Österreichische Datenschutzbehörde verbietet Einsatz von Google Analytics

Beitrag verfasst von Dr. Rainer Knyrim und Johannes Leonhartsberger – KTR-Newsletter Februar 2022

Der Verein NOYB rund um Max Schrems veröffentlichte am 13.1.2022 einen sich an das Schrems II-Urteil des EuGH anlehnenden Bescheid der DSB vom 22.12.2021 (GZ D155.027 2021-0.586.257). In dem Bescheid vertritt die DSB die Ansicht, dass der Einsatz von Google Analytics gegen die Schrems II-Entscheidung des EuGH verstößt. Der Bescheid der DSB ist nicht rechtskräftig.

101 Musterbeschwerden

Als Reaktion auf das Schrems II-Urteil und die mangelnde Umsetzung europäischer Webseitenbetreiber brachte NOYB 101 Musterbeschwerden in verschiedenen Mitgliedstaaten der Europäischen Union gegen 30 in der EU und im EWR ansässige Unternehmen ein. In diesen Musterbeschwerden brachte NOYB vor, dass besagte Unternehmen immer noch Google Analytics verwendeten. Dabei handelt es sich um das am meisten verwendete Statistikprogramm, um das Nutzungsverhalten von WebseitenbesucherInnen zu analysieren. Das Problem dabei: Das US-amerikanische Geheimdienstgesetz verpflichtet Unternehmen wie Google, Daten an US-Geheimdienste weiterzugeben.

Die Entscheidung der DSB ist die erste in Bezug auf die von NOYB eingebrachten 101 Musterbeschwerden und sorgt deshalb, nicht nur aufgrund ihres Inhalts, auch über die österreichischen Grenzen hinweg für Aufmerksamkeit.

Datenübermittlung in die USA

Das Verfahren betrifft ein österreichisches Unternehmen (Beschwerdegegner), welches Google Analytics auf seiner Webseite einsetzt. Im konkreten Fall wurden Daten des Beschwerdeführers (zumindest einzigartige Nutzer-Identifikations-Nummern, IP-Adresse und Browserparameter) an Google übermittelt. Der Beschwerdeführer, vertreten durch NOYB, brachte zusammenfassend vor, dass diese Übermittlung seiner personenbezogenen Daten durch den Beschwerdegegner an Google nicht den Anforderungen des Art 44 DSGVO (Bestimmung zur Weitergabe von Daten an ein Drittland oder eine internationale Organisation) entspreche. Aus Sicht des Beschwerdeführers sei der Beschwerdegegner durch die eingesetzten Standarddatenschutzklauseln nicht in der Lage, ein angemessenes Schutzniveau der personenbezogenen Daten des Beschwerdeführers zu gewährleisten.

In einem ersten Schritt bestätigte die DSB, dass es sich bei Art 44 DSGVO um ein subjektives Recht des Beschwerdeführers handle und dieser die Verpflichtung des Verantwortlichen oder Auftragsverarbeiters, für ein angemessenes Schutzniveau Sorge zu tragen, vor der zuständigen Aufsichtsbehörde geltend machen könne.

In einem zweiten Schritt bestätigte die DSB die durch den Beschwerdeführer vorgebrachten Bedenken hinsichtlich der Datenübermittlung mittels Google Analytics an Google.

Die eingesetzten Standarddatenschutzklauseln bieten kein ausreichendes Schutzniveau, da Google als US-Unternehmen der Überwachung durch die US-Geheimdienste unterliegt. Zusätzlich qualifizierte die DSB die von Google vorgebrachten zusätzlich implementierten TOMS (technisch und organisatorische Maßnahmen) wie u.a. Verschlüsselungstechnologien als nicht effektiv genug, um Zugriffsmöglichkeiten der US-Nachrichtendienste sicher zu beseitigen.

„Sofern der Zweitbeschwerdegegner in Folge auf Verschlüsselungstechnologien – etwa auf die Verschlüsselung von „Daten im Ruhezustand“ in den Datenzentren – verweist, sind ihm erneut die Empfehlungen 01/2020 des EDSA entgegenzuhalten. Dort wird nämlich ausgeführt, dass ein Datenimporteur (wie der Zweitbeschwerdegegner), der 50 U.S. Code § 1881a („FISA 702”) unterliegt, hinsichtlich der importierten Daten, die sich in seinem Besitz oder Gewahrsam oder unter seiner Kontrolle befinden, eine direkte Verpflichtung hat, den Zugriff darauf zu gewähren oder diese herauszugeben. Diese Verpflichtung kann sich ausdrücklich auch auf die kryptografischen Schlüssel erstrecken, ohne die die Daten nicht lesbar sind (ebd. Rz 76). Solange der Zweitbeschwerdegegner sohin selbst die Möglichkeit hat, auf Daten im Klartext zuzugreifen, können die ins Treffen geführten technischen Maßnahmen nicht als effektiv im Sinne der obigen Überlegungen betrachtet werden.“

Die DSB kommt in ihrem Bescheid somit zu dem Ergebnis, dass das Tool Google Analytics (zumindest in der Version vom August 2020) nicht in Einklang mit den Vorgaben der DSGVO genutzt werden kann, da für die gegenständliche Datenübermittlung der Erstbeschwerdegegnerin an den Zweitbeschwerdegegner (in den USA) kein angemessenes Schutzniveau durch ein Instrument von Kapitel V der Verordnung gewährleistet wurde und somit ein Verstoß gegen Art 44 DSGVO vorliegt.

Eine Verletzung der allgemeinen Grundsätze der Datenübermittlung konnte bei Google LLC als Datenimporteur, welche als Zweitbeschwerdegegnerin geführt wurde, jedoch nicht festgestellt werden, da Google die erhaltenen Daten nicht offenlegt, sondern diese lediglich erhält.

Wegweisende Entscheidung mit Konsequenzen

Die vorliegende Entscheidung der DSB ist jedenfalls als richtungsweisend anzusehen. Ob das betroffene Unternehmen mit einer Strafe zu rechnen hat, wird sich zeigen, da es sich bei dem veröffentlichten Bescheid lediglich um einen Teilbescheid handelt. Die Wirkungen dieser Entscheidung werden sich jedenfalls nicht allein auf das betroffene Unternehmen beschränken. Nicht zuletzt aufgrund der Zusammenarbeit mehrerer nationaler Aufsichtsbehörden im Rahmen einer EDPB-Taskforce in diesem Verfahren und aufgrund der in Europa sehr weiten Verbreitung von Google Analytics ist wohl in näherer Zukunft auch mit ähnlichen Entscheidungen anderer Aufsichtsbehörden zu rechnen.

Für Schrems ergeben sich als Reaktion auf diese Entscheidung folgende zwei Möglichkeiten für den Datentransfer in die USA in der Zukunft:

  1. US-Gesetze bieten künftig besseren Datenschutz für Ausländer.
  2. US-Anbieter werden ausländische Daten außerhalb der USA verarbeiten werden müssen.

Diesbezüglich werden wohl auch Reaktionen aus den USA zu erwarten sein.

Rückführbarkeit und Pseudonymisierung von Daten

Die DSB beschäftigte sich in ihrer Entscheidung auch mit der Frage der Rückführbarkeit von Daten wie einzigartigen Online-Kennungen und IP-Adressen auf natürliche Personen. Sie kommt zu dem Ergebnis, dass es für die Rückführbarkeit bereits ausreichend ist, wenn „irgendjemand“ – mit rechtlich zulässigen Mitteln und vertretbaren Aufwand – einen Personenbezug herstellen kann. Diese Ansicht kann laut DSB jedenfalls aus Erwägungsgrund 26 DSGVO abgeleitet werden, da dieser bei der Frage der Identifizierbarkeit nicht nur die Mittel des Verantwortlichen berücksichtigt, sondern auch jene einer „anderen Person“. „Entscheidend ist vielmehr, ob mit vertretbarem und zumutbarem Aufwand eine Identifizierbarkeit hergestellt werden kann.“ Bei den erwähnten Informationen handelt es sich somit (jedenfalls in Kombination) um personenbezogene Daten nach Art 4 Z 1 DSGVO.

Im Gegensatz zur Anonymisierung genügt für eine Pseudonymisierung personenbezogener Daten die Trennung von Identitäts- und Informationsdaten (Art 4 Z 5 DSGVO). Die Zuordnung der Daten zu natürlichen Personen darf nur mit Hilfe von zusätzlichen Informationen, die gesondert aufzubewahren sind, möglich sein. Diese zusätzlichen Informationen sind unter dem Schutz geeigneter und adäquater technischer und organisatorischer Maßnahmen aufzubewahren. Im konkreten Fall brachte Google vor, dass zusätzlich zum Abschluss von Standarddatenschutzklauseln diverse Maßnahmen implementiert wurden. Insbesondere die Benachrichtigung von betroffenen Personen über Datenfragen sowie eine sorgfältige Prüfung einer Datenzugriffsfrage stellen laut DSB jedoch keine effektiven Maßnahmen dar, da bereits legale Anfragen von US-Nachrichtendiensten nicht mit dem Grundrecht auf Datenschutz nach Art 8 der Charta der Grundrechte der Europäischen Union (GRC) vereinbar sind.

Auch die von Google vorgebrachte Implementierung von Verschlüsselungstechnologien (Verschlüsselung von Daten im „Ruhezustand“) hält die DSB unter Verweis auf die Empfehlungen 01/2020 des EDSA für nicht ausreichend. Begründend wird angeführt, dass Unternehmen, die der Kontrolle durch US-Nachrichtendienste unterliegen, verpflichtet sind, Zugriff auf importierte Daten zu gewähren. Diese Verpflichtung erstreckt sich auch auf kryptografische Schlüssel, ohne die die Daten nicht lesbar sind.

Als weitere technische Maßnahme führt Google an, dass mittels Google Analytics verarbeitete Daten als pseudonymisiert zu betrachten sind. Auch dieser Ansicht folgt die DSB, mit Verweis auf die Ansicht der Deutschen Datenschutzkonferenz (siehe dazu unseren Beitrag in diesem Newsletter), nicht. Werden Nutzer über IDs oder Kennungen bestimmbar gemacht, stellt dies keine Pseudonymisierungsmaßnahme im Sinne der DSGVO dar. Werden IP-Adressen, Cookie IDs, Werbe-IDs, Unique-User-IDS oder andere Identifikatoren zur (Wieder-)Erkennung verwendet, handelt es sich hierbei um keine geeigneten Garantien zur Einhaltung der Datenschutzgrundsätze. „Denn, anders als in Fällen, in denen Daten pseudonymisiert werden, um die identifizierenden Daten zu verschleiern oder zu löschen, so dass die betroffenen Personen nicht mehr adressiert werden können, werden IDs oder Kennungen dazu genutzt, die einzelnen Individuen unterscheidbar und adressierbar zu machen.“

Dabei handelt es sich somit nicht um Pseudonymisierungen, die die Risiken für betroffene Personen senken und die Verantwortlichen und die Auftragsverarbeiter bei der Einhaltung von Datenschutzpflichten unterstützen.

Im Ergebnis stellt die DSB fest, dass die durch Google zusätzlich implementierten Maßnahmen nicht effektiv sind und die Zugriffs- und Überwachungsmöglichkeiten von US-Geheimdiensten nicht effektiv verhindern.

Datentransfers nicht nur in die USA kritisch

Probleme mit Datentransfers bestehen jedoch nicht nur bei Übermittlungen in die USA, sondern auch in weitere Länder, konkret etwa im Fall von Russland, Indien und China. Zu diesen drei Staaten hat der Europäische Datenschutzausschuss bereits im November 2021 einen Bericht zur Drittstaatenanalyse für China, Indien und Russland veröffentlicht. Hintergrund des Berichts ist eine vom Europäischen Datenschutzbeauftragten in Auftrag gegebene Studie, die sich aufgrund der Auswirkungen des Schrems II-Urteils des EuGH (C-311/18) mit den Möglichkeiten behördlicher Zugriffe auf personenbezogene Daten in Drittstaaten befasst. Der Bericht zeigt auf, dass die Übermittlung personenbezogener Daten in diese drei Staaten im Rahmen der DSGVO als unzulässig anzusehen ist, soweit nicht mittels spezifischer technischer Maßnahmen der behördliche Zugriff auf personenbezogene Daten ausgeschlossen werden kann.

 Unternehmen müssen handeln

Cookie-Tools von Drittstaatsanbietern bedürfen nach dieser Entscheidung einer ebenso unverzüglichen wie eingehenden Prüfung! Entsprechen sie den Anforderungen der Datenschutzbehörde? Sind die entsprechenden technischen Sicherheitsmaßnahmen, allen voran Verschlüsselungsmaßnahmen, implementiert? Wenn die Maßnahmen nicht ausreichen oder durch Zwischenschaltung zusätzlicher Maßnahmen Rechtskonformität hergestellt werden kann, empfehlen wir auf einen anderen Anbieter (bestenfalls innerhalb der Europäischen Union) umzusteigen, wie es zahlreiche Mandanten von uns in den letzten eineinhalb Jahren bereits gemacht haben. Selbstverständlich stehen wir Ihnen bei der Auswahl, dem Wechsel und der Implementierung beratend zur Seite.

Artikel drucken

Beiträge

Newsletter Februar 2022

Österreichische Datenschutzbehörde verbietet Einsatz von Google Analytics

Mit einer ersten behördlichen Entscheidung in den 101 Beschwerdeverfahren von NOYB europaweit sorgte die DSB vor Kurzem auch über die österreichischen Grenzen hinaus für Aufmerksamkeit und es zeichnen sich für Unternehmen, die Google Analytics verwenden, spätestens jetzt konkrete und sehr weitreichende Konsequenzen ab!

Google Analytics verboten – und was jetzt? Webinare im Februar

Die DSB-Entscheidung zu Google Analytics – siehe unsere Beiträge in diesem Newsletter – stellt eine große Zahl von Unternehmen und Organisationen vor enorme Herausforderungen bei der künftigen datenschutzrechtskonformen Durchführung ihrer Datenverarbeitungen! Wir bieten noch im Februar zwei Webinare zum Thema an und freuen uns auf Ihre Teilnahme!

Cookies in Deutschland und auf EU-Ebene

Das Thema Cookies hält europäische Behörden und Datenschützer auf Trab! Die deutsche Datenschutzkonferenz hat dazu im Zusammenhang mit dem neuen Telekommunikation-Telemedien-Datenschutz-Gesetz eine sehr empfehlenswerte Orientierungshilfe veröffentlicht; das EU-Parlament hat im Zusammenhang mit einem COVID-19-Testportal gegen Datenschutzrecht verstoßen!