Blog: Google Analytics - Verbot der Datenübertragung in die USA
Die österreichische Datenschutzbehörde stellte in einer Entscheidung, datiert mit 22.12.2021, fest, dass im Falle der Verwendung von Web-Analyse-Tools, bei denen es zu einer Datenübertragung in die USA kommt, auf die Einhaltung spezieller Voraussetzungen geachtet werden muss. In diesem konkreten Beschwerdefall entschied die Aufsichtsbehörde, dass die Datenübertragung in die USA nicht datenschutzkonform erfolgte und dass daher vom Webseiten-Betreiber gegen die Datenschutzgrundverordnung verstoßen wurde.
Grundsätzlich ist eine Datenübertragung in sogenannte unsichere Drittländer nicht erlaubt, wenn diese keinen vergleichbaren Datenschutzstandard aufweisen wie die EU. Seit dem Urteil des Europäischen Gerichtshofes vom 16.07.2020, das vom österreichischen Datenschutzaktivisten Max Schrems herbeigeführt wurde und im Zuge dessen das sogenannte Privacy-Shield-Abkommen und damit der Angemessenheitsbeschluss der Europäischen Kommission für ungültig erklärt wurde, müssen die USA ebenfalls als unsicheres Drittland betrachtet werden. Datenübertragungen dürfen nur mehr bei Vorliegen ausreichender rechtlicher Grundlagen und zusätzlicher Garantien erfolgen.
Um dem EuGH-Urteil mehr praktisches Gewicht zu geben, wurde von der Datenschutzorganisation NOYB insgesamt 101 Beschwerden bei den verschiedenen nationalen Datenschutzbehörden eingebracht. Im gegenständlichen Fall bezog sich die Beschwerde auf die Einbindung von Google Analytics in einer Webseite. Google Analytics ist eine sehr verbreitete Anwendung zur Analyse des Nutzerverhaltens bei Webseiten. Die Betreiber nützen die Auswertungen für die Verbesserung des eigenen Leistungsangebotes, es werden damit aber auch umfangreiche Marketingmaßnahmen verbunden, die vor allem maßgeschneidert auf das Verhalten der Nutzer sein sollen. Von Datenschutzexperte wird Google Analytics als das bekannteste, das leistungsstärkste, aber auch als das datenschutzfeindlichste Werkzeug zur Beobachtung von Nutzerverhalten eingestuft.
Die Beobachtung erfolgt unter Verwendung von eigenen Programmteilen, sogenannten Cookies, die es ermöglichen, die Aktionen des Users nachzuvollziehen. Dies wird schon jedem untergekommen sein, wenn es sich bei irgendeinem Online-Händler bestimmte Produkte angesehen hat und plötzlich genau diese Produkte überall in der Werbung auftauchen. Cookies ermöglichen diese Art der Beobachtung und bilden die Basis für die hohen Werbeeinnahmen der großen Social-Media-Plattformen.
Aufgrund der Beispielwirkung eines solchen Bescheides, der zwar noch nicht rechtskräftig ist, von dem aber allgemein ausgegangen wird, dass er einer gerichtlichen Prüfung standhalten wird, müssen die Anwender von Google Analytics damit rechnen, dass sie Maßnahmen ergreifen müssen, um nicht im Falle einer Beschwerde ebenfalls eine nicht rechtskonforme Datenverarbeitung attestiert zu bekommen.
Nach dem Wegfall des Privacy-Shields ließ der EuGH die Verwendung von Standarddatenschutzklauseln offen, sofern zusätzliche Maßnahmen zur Erhöhung des Datenschutzniveaus getroffen werden.
Einige der von Google entwickelten zusätzlichen Maßnahmen wurden im Bescheid der Datenschutzbehörde bereits einer Analyse unterzogen, unter anderem die Anonymisierung der IP-Adresse oder die Verpflichtung, bei Anfragen der amerikanischen Behörden eine gerichtliche Überprüfung zu veranlassen. Die Datenschutzbehörde stellte dazu fest, dass diese Maßnahmen nicht geeignet sind, die Zugriffe der amerikanischen Behörden zu verhindern. Somit bleibt die Verwendung von Google Analytics datenschutzwidrig.
In der Zwischenzeit wurde auch seitens der französischen Datenschutzbehörde CNIL eine gleichlautende Entscheidung getroffen und dem Verantwortlichen aufgetragen, innerhalb eines Monats einen rechtskonformen Zustand herbeizuführen, wenn notwendig auf die Verwendung zu verzichten oder ein Tool zu verwenden, das keinen Transfer von Daten außerhalb der EU umfasst. Untersuchungen verschiedener Datenschutzbehörden der Mitgliedsländer der EU wurden auch auf andere Tools ausgedehnt, die von Webseiten verwendet werden und die einen Transfer von Daten von europäischen Internet-Nutzern in die USA zur Folge haben.
Die gesetzeskonforme Datenverarbeitung wird einerseits von den Nutzern gefordert, die mehr Wert auf mehr Datenschutz legen und andererseits von Datenschutzbehörden, die für die Einhaltung der rechtlichen Rahmenbedingungen zu sorgen haben, wobei auch sehr empfindlichen Geldbußen drohen können.
Jeder betrieblichen Datenverarbeitung muss eine gültige Rechtsgrundlage zugrunde liegen, die sich explizit aus den Artikeln 6 und 9 der DSGVO ergibt. Eine rechtskonforme Verwendung von Analysetools ist jedoch jedenfalls an eine ausdrückliche informierte Einwilligung durch die Betroffenen gebunden, da die Berufung auf ein überwiegendes Interesse als Rechtgrundlage nicht akzeptiert wird.
Bei der Gestaltung der Einwilligungsfenster und der Datenschutzerklärungen der Webseiten muss zukünftig darauf Rücksicht genommen werden. Pauschale Einwilligungen ohne wirkliche Auswahlmöglichkeit oder eine Formulierung, dass durch die weitere Nutzung der Webseite einer Datenverarbeitung zugestimmt wird, werden nicht als wirksame Einwilligung betrachtet. Bei einer Überprüfung durch die Datenschutzbehörde, die sowohl amtswegig als auch aufgrund einer Beschwerde eines Betroffenen eingeleitet werden kann, würde dies festgestellt werden.
Die zukünftige Datenverarbeitung von Unternehmen in diesem Bereich muss jedenfalls unter Einhaltung der beschriebenen Rechtslage erfolgen. Eine fortgesetzte rechtswidrige Anwendung von Tools, die keinen adäquaten Datenschutz gewährleisten, wird nicht mehr toleriert werden.
Die Sensibilisierung der Nutzer und der Unternehmen, die auf US-Tools zugreifen, sollte ebenfalls erhöht werden, denn es kann über die Cookie-Einstellungen festgelegt werden, ob Google Analytics Daten sammeln darf und wie umfangreich.
Eine gänzliche Vermeidung des Risikos einer nicht rechtkonformen Übermittlung von Daten in unsicher Drittländer wäre mit der Verwendung von europäischen Software-Angeboten gegeben. Die Angebote der großen US-Technologie-Giganten werden Zwar noch als funktioneller und leistungsstärker eingestuft, es gibt aber auch europäische Produkte, die bei entsprechender Nachfrage auch rasch weiterentwickelt werden könnten.
Sollte durch Verantwortliche die Verwendung von Software-Produkten mit einem Datentransfer in unsichere Drittländer gegeben sein, empfiehlt sich die Erstellung einer Datenschutzfolgenabschätzung, um sich ein genaueres Bild zu machen und die Entscheidung zu begründen und zu dokumentieren.
Mag. Rudolf Urban, MSc
Unternehmensberater
Geprüfter Datenschutzexperte
Zertifizierter Datenschutzbeauftragter