Die Nutzung von Google Analytics ist nicht DSGVO konform – Neue Grundsatzentscheidung der österreichischen Datenschutzbehörde
Die österreichische Datenschutzbehörde (DSB) hat in einem kürzlich erlassenen Bescheid (22. 12. 2021, D155.027 2021-0.586.257) entschieden, dass die Nutzung von Google Analytics auf Websites derzeit gegen die DSGVO verstößt. Vor allem die Übermittlung personenbezogener Daten in die USA im Hinblick auf die Schrems-II-Entscheidung wurde von der DSB als problematisch angesehen. Dies ist die erste Entscheidung der „101 Beschwerden“, die von noyb im Jahr 2020 eingereicht wurden. Bald sind ähnliche Entscheidungen in anderen EU-Mitgliedstaaten zu erwarten.
1. Ausgangslage
Am 13.01.2022 veröffentlichte die NGO „NOYB - Europäisches Zentrum für digitale Rechte“ (NOYB) auf ihrer Website eine (nicht rechtskräftige) Entscheidung der DSB über die Zulässigkeit der Nutzung von Google Analytics eines (zum verfahrensrelevanten Zeitpunkt) österreichischen Websitebetreibers.
2. Rechtslage
2.1 Anwendbarkeit der DSGVO
Wie die DSB im Bescheid richtigerweise festhält, gehen die Umsetzungsbestimmungen der Richtlinie 2002/58/EG (e-Privacy-RL) – in Österreich das TKG 2021, BGBl. I Nr. 190/2021 idgF – als leges speciales der DSGVO vor. Jedoch finden sich in der e-Privacy-RL keine Regeln zur Übermittlung von personenbezogenen Daten an Drittländer, weshalb diesbezüglich das Kapitel V der DSGVO zur Anwendung kommt.
2.2 Durch Google Analytics übermittelte Daten sind personenbezogene Daten iSd DSGVO
Die DSB stellt nunmehr klar, dass insbesondere durch die Kombination der verschiedenen übermittelten Daten eine Rückführbarkeit auf eine einzelne Person theoretisch möglich ist. Es liegt daher ein Personenbezug der Daten nach Art. 4 Z 1 DSGVO vor und der Anwendungsbereich der DSGVO ist eröffnet. Interessant ist in diesem Zusammenhang, dass die DSB auch die Anonymisierungsfunktion der IP-Adresse von Google Analytics für nicht ausreichend erachtet: Aufgrund der Übermittlung der Vielzahl an Daten sei die IP-Adresse als zentraler Anknüpfungspunkt für die Einordnung der Daten als personenbezogene Daten iSd DSGVO nicht notwendig.
2.3 Websitebetreiber ist Verantwortlicher der Datenverarbeitung des Tools
Die DSB hält in der Entscheidung fest, dass der Websitebetreiber bei Nutzung des Tools die Rolle des datenschutzrechtlichen Verantwortlichen einnimmt. Hierbei zu beachten ist, dass die Behörde nur die Datenverarbeitung bis zur erfolgreichen Übermittlung an Google betrachtet. Über die Weiterverarbeitung durch Google spricht die Behörde nicht ab, da darüber ein separates Verfahren eingeleitet wurde.
2.4 Datentransfer in die USA bei Nutzung von Google Analytics ist nicht DSGVO konform
Durch das Urteil des Europäischen Gerichtshofs vom 16. Juli 2020 (Schrems II) wurde der EU-US Angemessenheitsbeschluss („Privacy Shield“) für ungültig erklärt. Es fällt daher Art. 45 DSGVO als rechtliches Instrument zum Datentransfer weg und eine Ausnahme für bestimmte Fälle lag nach Ansicht der DSB nicht vor (insbesondere weil im vorliegenden Fall keine Einwilligung eingeholt wurde – dazu weiter unten mehr).
Als letzter rechtlicher Ausweg verbleiben daher nur mehr die „geeigneten Garantien“ nach Art 46 DSGVO. Geeignete Garantien könnten Standarddatenschutzklauseln (SDK) nach Art. 46 Abs 2 lit c DSGVO sein. Im gegenständlichen Fall hatte der Websitebetreiber SDKs mit Google abgeschlossen. Konkret handelte es sich aber um die „alten“ SDKs in der Fassung 2010/87/EU und nicht um die neuen, seit Juni 2021 veröffentlichten SDKs.
Bei der Nutzung von Google Analytics kann aber der Datentransfer nicht ausschließlich auf Basis der abgeschlossenen SDKs gestützt werden. Dies deshalb, weil Google US-amerikanischen Überwachungsgesetzen unterliegt und alleinig vertragliche Maßnahmen Behörden aus einem Drittstaat nicht ausreichend binden. Ein Datentransfer ist nur dann zulässig, wenn zusätzliche technische und organisatorische Maßnahmen („zusätzliche Maßnahmen“ oder „supplementary measures“) gesetzt werden, um das in den USA vorliegende Rechtsschutzdefizit auszugleichen. Die DSB stellt im Bescheid fest, dass Google den Nachweis der ausreichenden „zusätzlichen Maßnahmen“ nicht erbracht hat.
3. Mögliche alternative Lösungswege für die Nutzung von Google Analytics
3.1 Datenschutzrechtliche Zulässigkeit aufgrund neuer SDKs
Wie oben bereits erwähnt, gibt es seit Juni 2021 neue SDKs. Allerdings ändert sich durch die Nutzung der neuen SDKs das Hauptproblem der Übermittlung von Daten an Google (und damit in die USA) nicht. Die DSB erklärt in ihrem Bescheid den Datentransfer bei Nutzung von Google Analytics hauptsächlich aufgrund mangelnder technischer „zusätzlicher Maßnahmen“ für unzulässig. Nach Ansicht der Behörde ist die rein vertragliche Absicherung offenbar keine Lösung. Aus unserer Sicht ist deshalb die Datenübermittlung nur auf Basis der neuen SDKs nicht zulässig.
3.2 Datentransfer auf Basis einer Einwilligung nach Art. 49 Abs 1 lit a DSGVO
Als alternativer Lösungsweg wäre die Umstellung der Rechtsgrundlage des Datentransfers bei Google Analytics auf eine Einwilligung nach Art. 49 Abs 1 lit a DSGVO anzudenken. Der Europäische Datenschutzausschuss (EDSA) vertritt dazu eine sehr restriktive Auslegung und lässt daher diese Ausnahmebestimmung nur bei gelegentlichen oder nicht wiederholten Übermittlungen gelten. Bei einer dauerhaften Vertragsbeziehung, wie dies bei der Nutzung von Google Analytics vorliegt, kann dem EDSA folgend die Einwilligung nicht als Rechtsgrundlage genützt werden (siehe EDSA Leitlinien 2/2018 zu den Ausnahmen nach Artikel 49 DSGVO). Aus unserer Sicht ist deshalb die Datenübermittlung auf Basis einer Einwilligung nach Art. 49 Abs 1 lit a DSGVO nicht zulässig.
4. Ergebnis
Aufgrund des von der österreichischen DSB erlassenen Bescheids sollte die Nutzung von Google Analytics bis auf Weiteres eingestellt werden. Derzeit gibt es unserer Ansicht nach keine alternativen rechtlichen Möglichkeiten, die Nutzung datenschutzrechtlich zu legitimieren. Uns ist auch nicht bekannt, dass Google in Reaktion auf diese Entscheidung zusätzliche technische Maßnahmen implementiert hätte, um den Datenzugriff durch US-Behörden unmöglich zu machen.
Zwar handelt es sich bei dem vorliegenden Bescheid um keine rechtskräftige Entscheidung der DSB , dennoch darf die (rechtliche) Wirkung nicht unterschätzt werden. So hat am 13.01.2022 auch die niederländische Datenschutzbehörde angekündigt: „Die Nutzung von Google Analytics ist möglicherweise in Kürze nicht mehr zulässig.“ Auch ist davon auszugehen, dass demnächst inhaltlich ähnliche Entscheidungen von anderen nationalen Datenschutzbehörden erlassen werden. Denn nachdem NOYB im Jahr 2020 ihre „101 Beschwerden“ eingebracht hatte, teilte der Europäische Datenschutzausschuss mit, dazu eine Task Force zur „engen Zusammenarbeit zwischen den Mitgliedern des Ausschusses“ (=die nationalen Datenschutzbehörden) eingerichtet zu haben.
5. Empfehlung
Websitebetreiber sollten rasch ihre Cookies überprüfen, denn die von der DSB in der Entscheidung vertretene Argumentationslinie lässt sich auf viele andere Analyse-Cookies umlegen. Auch liegt es am datenschutzrechtlich Verantwortlichen (meist dem Websitebetreiber), nach Art. 5 Abs 2 DSGVO (=“Rechenschaftspflicht“) die notwendige Dokumentation auf Anfrage der Datenschutzbehörde zur Verfügung zu stellen. Beispielsweise untersagte der Europäische Datenschutzbeauftrage am 05.01.2022 dem Europäischen Parlament auf einer Parlamentswebsite Google Analytics zu verwenden, weil der Nachweis der notwendigen zusätzlichen „ergänzenden Maßnahmen“ zur Übermittlung in die USA nicht erbracht wurde.