Eine Entscheidung der österreichischen Datenschutzbehörde (DSB) sorgt derzeit für Aufregung in der Marketing- und Datenschutzwelt. Die DSB erachtet den Einsatz von Google Analytics als Verstoß gegen die Bestimmungen der DSGVO zu Drittlandübermittlungen und daher als rechtswidrig. Was aber bedeutet die Entscheidung aus Österreich für den Einsatz von Google Analytics für deutsche Unternehmen?

Das von Google angebotene Tool Google Analytics ist seit jeher Gegenstand datenschutzrechtlicher Diskussionen. Seit Geltung der DSGVO (Mai 2018) drehten sich die Diskussionen zunächst hauptsächlich um die Frage der Rechtsgrundlage für die Datenverarbeitungen (siehe zuletzt die DSK mit den “Hinweisen zum Einsatz von Google Analytics im nicht-öffentlichen Bereich” vom 12. Mai 2020), eine datenschutzfreundliche Konfiguration (insbesondere IP-Adressen-Kürzung mittels der Funktion „_anonymizeIp()“) sowie die korrekte Erfüllung datenschutzrechtlicher Informationspflichten gem. Art. 13 DSGVO.

Mit dem Wegfall des EU-U.S. Privacy Shields (Angemessenheitsbeschluss nach Art. 45 DSGVO) in Folge der Schrems-II-Entscheidung des EuGH (Urteil vom 16. Juli 2020, Rs. C-311/18) rückt nun seit Sommer 2020 die Frage der Datenübermittlung in die USA und deren Rechtmäßigkeit nach den Art. 44 ff. DSGVO in den Fokus. Mit genau dieser Frage hatte sich nun die österreichische Datenschutzaufsichtsbehörde auseinanderzusetzen (Teilbescheid von Dezember 2021 und veröffentlicht am 13. Januar 2022).

Gegenstand und Kernaussagen des Verfahrens in Österreich

Angestoßen wurde das Beschwerdeverfahrens durch die u.a. von Max Schrems gegründete Datenschutz-NGO None of Your Business (noyb). Das Verfahren ist Teil der sog. „101 complaints“, einer im August 2020 EU-weit angestoßenen Kampagne von noyb, die sich gegen den Einsatz von Google Analytics und Facebook-Tools auf Websites richtet.

Die Beschwerde richtete sich sowohl gegen die Betreiberin einer Webseite (Erstbeschwerdegegnerin) als auch gegen Google selbst (Zweitbeschwerdegegnerin). Der Beschwerdeführer hatte im August 2020 die Website der Erstbeschwerdegegnerin besucht. Während des Besuchs war der Beschwerdeführer in seinem Google-Konto eingeloggt, das wiederum mit der E-Mail-Adresse des Beschwerdeführers verknüpft war. Auf der Website war ein HTML-Code für Google-Dienste (inklusive Google Analytics) eingebettet, sodass im Verlauf des Besuchs die Erstbeschwerdegegnerin personenbezogene Daten, mindestens die IP-Adresse und Cookie-Daten (einzigartige Nutzer-Identifikations-Nummern und Browserparameter) des Beschwerdeführers, über die kostenlose Version von Google Analytics verarbeitete und einige dieser personenbezogenen Daten an die Google LLC in den USA übermittelt hatte. Die IP- Anonymisierungsfunktion war nicht korrekt implementiert.

Die Kernaussagen des Bescheids sind die Folgenden:

  • Die dem Beschwerdeverfahren zugrundeliegenden Online-Kennungen/Kennnummern sind (jedenfalls in Kombination mit weiteren Informationen) personenbezogene Daten, da eine Individualisierung der Betroffenen und Identifizierbarkeit der Website-Besucher durch Google (bei parallelem Google-Konto-Login) und die US-Behörden im Rahmen ihrer geheimdienst- und nachrichtendienstlichen Überwachungstätigkeiten möglich ist (vgl. S. 26 ff. des Bescheids);
  • Die Datenübermittlung hat zwischen der Website-Betreiberin als Verantwortlicher/Datenexporteurin und Google LLC als Auftragsverarbeiterin/Datenimporteurin stattgefunden;
  • Die von Google zusätzlich zu den abgeschlossenen Standardvertragsklauseln ergriffenen Maßnahmen/“supplementary measures” (technischer, organisatorischer und vertraglicher Natur) waren nicht dazu geeignet, die Überwachungs- und Zugriffsmöglichkeiten durch US-Nachrichtendienste zu beseitigen, denen die Google LLC als Anbieterin elektronischer Kommunikationsdienste im Sinne von 50 U.S. Code § 1881(b)(4) gemäß 50 U.S. Code § 1881a („FISA 702”) unterliegt (S. 34 ff. des Bescheids).

Der Google LLC wurde jedenfalls keine Verletzung der Vorgaben aus Kapitel V der DSGVO zur Last gelegt. Eine Offenlegungshandlung durch Google als Datenimporteur mit Sitz in den USA lag nicht vor. Auch trifft der Teilbescheid keine Aussagen über mögliche Verstöße der Google LLC in ihrer Funktion als Auftragsverarbeiterin gem. Art. 5 ff iVm Art. 28 Abs. 3 lit. a und Art. 29 DSGVO. Diese Fragen werden in einem separaten Verfahren behandelt.

Die Anonymisierungsfunktion der IP-Adresse, die im Rahmen des Einsatzes von Google Analytics aktiviert werden kann, war vorliegend nicht von Relevanz, da diese nicht korrekt implementiert wurde und abgesehen davon – so jedenfalls die DSB – diese Funktion ohnehin nur eines von vielen „Puzzleteilen“ des digitalen Fußabdrucks des Beschwerdeführers sei.

Da die Domain des Beschwerdeverfahrens im Laufe des Verfahrens nach Deutschland verkauft wurde, wird der DSB hinsichtlich möglicher Abhilfebefugnisse im Sinne von Art. 58 Abs. 2 DSGVO den Fall an die zuständige deutsche Aufsichtsbehörde (das Bayerische Landesamt für Datenschutzaufsicht (BayLDA)) herantragen.

Auch in Deutschland wurden von noyb mehrere Verfahren geführt (davon insgesamt fünf zu Google Analytics), sodass hierzu in den kommenden Wochen ebenfalls mit Entscheidungen der deutschen Landesaufsichtsbehörden zu rechnen ist.

Erste Einordnung der Entscheidung

Zunächst bleibt festzuhalten, dass die Entscheidung von einer Aufsichtsbehörde eines anderen EU-Mitgliedsstaats getroffen wurde und somit keine unmittelbaren Auswirkungen auf den Einsatz von Google Analytics in Deutschland besitzt. Ebenso hält die Aufsichtsbehörde im Teilbescheid fest, dass die Entscheidung nicht die neuen Standardvertragsklauseln der EU-Kommission von Juni 2021 berücksichtigt.

Bei der Prüfung zusätzlicher Maßnahmen/“supplementary measures“ zur Gewährleistung eines im Wesentlichen gleichwertigen Schutzniveaus bei der Verwendung von Standardvertragsklauseln orientiert sich die Aufsichtsbehörde eng an den „Empfehlungen 01/2020 zu Maßnahmen zur Ergänzung von Übermittlungstools zur Gewährleistung des unionsrechtlichen Schutzniveaus für personenbezogene Daten“ des Europäischen Datenschutzausschusses (EDSA). Wenig überraschend kommt die Aufsichtsbehörde daher zu dem Schluss, dass, solange der Datenimporteur die Möglichkeit hat, auf Daten im Klartext zuzugreifen, technische Maßnahmen (insbesondere zur Verschlüsslung “at rest”) nicht als effektiv zur Verhinderung und Einschränkung des Zugriffs von US-Behörden betrachtet werden können. Die weiteren von Google im Rahmen des Verfahren vorgebrachten Maßnahmen vertraglicher oder organisatorischer Natur (z.B. Benachrichtigung Betroffener über Datenanfragen oder Prüfung jeder Datenzugriffsanfrage) sieht die DSB als keine geeigneten zusätzlichen Maßnahmen.

Zudem hält die Datenschutzbehörde fest, dass vorliegend keine Pseudonymisierungsmaßnahmen i. S. d. ErwGr 28 der DSGVO vorliegen. Denn die dem Beschwerdeverfahren zugrundeliegenden Kennungen seien explizit dazu genutzt worden, einzelne Individuen unterscheidbar und adressierbar zu machen, und würden gerade nicht dazu dienen, die identifizierenden Daten zu verschleiern oder zu löschen, sodass die betroffenen Personen nicht mehr adressiert werden können.

Unberücksichtigt blieb von der DSB die Frage, wie hoch die Wahrscheinlichkeit eines Zugriffs durch US-Behörden auf die verfahrensgegenständlichen Daten ist und welche Auswirkungen dies auf die Rechtmäßigkeit der Datenübermittlung hat. Dieser Aspekt findet sich in den neuen Standardvertragsklauseln (Klausel 14) und den aktualisierten Empfehlungen 01/2020 des EDSA (Rn. 43 ff.).

Ausblick

Abzuwarten bleibt, inwiefern die neuen Standardvertragsklauseln eine andere Betrachtung des Einsatzes von Google Analytics ermöglichen; insbesondere aufgrund der Möglichkeit der Berücksichtigung der Wahrscheinlichkeit von Zugriffen und einem möglichen Einbezug der irischen Google-Gesellschaft, die seit April 2021 als Anbieter von Google Produkten und Tools in Europa fungiert, durch das neue Modul 3 (sofern eine Drittlandübermittlung tatsächlich zwischen den Google Gesellschaften erfolgt). Aussagekräftige Empfehlungen seitens der Aufsichtsbehörden, welche Pflichten den Website-Betreiber als Verantwortlichen bei Annahme dieser Übermittlungskonstellation treffen, existieren bisher nicht. Die datenschutzrechtliche Verantwortlichkeit des Website-Betreibers bleibt jedoch auch in dieser Konstellation bestehen.

Ebenfalls ist abzuwarten, ob die von der EU-Kommission angekündigten zusätzlichen Standardvertragsklauseln für Datenimporteure, die über Art. 3 Abs. 2 DSGVO bereits der DSGVO unterliegen, Neuerungen mit sich bringen werden.

Website-Betreiber, die Google Analytics auf ihrer Website weiterhin einsetzen, sollten die mittelfristig zu erwartenden Entscheidungen zu Google Analytics der deutschen Landesaufsichtsbehörden aufmerksam verfolgen. Hierbei ist insbesondere darauf zu achten, ob deutschen Beschwerdeverfahren unter anderen Umständen geführt wurden (insbesondere ohne parallelen Google-Konto-Login und mit aktivierter IP-Anonymisierung) und sich heraus andere Wertungen ergeben. Allerdings ist zu erwarten, dass die anderen zukünftigen Entscheidungen von Aufsichtsbehörden aufgrund der Zusammenarbeit in einer Taskforce auf EDSA-Ebene gleichlaufend ergehen werden. Die niederländische Aufsichtsbehörde hatte bereits mitgeteilt, dass der Einsatz von Google Analytics möglicherweise bald nicht mehr zulässig sei.

Jedenfalls sollten Website-Betreiber aufgrund der nunmehr bestehenden erhöhten Aufmerksamkeit gegenüber dem Einsatz von Google Analytics alternative Handlungsoptionen überlegen sowie Strategien für mögliche Anordnungen und Maßnahmen von Aufsichtsbehörden sowie möglichen Schadensersatzklagen von Betroffenen gem. Art. 82 DSGVO entwickeln, wenn Google Analytics weiterhin eingesetzt werden soll.

Eine für die Praxis bedeutsame Handlungsoption ist mit Sicherheit die Möglichkeit zur Einwilligung gem. Art 49 Abs. 1 S. 1 lit. a DSGVO, welche eine Rechtfertigung zur Datenübermittlung darstellen kann. Hierbei sehen sich Verantwortliche mit den Herausforderungen konfrontiert, die hohen Anforderungen an die Unterrichtung der Betroffenen transparent und aussagekräftig umzusetzen sowie über das Consent-Management-Tool die drei erforderlichen Einwilligungen (§ 25 Abs. 1 TTDSG, Art. 6 Abs. 1 S. 1 lit. a DSGVO und Art. 49 Abs. 1 S. 1 lit. a DSGVO) rechtskonform einzuholen.