Nachdem die österreichische Datenschutzbehörde dsb Ende des vergangenen Jahres zum Schluss kam, dass der Einsatz von Google Analytics rechtswidrig erfolgt, kam die französische Datenschutzbehörde CNIL nun zum selben Ergebnis.

Zahlreiche Verfahren gegen den Einsatz von Google Analytics

Am 21. Dezember 2021 kam die österreichische Datenschutzbehörde (dsb) in einem relativ umfangreichen Teilentscheid zum Schluss, dass der Einsatz von Google Analytics auf Webseiten mit europäischen Besuchern unzulässig sei (siehe auch den Beitrag von Erik Petersen „Einsatz von Google Analytics datenschutzrechtswidrig! – Was folgt aus der Entscheidung der österreichischen Datenschutzbehörde? Und was nicht?). Der Einsatz von Google Analytics auf europäischen Webseiten ist zurzeit Gegenstand diverser Verfahren in unterschiedlichen Ländern. Allesamt der 101 Verfahren wurden durch die NGO None Of Your Business (NOYB) von Max Schrems angestossen. Am 10. Februar 2022 kam nun auch die französische Datenschutzbehörde CNIL (Commission Nationale de l’Informatique et des Libertés) zum Schluss, dass der Einsatz von Google Analytics nicht mit der DSGVO vereinbar sei.

 

Bei Google Analytics handelt es sich um ein Trackingtool, welches der Datenverkehrsanalyse von Webseiten dient. Jedem Besucher der Webseite wird ein Kennzeichen verliehen, welches ein Personendatum darstellt. Problematisch ist dabei, dass Google damit ein umfassendes Benutzerprofil von Besuchern einer Webseite anlegen kann. Die so erhobenen Personendaten werden dann in die USA übermittelt und auf Servern von Google gespeichert

Übermittlung von Personendaten in die USA

Die CNIL führt in ihrem Entscheid aus, dass durch die Aufhebung des US-Privacy Shield im Urteil Schrems-II durch den Europäischen Gerichtshof (vgl. EuGH Urteil v. 16.06.2020, C-311/18) kein adäquates Datenschutzniveau mehr für die Datenübermittlung in die USA vorliegt und damit Massnahmen nach Art. 46 ff. DSGVO getroffen werden müssen. So wurden auch vorliegend Standardvertragsklauseln (sog. SCC, mehr dazu unter: Neue Standarddatenschutzklauseln durch die EU-Kommission verabschiedet) mit Google vereinbart. Jedoch erinnerte CNIL in ihrem Urteil daran, dass gemäss Schrems II-Rechtsprechung SCC als vertragliche Massnahme Drittparteien und damit insbesondere US-Behörden nicht binden könne und daher als alleinige Massnahme nicht zwingend ein adäquates Datenschutzniveau garantiere (vgl. C-311/18, N 126).

Auch die zusätzlichen Massnahmen, die Google gemäss den Empfehlungen vom Europäischen Datenschutzausschuss (EDSA) ergriffen hatte, reichen nicht aus um den Zugriff von amerikanischen Nachrichtendienste auf Personendaten auszuschliessen. So empfand CNIL auch die von Google hervorgehobene optionale technische Massnahme, die in der Anonymisierung von IP-Adressen besteht (sog. IP-Masking), als unzureichend. Zum einen sei diese Funktion optional und nicht auf alle Übermittlungen anwendbar. Zum anderen habe Google nicht darlegen können, ob diese Anonymisierung vor der Übertragung stattfindet oder ob die IP-Adresse in jedem Fall als Ganzes in die USA übertragen und erst in einem zweiten Schritt gekürzt wird.

Da gemäss CNIL folglich keine geeigneten Garantien für ein angemessenes Datenschutzniveau nach Art. 46 DSGVO vorliegen, wäre die Datenübermittlung in die USA nur bei Einhaltung der Ausnahmegründe nach Art. 49 DSGVO möglich. Hierbei machte der Beschwerdegegner geltend, dass die Datenübermittlung auf Grundlage der ausdrücklichen Einwilligung nach Art. 49 Ziff. 1 Abs. 1 lit. a DSGVO erfolgt sei. Dagegen statuierte die CNIL jedoch unmissverständlich, dass die grundsätzliche Zustimmung der betroffenen Person zum Tracken auf der Website nicht gleichzusetzen sei mit der ausdrücklichen Einwilligung «nachdem sie über die für sie bestehenden möglichen Risiken derartiger Datenübermittlungen ohne Vorliegen eines Angemessenheits-beschlusses und ohne geeignete Garantien unterrichtet wurde». Dieser Nachweis konnte der Beschwerdegegner jedoch nicht erbringen.

Fazit

Die CNIL kommt daher zum Schluss, dass ein Risiko für die betroffenen Personen bestehen.

Die CNIL empfiehlt daher für Messungen und Analysen Tools zu verwenden, die anonyme statistische Daten generieren bzw. sammeln. Dadurch kann auch die Zustimmungspflicht zum Tracking umgangen werden, sofern kein Datentransfer in Drittländer stattfinden.

Dieser Entscheid lässt in zweierlei Hinsicht aufhorchen; Zum einen ist dies zusammen mit dem Entscheid der dsb bereits der zweite Entscheid, der für die Beurteilung des rechtmässigen Datentransfers in Drittländer nach Art. 44 ff. OR einen absoluten Ansatz verfolgt. In beiden Urteilen wurde demnach nicht geprüft, wie wahrscheinlich ein Zugriff einer US-Behörde ist. Dieser absolute Ansatz konnte man zwar noch im Schrems II-Urteil erkennen. Er widerspricht jedoch dem risikobasierten Ansatz, den der EDSA in seinen Leitlinien sowie auch die EU-Kommission in den neuen Standardvertragsklauseln stipulierten und wonach die Wahrscheinlichkeit eines Behördenzugriffs zu berücksichtigen ist.

Zum anderen wird damit einmal mehr deutlich, dass die ausdrückliche Einwilligung nach Art. 49 Ziff. 1 Abs. 1 lit. a DSGVO nicht leichtfertig angenommen werden darf. Denn sie bedingt der explizite Hinweis über bestehende mögliche Risiken derartiger Datenübermittlungen, insbesondere darüber, dass kein angemessenes Datenschutzniveau gegeben ist und Betroffenenrechte gegebenenfalls nicht durchgesetzt werden können.