Die österreichische Datenschutzaufsichtsbehörde hat in einem Fall die Nutzung von Google Analytics als Verstoß gegen die DSGVO angesehen, weil die Datenübermittlung an Google aufgrund eines fehlenden angemessenen Schutzniveaus gem. Art. 44 ff. DSGVO nicht zulässig ist.

Vorausgegangen war eine Beschwerde der Datenschutz-NGO von Max Schrems namens noyb. Aufgrund dieser Beschwerde musste die Aufsichtsbehörde nun eine Entscheidung treffen.

Wie hat die Aufsichtsbehörde Ihre Entscheidung begründet?

Google Analytics erhebt unstrittig Daten, welche als personenbezogene Daten zu qualifizieren sind. Diese Daten werden bei der Nutzung von Google Analytics an Google weitergegeben und in einen Drittstaat – die USA – übermittelt. Um eine Rechtsgrundlage für diese Datenübermittlung zu schaffen, hat der Webseitenbetreiber, wie die meisten anderen Nutzer von Google Analytics auch, Standardvertragsklauseln mit Google abgeschlossen. Laut der Datenschutzaufsicht bieten die Standardvertragsklauseln jedoch kein angemessenes Schutzniveau. Gemäß den Empfehlungen des EDSA zu Maßnahmen zur Ergänzung von Übermittlungstools zur Gewährleistung des unionsrechtlichen Schutzniveaus für personenbezogene Daten (https://edpb.europa.eu/sites/default/files/consultation/edpb_recommendations_202001_supplementarymeasurestransferstools_de.pdf) sollten zusätzliche Maßnahmen zum Schutz ergriffen werden.

Grundsätzlich vereinbart Google mit seinen Kunden auch zusätzliche vertragliche und organisatorische Maßnahmen (z. Bsp. Benachrichtigung über Anfragen von Geheimdiensten und Überprüfung dieser Anfragen, Verschlüsselung von Daten im Ruhezustand). Nach Ansicht der Aufsichtsbehörde sind die Maßnahmen jedoch nicht ausreichend, damit nicht verhindert wird, dass sich US-Behörden nach 50 US Code § 1881a (FISA 702) Zugriff auf Daten von Nutzern verschaffen.

Die Datenübermittlung und der Einsatz von Google Analytics stellen daher im konkreten Fall für die österreichische Datenschutzaufsicht einen Datenschutzverstoß dar.

Welche Folgen hat diese Entscheidung für Nutzer von Google Analytics?

Grundsätzlich ist die Entscheidung zunächst nur für den österreichischen Webseitenbetreiber bindend. Da noyb jedoch in nahezu allen europäischen Mitgliedsstaaten entsprechende Beschwerden eingereicht hat, ist es nicht auszuschließen, dass demnächst auch deutsche Datenschutzaufsichtsbehörden entsprechende Entscheidungen verkünden. Es erscheint durchaus realistisch, dass deutsche Aufsichtsbehörden den Ansichten der Aufsicht aus Österreich folgen und zu ähnlichen Einschätzungen bezüglich der Zulässigkeit von Google Analytics kommen.

Sollte es dazu kommen, werden wohl vorerst nicht direkt Bußgelder fällig, sondern die Behörden werden wohl vorerst Untersagungsverfügungen aussprechen, da ein schuldhafter Datenschutzverstoß schwer nachzuweisen ist.

Für Nutzer von Google Analytics bedeutet das zum einen, dass es sich lohnt, sich nach alternativen Tracking-Diensten mit Sitz in der EU umzusehen (bspw. Matomo).

Für viele Webseitenbetreiber bleibt die Nutzung von Google Analytics allerdings alternativlos. Hier kann nur empfohlen werden das Beschwerdepotential so gut wie möglich zu minieren und somit nicht bei den Datenschutzaufsichtsbehörden aufzufallen.

Die bedeutet im Grunde, dass die allgemeinen Datenschutzmaßnahmen für Webseiten eingehalten und überprüft werden:

Vor der Nutzung von Google Analytics sollte die Einwilligung von Webseitenbesuchern rechtskonform eingeholt werden. Die Datenschutzerklärung sollte selbstverständlich aktuell und vollständig sein. Und Auskunftsanfragen von Betroffenen sollten rechtzeitig, vollständig und ordnungsgemäß beantworten werden.

Der Abschluss der Standardvertragsklauseln mit Google gehört natürlich ebenso zu den zu treffenden Maßnahmen. In dem meisten Fällen erfolgt der Abschluss aber bereits automatisch indem die Vertragsbedingungen von Google akzeptiert werden.

Abschließend lässt sich sagen, dass die Entscheidung der österreichischen Aufsicht durchaus wegweisend für den Umgang mit Datenübermittlungen in die USA sein kann. Die Entscheidung der Aufsicht wird aber durchaus auch kritisch gesehen, weil der sogenannte risikobasierte Ansatz, d. h. das tatsächliche Risiko für die durch Google Analytics erhobenen Daten, nicht ausreichend berücksichtigt worden sei. Zudem würde in der Praxis damit der Einsatz sehr vieler US-Dienstleister als unzulässig gelten, was durchaus auch Leistungen von EU-Unternehmen betreffen kann, die Subunternehmer aus den USA einsetzen. Ein Arbeitsalltag ohne Dienste von US-Anbietern ist derzeit eigentlich nahezu undenkbar.

Es bleibt also abzuwarten, wie sich die Situation entwickelt und ob und wann sich andere EU-Datenschutzaufsichtsbehörden zu den von noyb eingereichten Beschwerden äußern.