br>(Dr. Frank Eickmeier, Dr. Lukas Mezger UNVERZAGT Rechtsanw\u00e4lte)<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Im August 2020 hat die von Max Schrems gegr\u00fcndete Datenschutzorganisation NOYB in Reaktion auf die \u201eSchrems II\u201c-Entscheidung des Europ\u00e4ischen Gerichtshofs in verschiedenen<\/p>\n<p class=\"link-more\"><a class=\"myButt \" href=\"https:\/\/blog.eprivacy.eu\/?p=1236&#038;lang=de\">Read More<\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":[],"categories":[10],"tags":[],"_links":{"self":[{"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/posts\/1236"}],"collection":[{"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=1236"}],"version-history":[{"count":1,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/posts\/1236\/revisions"}],"predecessor-version":[{"id":1237,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/posts\/1236\/revisions\/1237"}],"wp:attachment":[{"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=1236"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=1236"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=1236"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}