Im Dezember 2021 hat die österreichische Datenschutzbehörde den Teilspruch (GZ: D155.027 2021-0.586.257) zur Datenschutzbeschwerde von noyb gegen einen österreichischen Websitebetreiber und Google LLC (Sitz in USA) veröffentlicht. Die Beschwerde wurde im August 2020 eingereicht – nach dem EuGH-Urteil zur Aufhebung des Privacy Shields (Schrems-II). Auf der Website fand keine ausreichende Information zum Einsatz über Google Analytics statt und es wurde seitens des Websitebetreibers keine Consentabfrage durchgeführt.
Zusammenfassung der wesentlichen Erkenntnisse aus dem Teilspruch
Datenschutzrechtliche Rollen
Die datenschutzrechtliche Verantwortung für den Einsatz des Tools „Google Analytics“ in seiner kostenlosen Version wird dem österreichischen Websitebetreiber zugesprochen. Das Unternehmen bestimmte über Zweck und Mittel, d.h. es entschied sich für den Einsatz von Google Analytics als Tool zur Websitemessung und nahm die Konfiguration des Tools vor.
Google LLC nimmt die Rolle des Auftragsverarbeiters in Hinblick auf die Zurverfügungstellung des Tools ein.
Verarbeitung von personenbezogenen Daten[1]
Es handelt sich jedenfalls um personenbezogene Daten.
Die Funktionsweise von Google Analytics wird wie folgt beschrieben:
Beim Aufruf einer Website, die Google Analytics verwendet, wird dem Browser des Besuchers eine Google Analytics Kennnummer („cid“ = Client ID, “_gid” = User ID) zugeordnet.
Besucher können anhand dieser Kennnummer individualisiert und unterschiedlich behandelt werden.
Zusätzlich besteht die Möglichkeit, diese Kennnummer mit weiteren Informationen zu kombinieren, wie etwa mit der IP-Adresse oder gewissen Browserdaten.
Durch diese Kombination entsteht ein einzigartiger digitaler Fußabdruck, der dem Benutzer des Browsers zugeordnet werden kann.
Wenn ein Besucher während des Aufrufs einer solchen Website in sein Google Konto eingeloggt ist, kann die Information über den Websitebesuch auch dem jeweiligen Google Konto zugeordnet werden.
Auch wenn der Websitebetreiber nicht zwingend durch den Einsatz von Google Analytics die Identifizierung einer Person verfolgt, verfügt er dennoch theoretisch über die Möglichkeiten. „Wer ein Tool verwendet, welches eine solche Aussonderung gerade erst ermöglicht, kann sich nicht auf den Standpunkt stellen, nach „allgemeinem Ermessen“ keine Mittel zu verwenden, um natürliche Personen identifizierbar zu machen.“[2]
Internationaler Datenverkehr – Datenübermittlung in die USA
Durch die Verwendung von Google Analytics wurde automatisch ein DPA (Data Processing Agreement) und die Standarddatenschutzklauseln (Fassung 2010) zwischen dem Websitebetreiber und Google LLC abgeschlossen.
Die ermittelten und verarbeiteten Daten wurden auch an die Server von Google LLC mit Sitz in den USA übermittelt (Erst seit April 2021 wird Google Analytics von Google Ireland Limited angeboten).
Zudem wurde seitens des Websitebetreibers die Funktion der IP-Anonymisierung genutzt – aber technisch nicht korrekt umgesetzt, sodass sie keine ausreichende und rechtzeitige Anonymisierung bewirkten.
Laut Angaben von Google LLC wurden zusätzliche Maßnahmen wie Verschlüsselung der „Daten im Ruhezustand“ ergriffen.
Die zusätzlich zu den Standarddatenschutzklauseln implementierten Maßnahmen waren aus Sicht der Datenschutzbehörde nicht effektiv, da diese die seitens des EuGH aufgezeigten Überwachungs- und Zugriffsmöglichkeiten durch US-Nachrichtendienste (Schrems-II-Urteil) nicht beseitigt haben.
Die Datenschutzbehörde hat mit Bescheid festgestellt, dass Websitebetreiber das Tool Google Analytics (jedenfalls auf Grundlage des im Bescheid festgestellten Sachverhalts) nicht in Einklang mit der DSGVO einsetzen können. Selbst wenn die Anonymisierungsfunktion richtig eingesetzt wird, erhält Google zunächst die nicht-anonymisierten Daten, die erst von Google anonymisiert werden. In diesem Zeitraum vor der Anonymisierung durch Google sind die Daten dem Zugriff durch US-Behörden zugänglich, und zwar selbst dann, wenn die Daten nur mehr in der EU verarbeitet werden, wie dies im Zusammenhang mit Google Analytics angeblich seit April 2021 geschieht, da US-Behörden nach der US-Rechtsordnung Zugriff auch auf Daten von US-Firmen verlangen dürfen, die außerhalb der USA verarbeitet werden (Google Ireland Limited ist eine Tochterfirma von Google LLC).
Kann Google Analytics auf Basis der Einwilligung des Betroffenen weiterhin genutzt werden?
Die Einwilligung des Betroffenen als Rechtsgrundlage ist für die dauerhafte Anwendung eines Tools wie Google Analytics nicht geeignet, da es sich bei dieser Art der Datenübermittlung nicht nur um gelegentliche und nicht wiederholte Übermittlungen handelt. Auch müsste eine Einwilligung beim Website-Besuch nach ausreichender und verständlicher Information über die näheren Umstände und Risiken einer Datenübermittlung in die USA durch das (Consent-)Tool eingeholt werden, was duchaus herausfordernd ist.
Welche Fragen sollte man sich nun stellen?
Wofür wird Google Analytics aktuell eingesetzt?
Welche Anforderungen stellt man an die Websitemessung?
Ist der Einsatz zwingend notwendig?
Wenn ja, warum?
Welche Maßnahmen könnten zusätzlich ergriffen werden, um ein ausreichendes Datenschutzniveau herzustellen? Insbesondere: Könnte durch Einsatz von zusätzlicher Software eine Anonymisierung erreicht werden, die vor der Übermittlung der Daten an Google stattfindet?
Sind solche Maßnahmen tatsächlich nach aktuellen Erkenntnissen wirkungsvoll?
Welche weiteren Tools von Google werden eingesetzt, die mit Google Analytics zusammenspielen?
Welche alternativen Tools stehen zur Verfügung und wie erfolgt ein möglicher Umstieg?
Der Blick in die Glaskugel
Es ist wohl davon auszugehen, dass Datenschutzbehörden aus anderen Ländern diesem Teilspruch folgen und ähnliche Entscheidungen hinsichtlich der noch rund 400 offenen Beschwerden von noyb treffen werden. Jedenfalls können wir auch davon ausgehen, dass der Druck auf Unternehmen, die Tools und Lösungen von US-amerikanischen Unternehmen einsetzen, weiter steigen wird.
Wir suchen jedenfalls weiter nach den wirklich DSGVO-konformen Lösungen aus Europa und den Ländern mit Angemessenheitsbeschluss. Ideen, Anregungen und Lösungen gerne an office@dsgvo-help.com schicken.
Fußnoten:
[1] Gemäß Art. 4 Z 1 DSGVO sind „personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann“.
[2] Teilspruch der Österreichischen Datenschutzbehörde: GZ: D155.027 2021-0.586.257, Seite 28
Copyright: Photo by Rajeshwar Bachu on Unsplash