Ist Google Analytics DSGVO konform?

Inhaltsverzeichnis:

1. Was ist passiert?
2. Welche Auswirkungen hat diese Entscheidung?
3. Welche Alternativen gibt es?
4. Unser Tipp

 

Diesen Artikel jetzt als Podcast anhören

 

Verstößt der Einsatz von Google Analytics gegen die DSGVO? Zumindest nach Ansicht der österreichischen Datenschutzbehörde (DSB) ist der Einsatz von Google Analytics auf Webseiten in der EU nicht mit der Datenschutz-Grundverordnung (DSGVO) vereinbar.

Wir klären für Sie in diesem Rechtstipp, was es mit dem kürzlich veröffentlichten Teilbescheid der österreichischen DSB auf sich hat und ob die Lage tatsächlich so aussichtslos ist, wie einige Meldungen behaupten.

 

Was ist passiert?

Mit dem Teilbescheid reagiert die österreichische Datenschutzbehörde auf eine Musterbeschwerde, die der Datenschutzverein Noyb im August 2020 erhoben hat. Diese Beschwerde wendete sich gegen einen österreichischen Verlag, der Google Analytics eingebunden hat. Die österreichische Datenschutzbehörde entschied, dass die Übermittlung von personenbezogenen Daten an die Google LLC mit Sitz in den USA mit Blick auf Art. 44ff. DSGVO rechtswidrig sei, da ein angemessenes Datenschutzniveau durch eines der in der DSGVO (Art. 44ff.) genannten Instrumente nicht gewährleistet worden sei. 

Die Behörde befasste sich zum einen eingehend mit der Frage, inwiefern beim Einsatz von Google Analytics auf einer Webseite personenbezogene Nutzerdaten verarbeitet und anschließend an Google LLC übermittelt werden. Die Behörde geht insofern davon aus, als Kennnummern (einzigartige Onlinekennungen) Personenbezug aufweisen und eine Unterscheidung einzelner Nutzer*innen ermöglichen. Zudem wurde festgestellt, dass ein Personenbezug gerade aufgrund der Kombinierbarkeit dieser Nummern mit weiteren Daten (etwa IP-Adressen oder Browserparametern) zu bejahen sei. Zum anderen untersuchte die Behörde, ob die Voraussetzungen rechtmäßiger Datenübermittlung nach Art. 44ff. DSGVO vorliegen. Wobei in diesem Zusammenhang auf die von Google LLC zum relevanten Zeitpunkt getroffenen, zusätzlichen vertraglichen und technisch, organisatorischen Maßnahmen näher eingegangen wird. Dabei gelangte die Behörde zu dem Schluss, dass die implementierten Maßnahmen in ihrer Gesamtheit nicht ausreichen, um ein angemessenes Datenschutzniveau zu gewährleisten. 

Letztlich wurde demnach festgestellt, dass die Datenübermittlung nicht im Einklang mit der DSGVO stehe und daher rechtswidrig sei.

 

Welche Auswirkungen hat diese Entscheidung?

Zunächst ist anzumerken, dass sich der Teilbescheid explizit mit der Fallkonstellation befasst hat, dass Nutzerdaten unmittelbar an die US-amerikanische Google Gesellschaft (Google LLC) übermittelt werden. Seit Ende April 2021 werden jedoch beide Google Analytics Versionen von der Google Irland Limited bereitgestellt.

Vor diesem Hintergrund sollte es grundsätzlich nicht mehr zu einer unmittelbaren Datenübermittlung in die USA kommen. Allerdings ist ein potenzieller Zugriff auf personenbezogene Daten durch US-Sicherheitsbehörden auf Grundlage von US-amerikanischen Gesetzen (insb. des sog. CLOUD Act) weiterhin nicht ausgeschlossen.

Weiter ist zu beachten, dass sich die Entscheidung noch auf die alten Standardvertragsklauseln der Kommission (Durchführungsbeschluss 2010/87/EU vom 5.2.2010) bezogen hat. Die von der Kommission neu veröffentlichten Standarddatenschutzklauseln vom 04.06.2021 wurden jedoch inhaltlich immerhin an das Schrems II-Urteil angepasst und erlauben die Umsetzung von zusätzlichen organisatorischen und vertraglichen Maßnahmen.

Darüber hinaus kann gegen den Bescheid grundsätzlich Beschwerde beim österreichischen Bundesverwaltungsgericht eingereicht werden. Sie ist insofern nicht rechtskräftig.

Zusammenfassend kann demnach auf Grundlage des Teilbescheids nicht der unmittelbare Schluss gezogen werden, Google Analytics dürfe in keiner Ausführung und unter keinen Umständen benutzt werden. Zudem entfaltet der Bescheid seine Wirkung ausschließlich in Österreich und ist, wie erwähnt, noch nicht rechtskräftig. Allerdings hat NOYB auch in Deutschland Beschwerden eingelegt. Deshalb ist es nicht ausgeschlossen, dass eine deutsche Behörde eine ähnliche Entscheidung treffen wird.

 

Welche Alternativen gibt es?

Bezüglich Google Analytics gäbe es grundsätzlich die Lösung, die Technologie eines Anbieters einzusetzen, der ausschließlich in der EU oder einem sicheren Drittland sitzt. Die Datenübermittlung wäre in diesem Rahmen unproblematisch, weil die Europäische Kommission für diese Fälle ein angemessenes Datenschutzniveau durch Beschluss festgestellt hat.

Wie Sie vermutlich schon oft mitbekommen haben, ist es außerdem möglich, eine gesonderte Einwilligung in die Datenübermittlung in Drittländer nach Art. 49 DSGVO einzuholen. Dabei ist jedoch zu beachten, dass die Norm nicht in jedem Fall als Rechtsgrundlage herangezogen werden könne. Eine Berufung auf Art. 49 DSGVO ist nämlich, nach Ansicht des Europäischen Datenschutzausschusses (EDSA), nur in Ausnahmefällen möglich.

Aus diesem Grund kann die Berufung auf eine gesonderte Einwilligung keine Dauerlösung sein, würde jedoch das potenzielle Beanstandungsrisiko sicherlich reduzieren bzw. eine bessere Argumentation gegenüber den Datenschutzbehörden für den Fall etwaiger Ermittlungen liefern.

Schließlich gibt es seit einiger Zeit Anbieter, die über ein sog. serverseitiges Tracking versuchen, vorgenannte Übermittlungsproblematik insgesamt zu entschärfen und dadurch – nach eigenen Angaben – eine Lösung mit Bezug auf das Schrems II Urteil des EuGH zu erreichen.

 

Unser Tipp

Nach alledem kann festgehalten werden, dass die vorhandene Rechtsunsicherheit bei Nutzung Technologien US-amerikanischer Anbieter durch die aktuell ergangenen Entscheidungen von Datenschutzbehörden und Gerichten noch einmal unterstrichen wurde. Gleichwohl fehlt noch eine höchstrichterliche Rechtsprechung zu konkreten Technologien, wie Google Analytics und es bestehen aus unserer Sicht durchaus Möglichkeit, die Problematik zumindest teilweise zu entschärfen, bis eine – hoffentlich baldige – Lösung auf politischer Ebene zwischen der Europäischen Union und den USA erreicht werden kann.

 

 

Über den Autor


Zieba-Thomas.png

Thomas Josef Zieba ist Legal Consultant bei Trusted Shops sowie Rechtsanwalt der Kanzlei FÖHLISCH. Er studierte Rechtswissenschaften an der Universität Münster. Sein Referendariat absolvierte er im Bezirk des Oberlandesgerichts Köln mit Stationen u.a. bei der Kanzlei WILDE BEUGER SOLMECKE und HMS Barthelmeß Görzel Rechtsanwälte. Anschließend war er als Rechtsanwalt im Bereich des Handels- und Wirtschaftsrechts bei der Kanzlei GRP Rainer Rechtsanwälte tätig, dort war er unter anderem zuständig für die Betreuung internationaler Mandate. 

 

27.01.22
Thomas Josef Zieba

Thomas Josef Zieba

Thomas Zieba ist Rechtsanwalt der Kanzlei FÖHLISCH und als Teamlead Legal Key Account Consulting bei Trusted Shops tätig. Er studierte Rechtswissenschaften an der Universität Münster.

Select Country: