Google Analytics verstößt gegen DSGVO

Geschrieben von Anna Tiede, veröffentlicht am 10.02.2022

Die Nutzung von Google Analytics auf Webseiten verstößt gegen die EU-Datenschutz-Grundverordnung (DSGVO). Zu diesem Ergebnis kommt die österreichische Datenschutzbehörde nach einer Musterbeschwerde des Vereins Noyb um Datenschützer Max Schrems. Ähnliche Verfahren laufen bereits in den Niederlanden und anderen europäischen Mitgliedsstaaten.

Was ist passiert?

Die österreichische Datenschutzbehörde hat eine wegweisende Entscheidung zur Nutzung des Analysedienstes Google Analytics für Webseiten getroffen. Diese entspricht nach Einschätzung der österreichischen Behörde nicht der DSGVO. Insbesondere seien die allgemeinen Grundsätze der Datenübermittlung gemäß Artikel 44 ff. DSGVO verletzt. Diese regeln den Transfer von personenbezogenen Daten in ein Drittland bzw. an eine internationale Organisation.

Für diese Fälle muss der Verantwortliche Sicherheitsmaßnahmen ergreifen, um den Schutz der Daten auch außerhalb des räumlichen Anwendungsbereiches der DSGVO in der Europäischen Union zu gewährleisten. Hierfür kann der Verantwortliche etwa Dienstleister aus Drittländern wählen, welche über ein von der EU-Kommission anerkanntes, angemessenes Datenschutzniveau verfügen (Art. 45 DSGVO) oder sogenannte geeignete Garantien vorsehen, die den Datentransfer in ein unsicheres Drittland absichern. Dabei bestehen die folgenden Möglichkeiten:

In dem von der österreichischen Behörde entschiedenen Fall wurden personenbezogene Nutzerdaten (eine eindeutige Nutzernummer, eine IP-Adresse und Browserinformationen) an die Google-Serverstandorte in den USA übermittelt.

101 Musterbeschwerden

Es ist die erste Entscheidung der 101 Musterbeschwerden, die der Verein Noyb im Rahmen des Schrems II-Urteils des Europäischen Gerichtshofs (EuGH) (Europäischer Datenschutzausschuss veröffentlicht Dokument „Häufig gestellte Fragen“ zum Urteil des EuGH in der Rechtssache C-311/18 (Schrems II) | European Data Protection Board (europa.eu)) bei mehreren europäischen Datenschutzbehörden eingereicht hat. In diesem Urteil entschied der EuGH im Jahr 2020, dass die Nutzung von US-Anbietern ohne vorher getroffene Sicherheitsmaßnahmen, wie Google oder Microsoft, gegen die Vorschriften der DSGVO verstößt. Der Datenschutzstandard in den USA ist nach Ansicht des EuGHs unzureichend und die vorliegenden Eingriffsmöglichkeiten der US-Nachrichtendienste auf Grundlage des Cloud Acts und des Foreign Intelligence Surveilance Acts zu weitreichend, sodass die Gefahr besteht, dass Daten durch die US-Nachrichtendienste zu Kontroll- und Überwachungszwecken, möglicherweise auch ohne Rechtsbehelfsmöglichkeiten, verarbeitet werden.

Google reagierte und führte an, im Anschluss an das Urteil weitreichende technische und organisatorische Maßnahmen (TOMs) getroffen zu haben, die die Daten europäischer Bürger vor Zugriffen besser zu schützen. Doch auch diese und die in den Vertrag mit Google eingebundenen EU-Standardvertragsklauseln stellen nach Ansicht der österreichischen Datenschutzbehörde keinen angemessenen Schutz dar, um „Überwachungs- und Zugriffsmöglichkeiten durch US-Nachrichtendienste“ zu unterbinden.

Aussagekraft der Entscheidung

Google Analytics ist eine der meistgenutzten Analysedienste überhaupt. Denn obwohl es Alternativen aus der EU oder Ländern mit angemessenem Schutzniveau gibt, verlassen sich viele EU-Webseitenbetreiber auf dieses US-amerikanischen Analysetool. Der vorliegende Fall ist jedoch eine Einzelfallentscheidung der österreichischen Datenschutzbehörde und bezieht sich konkret auf den Einsatz des Dienstleisters auf der österreichischen Webseite netdoktor.at. Hier hatte der Verantwortliche bei der Nutzung von Google Analytics viele Einstellungen, die den Datenschutz des Dienstes betreffen, nicht vorgenommen.

Die Aussagekraft dieser Entscheidung ist dennoch weitreichend – um kein ähnliches behördliches Verfahren zu riskieren, ist bei der Nutzung von Google Analytics besondere Vorsicht geboten.

Wer sollte nun handeln?

Was kann man nun aus dem österreichischen Fall lernen:

Grundsätzlich ist die Suche nach einem Alternativdienstleister aus der Europäischen Union oder aus Ländern mit Angemessenheitsbeschluss (https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/adequacy-protection-personal-data-non-eu-countries_en) ausnahmslos zu empfehlen.

Verantwortliche, die weiterhin Google Analytics verwenden möchten, sollten die folgenden Datenschutzmaßnehmen unbedingt ergreifen:

  • Einwilligung für die Datenverarbeitung:

Da es sich bei dem Dienst, um ein Analysetool handelt, das nicht zwingend für den Betrieb der Webseite erforderlich ist, darf der Dienst ausschließlich Daten verarbeiten, wenn die Einwilligung gemäß Art. 6 Abs. 1 S. 1 lit. a) DSGVO der Webseitenbesucher für die Datenverarbeitung eingeholt werden. Dies hat der EuGH in seinem Urteil vom 01. Oktober 2019 (http://curia.europa.eu/juris/document/document.jsf?text=&docid=216555&pageIndex=0&doclang=DE&mode=req&dir=&occ=first&part=1&cid=4667410) entschieden. Es ist daher erforderlich einen geeigneten Cookiebanner mit Einwilligungsmöglichkeit auf der Webseite einzubinden.

  • Risikoanalyse:

Die Durchführung einer Risikoanalyse ist unabdingbar. In dieser werden wesentliche Kriterien und Schutzmaßnahmen für die Datenübermittlung in ein unsicheres Drittland festgehalten und beurteilt, wie hoch etwa das Risiko für die Rechte und Freiheiten der betroffenen Personen ist.  Weitere Informationen hierzu finden Sie unter: Risikoanalyse bei Datentransfer in ein Drittland – Webersohn & Scholtz (webersohnundscholtz.de)

  • Gekürzte IP-Adressen:

Es sollten nur gekürzte IP-Adressen übermittelt werden. Informationen, wie Sie die Einstellung in den Google-Einstellungen vornehmen können, finden Sie unter: https://support.google.com/analytics/answer/2763052?hl=de&ref_topic=2919631

  • Festgelegte Löschzeiträume:

In den Accounteinstellungen von Google sollten Sie zudem einen Löschzeitraum für die von Google Analytics erhobenen Daten definieren. Eine Anleitung hierfür finden Sie unter: Datenschutzeinstellungen in Google Analytics – Google Analytics-Hilfe

  • Hinweise zur Datenübermittlung in die USA:

Um Ihren Informationspflichten gemäß Art. 13, 14 DSGVO im ausreichenden Maß nachzukommen, ist es erforderlich Ihre Webseitenbesucher umfassend über die Datenübermittlung in die USA und die damit einhergehenden Risiken leicht zugänglich zu informieren. Hierfür sollte die Datenschutzerklärung angepasst werden sowie ein Hinweis zum Datentransfer in die USA bereits im Cookiebanner enthalten sein. Umsetzungshinweise hierzu können Sie hier finden: Datentransfer in die USA nach EuGH Urteil: Empfehlungen – Webersohn & Scholtz (webersohnundscholtz.de)

Fazit

Die Entscheidung der österreichischen Datenschutzbehörde verdeutlicht nach dem EuGH- von 2020 einmal mehr, dass die Nutzung von US-Dienstleistungen, bei den personenbezogene Daten in die USA übermittelt werden, nur unter einem erheblichen Mehraufwand mit den Vorschriften der DSGVO vereinbar sind. Gerne unterstützen wir Sie dabei.