Verwendungen von Google Analytics nicht DSGVO-konform?
Die österreichische Datenschutzbehörde (DSB) entschied in einem Teilbescheid, dass die Nutzung des US-amerikanischen Trackingtools Google Analytics durch eine österreichische Websitebetreiberin gegen die Datenschutz-Grundverordnung (DSGVO) verstößt. Diese noch nicht rechtskräftige Leitentscheidung der DSB ist die erste der insgesamt 101 Musterbeschwerden zum internationalen Datentransfer, die noyb im Zuge der sogenannten „Schrems II – Entscheidung“ in ganz Europa eingereicht hat. Nun hat die französische Datenschutzbehörde, Commission Nationale de l’Informatique et des Libertés (CNIL), ebenfalls zu einer der Musterbeschwerden eine Entscheidung getroffen, die der Ansicht der österreichischen DSB folgt. Es sind schon bald ähnliche Entscheidungen in anderen EU-Mitgliedstaaten zu erwarten.
Entscheidung der DSB
Die DSB kam zum Ergebnis, dass durch die Nutzung von Google Analytics der österreichischen Websitebetreiberin personenbezogene Daten an die Google-Konzernzentrale in den USA übermittelt wurden und hierbei kein angemessenes Schutzniveau gemäß Art. 44 DSGVO gewährleistet wurde.
Der sachliche Anwendungsbereich der DSGVO eröffnete sich nach Auffassung der DSB deshalb, weil insbesondere durch die Kombination der übermittelten Daten, darunter auch einzigartige Nutzer-Identifikations-Nummern, eine Rückführbarkeit auf einzelne natürliche Personen möglich sei. Auch die von vielen als Lösung erachtete Anonymisierungsfunktion der IP-Adresse von Google Analytics reicht aus diesem Grund nach Ansicht der DSB allein nicht, um sich dem Anwendungsbereich der DSGVO zu entziehen.
Da damit personenbezogene Daten in die Vereinigten Staaten, ein Drittland ohne Angemessenheitsbeschluss, übermittelt wurden, musste von der österreichischen Websitebetreiberin ein angemessenes Datenschutzniveau sichergestellt werden. Der Versuch, ein solches Schutzniveau mit aus dem Jahr 2010 stammenden Standarddatenschutzklauseln (SCC) und den von Google implementieren „zusätzlichen Maßnahmen“ herzustellen, scheiterte aufgrund der Unwirksamkeit gegenüber den Überwachungs- und Zugriffsmöglichkeiten durch US-Behörden.
Entscheidung der CNIL
Die CNIL kam in einem anderen Verfahren zum gleichen Ergebnis, wonach die zusätzlichen Maßnahmen von Google Analytics nicht ausreichten, um den Zugriff durch US-Sicherheitsbehörden auszuschließen.
Nach Ansicht der CNIL stellte die Datenübermittlung in die Vereinigten Staaten durch das vom Websitebetreiber verwendete Trackingtool, einen Verstoß gegen die Art. 44 ff. DSGVO dar. Die Websitebetreiberin wurde angewiesen diese Verarbeitung von personenbezogenen Daten innerhalb eines Monats in Einklang mit der DSGVO zu bringen. Er sollte gegebenenfalls die Nutzung von Google Analytics unter den derzeitigen Bedingungen einstellen oder ein Tool verwenden, bei dem keine Datenübermittlung außerhalb der EU stattfindet.
Aktuell untersucht die CNIL auch andere Tools, die Daten von europäischen Internetnutzern in die Vereinigten Staaten senden. Dazu kündigte die CNIL bereits an, dass weitere Entscheidungen folgen werden.
Fazit
Die Entscheidungen der DSB und CNIL weisen auf wesentliche Problematiken bei der Nutzung von Google Analytics hin und haben dessen Einsatz für Websitebetreiber in der EU mit einem hohen datenschutzrechtlichen Risiko versehen.
Schon jetzt werden Möglichkeiten diskutiert, wie die Verwendung von Google Analytics DSGVO-konform erfolgen könnte. Zu diesen Lösungsansätzen gehören umfangreich gestaltete Cookie-Banner auf Websites, mit denen Websitebesucher rechtszeitig eine ausdrückliche Einwilligung zu derartigen Datenübermittlungen (gemäß Art. 49 DSGVO) erteilen. Hierbei werden die Websitebesucher ausführlich über die möglichen Risiken, wie möglichen Zugriffen der US-Sicherheitsbehörden, das Fehlen eines Angemessenheitsbeschlusses und das unangemessene Datenschutzniveau in den USA, aufgeklärt. Ob sich dieser Lösungsansatz durchsetzen wird, ist jedoch fraglich, da der Europäische Datenschutzausschuss (EDSA) dazu eine sehr restriktive Auslegung vertritt.
Auch technische Lösungen, wie das „Server Side Tracking“, bei dem durch spezielle Software der Personenbezug der Daten entfernt wird, bevor diese an Google Analytics übermittelt werden, stehen zur Debatte. Prämisse hierbei ist, dass der Personenbezug durch Google definitiv nicht mehr herstellbar ist und somit keine personenbezogenen Daten an US-Behörden weitergegeben werden können.
Eine langfriste Lösung für die sichere Datenübermittlung zwischen der EU und den USA würde sich auch durch einen neuen Angemessenheitsbeschluss ergeben. Eine Erneuerung des Abkommens mit den USA ist jedoch derzeit nicht absehbar.
Schließlich besteht die Möglichkeit auf alternative Analysetools umzusteigen. Hier haben sich bereits einige Anbieter wie Plausible oder Matomo in Stellung gebracht, die nach ihrer Ansicht DSGVO-konforme Softwarelösungen anbieten.
Die genannten Entscheidungen gehen immer von individuellen Sachverhalten aus. Websitebetreibern wird daher die Überprüfung der datenschutzrechtlichen Konformität ihrer verwendeten Tools, insbesondere Google Analytics, und deren Einstellungen empfohlen. Sollten personenbezogene Daten ohne entsprechende Garantien in die USA transferiert werden, drohen unter Umständen empfindliche Strafen.
Hinweis: Dieser Blog stellt lediglich eine generelle Information und keineswegs eine Rechtsberatung von Binder Grösswang Rechtsanwälte GmbH dar. Der Blog kann eine individuelle Rechtsberatung nicht ersetzen. Binder Grösswang Rechtsanwälte GmbH übernimmt keine Haftung, gleich welcher Art, für Inhalt und Richtigkeit des Blogs.