Verwendung von Google Analytics von österreichischer Datenschutzbehörde für rechtswidrig erklärt

Die österreichische Datenschutzbehörde hat in einem wegweisenden Verfahren gegen die Verwendung von Google Analytics auf netdoctor.at, einem österreichischen Website-Betreiber, zugunsten der gemeinnützigen NOYB entschieden.

Obwohl die Entscheidung noch nicht bindend ist, könnte sie Datenschutzbefürwortern in Europa Auftrieb geben, die datenhungrige Technologieunternehmen für ihren Umgang mit personenbezogenen Daten von Menschen zur Rechenschaft ziehen wollen.

NOYB ist eine gemeinnützige Organisation, die sich den Datenschutzrechten in Europa verschrieben hat und von Max Schrems geleitet wird (dem Mann, der Facebooks Verwendung von Datenübertragungsvereinbarungen erfolgreich angefochten hat).

Dies ist die erste Entscheidung zu den 101 Musterbeschwerden von NOYB, die als Reaktion auf das Schrems-II-Urteil des EuGH (das den Datenschutzschild ungültig gemacht hatte) eingereicht wurden. Die 101 Beschwerden deuten darauf hin, dass europäische Unternehmen weiterhin Besucherdaten mit großen Technologieunternehmen teilen und ihren Nutzern kein angemessenes Schutzniveau bieten. Obwohl diese Entscheidung die erste ihrer Art ist, wird sie wahrscheinlich nicht die letzte sein.

Der Europäische Datenschutzausschuss (EDPB) richtete 2021 eine Task Force ein, um die Situation zu untersuchen und eine enge Koordinierung zwischen allen europäischen Datenschutzbehörden sicherzustellen.

Infolgedessen wird erwartet, dass sich regulatorische Maßnahmen von Datenschutzbehörden in anderen EU-Mitgliedstaaten beschleunigen werden (z. B. die niederländische Datenschutzbehörde (Autoriteit Persoonsgegevens).

Was beinhaltet die Entscheidung?

Die Datenschutzbehörde hielt in der Entscheidung Folgendes fest:

Anwendbarkeit der DSGVO

Als leges speciales gehen die anwendbaren Anforderungen der Richtlinie 2002/58/EG (e-Privacy-Richtlinie) – in Österreich umbenannt in Telekommunikations- und Telemediendatenschutzgesetz (TTDSG 2021) – der DSGVO (Datenschutz-Grundverordnung) vor.

Die e-Privacy-Richtlinie sieht hingegen keine Bestimmungen für die Übermittlung personenbezogener Daten in andere Länder vor, daher greift in diesem Fall Kapitel V der DSGVO.

Über GA übermittelte Daten sind personenbezogene Daten

Die österreichische Datenschutzbehörde ist der Ansicht, dass es durch die Zusammenführung der riesigen übertragenen Datenmengen theoretisch denkbar ist, die übertragenen Daten auf eine natürliche Person zurückzuführen. Dadurch kann ein Personenbezug hergestellt werden (vgl. Art. 4 Abs. 1 DSGVO) und es gilt die DSGVO.

In diesem Zusammenhang ist anzumerken, dass die Datenschutzbehörde der Ansicht ist, dass die Anonymisierungsfunktion von Google Analytics nicht ausreicht , um die IP-Adresse und andere Identifikatoren außerhalb des Anwendungsbereichs der DSGVO zu verschieben. Aufgrund der enormen Menge an übermittelten EU-Daten ist die IP-Adresse für die Einstufung der Daten als personenbezogene Daten nach der DSGVO nicht relevant.

Der Websitebetreiber ist der Datenverantwortliche

Bemerkenswert ist, dass die österreichische Datenschutzbehörde die Datenverarbeitung nur bis zu ihrer erfolgreichen Übertragung an Google betrachtet hat. Die Behörde äußert sich nicht zur weiteren Datenverarbeitung durch Google.

Die Datenübertragung in die USA ist nicht DSGVO-konform

Das EU-US Privacy Shield wurde vom Europäischen Gerichtshof mit Urteil vom 16.07.2020 (Schrems II) für rechtswidrig erklärt.

Infolgedessen war Artikel 45 der DSGVO als Mittel der Datenübermittlung nicht mehr anwendbar, und die Datenschutzbehörde war nicht der Ansicht, dass eine „Ausnahme für bestimmte Fälle“ vorlag (insbesondere weil eine Einwilligung im gegebenen Fall nicht eingeholt wurde ).

„Angemessener Schutz“ im Sinne von Artikel 46 der DSGVO ist der letzte rechtliche Übertragungsmechanismus. Standardvertragsklauseln (SCCs) können als angemessene Garantien gemäß DSGVO Artikel 46(2)(c) dienen. Der Webseitenbetreiber hatte in der vorliegenden Sache „alte“ SCCs (Version 2010/87/EU) mit Google abgeschlossen . (Im Juni 2021 wurde ein überarbeiteter Satz von SCCs veröffentlicht.)

Bei der Verwendung von Google Analytics kann die Datenübertragung jedoch nicht nur von den abgeschlossenen SCCs abhängig gemacht werden. Dies liegt daran, dass Google den US-Überwachungsgesetzen (FISA 702) unterliegt und vertragliche Verpflichtungen allein nicht ausreichen, um Behörden in einem „Drittstaat“ zu binden. Nur wenn zusätzliche technische und organisatorische Schritte („ergänzende Maßnahmen“) ergriffen werden, um den fehlenden Rechtsschutz in den Vereinigten Staaten auszugleichen, ist eine Datenübermittlung rechtmäßig. Die Datenschutzbehörde kam zu dem Schluss, dass Google in seiner Schlussfolgerung keine angemessenen Beweise für „ergänzende Maßnahmen“ vorgelegt habe.

Was war also in diesem speziellen Fall falsch?

Aus der obigen Analyse geht hervor, dass in diesem speziellen Fall die damals (14.08.2020) erfolgte Google Analytics-Integration fehlerhaft war:

• Die Nutzung von Google Analytics basierte nur auf den veralteten SCCs.
• Eine Einwilligung zur Datenverarbeitung wurde nicht eingeholt.
• Die IP-Adressen-Anonymisierung war nicht korrekt aktiviert.

Wie hat Google reagiert?

Die Verteidigung von Google im Verfahren und die erste Reaktion danach sind nicht sehr beruhigend.

Google bestätigt, dass bei der Verwendung von Google Analytics tatsächlich personenbezogene Daten mit den USA ausgetauscht werden, da dies für das ordnungsgemäße Funktionieren des Dienstes einfach erforderlich ist. Ganz allgemein gibt Google auch an, dass es große Anstrengungen unternimmt, seine Dienste datenschutzfreundlich zu gestalten.

Google gibt in diesem Fall konkret an, die aufgrund des Schrems-II-Urteils erforderlichen „zusätzlichen Garantien“ zu bieten. Der DSB entschied jedoch, dass diese „zusätzlichen Garantien“ in Wirklichkeit nicht viel ausmachen.

Als Antwort darauf kann Google nicht viel mehr tun, als zu sagen, dass der Benutzer die „Datenfreigabe durch Dritte“ in seinem Konto deaktivieren kann. Das Teilen von Daten durch Dritte ist hier jedoch nicht das wichtigste rechtliche Problem, das Problem ist der potenzielle Zugriff auf sensible Daten durch die US-Regierung (und das kann natürlich nirgendwo abgeschaltet werden).

Mit anderen Worten, Google hat vorerst keine wirkliche Antwort darauf. Google hat Recht, wenn es sagt, dass ein gutes Analysetool global funktionieren sollte, und man kann auch ernsthaft in Frage stellen, ob ein potenzieller Zugriff auf Analysedaten durch die US-Regierung wirklich eine echte Datenschutzbedrohung für 99 % der europäischen Websites darstellt.

Was bedeutet diese Entscheidung für Sie?

Eine Erkenntnis aus diesem Fall ist, dass es keine Option ist, diese Gerichtsurteile zu missachten und Google Analytics weiterhin zu verwenden.

Wenn Sie eine Website in Österreich betreiben oder Dienstleistungen für Österreicher erbringen, sollten Sie Google Analytics umgehend von Ihrer Website entfernen.

Es wird auch dringend empfohlen, dass Unternehmen in den anderen Mitgliedstaaten der Europäischen Union Maßnahmen ergreifen, bevor lokale Datenschutzbehörden damit beginnen, mehr Unternehmen ins Visier zu nehmen.

Als europäisches Unternehmen können Sie sensible Nutzerdaten nicht länger Unternehmen wie Google anvertrauen, die bewusst europäische Datenschutzgesetze missachten und hohe Bußgelder für ihre europäischen Geschäftskunden riskieren.

Mögliche Problemumgehungen, um Google Analytics weiterhin zu verwenden

Websites in ganz Europa werden jedoch nicht plötzlich aufhören, Google Analytics zu verwenden.

Bis diese Entscheidung rechtskräftig wird, können Sie GA weiterhin DSGVO-konform nutzen, indem Sie die nachstehenden strengsten Maßnahmen befolgen:

1. Akzeptieren Sie die DPAs von Google: Um die aktuellen Versionen der Standardvertragsklauseln widerzuspiegeln, hat Google die Google-Datenverarbeitungsbedingungen für alle Google-Produkte (DPAs) überarbeitet. Akzeptieren Sie in den Google Analytics-Einstellungen die neuen Google DPAs (neueste Version September 2021).
2. Hinweis in den Datenschutzbestimmungen auf eine mögliche Datenübermittlung an Drittländer.
3. Nutzereinwilligung einholen: „Das bedeutet, dass Sie Google Analytics nur dann beenden können, wenn Sie eine Einwilligung dazu erhalten haben und auch Informationen darüber speichern und bereitstellen können. Eine Consent Management Platform (CMP) erleichtert diesen Prozess.
4. Verwenden Sie die richtige Konfiguration von Google Analytics: Gemäß deren Best Practices sollten während der Einrichtung keine personenbezogenen Daten in Analytics einfließen. Sie sollten daher von der IP-Anonymisierung Gebrauch machen.
5. Umstellung auf serverseitiges Tracking: Serverseitiges Tracking ist nicht nur eine geeignete Lösung, um die Lebensdauer von 1st-Party-Cookies zu verlängern und einige Tracking-Blocker zu umgehen, sondern Sie haben auch die Möglichkeit, die Daten anzupassen, bevor sie an Google Analytics gesendet werden. Konkret bedeutet dies beispielsweise, dass die IP-Adressen der Nutzer vollständig entfernt werden, bevor die Daten an Google Analytics gesendet werden.

Wechseln Sie zu anderen datenschutzkonformen Analysetools

Da der Datenschutz für Verbraucher weltweit immer wichtiger wird, ist es für jedes europäische Unternehmen ein logischer Schritt, Dienste auszuwählen, die den Schutz der Privatsphäre ihrer Benutzer priorisieren.

Im Folgenden stellen wir zwei der faszinierendsten Alternativen zu GA vor, falls Sie es vollständig loswerden möchten.

Plausibel

Probieren Sie Plausible aus, wenn Sie nach einer echten EU-Alternative zu Google Analytics suchen. Sie sind ein unabhängiges Bootstrap-Projekt mit Sitz in Estland. Ihr Team ist zwischen Estland und Belgien aufgeteilt.

Alle gesammelten Besucherdaten werden auf Servern eines deutschen Unternehmens in Deutschland (Hetzner) gespeichert. Für ihr globales CDN verwenden sie einen slowenischen Anbieter (Bunny).

Mehr über ihre offizielle Stellungnahme zu diesem Fall hier.

Matomo

Matomo ist eine weitere lohnenswerte GA-Alternative.

Es handelt sich um eine Open-Source-Webanalyseplattform, die Ihnen umfassende Analysefunktionen sowie vollständiges Dateneigentum bietet.

Matomo begann als Open-Source-Alternative zu Google Analytics. Es bietet auch wichtige Berichte über Ihre Website-Benutzer und deren Interaktionen mit Ihrer Website, ähnlich wie Google Analytics. Der interessante Teil ist, dass es den Großteil seiner Aufmerksamkeit auf das Eigentum an Daten konzentriert, sodass Ihre Daten vollständig Ihnen gehören können und die Privatsphäre Ihrer Benutzer geschützt ist.

Mehr über ihre offizielle Stellungnahme zu diesem Fall hier.

Sind Convert-Benutzer von dieser Entscheidung betroffen?

In Convert Experiences werden niemals personenbezogene Daten verwendet oder gespeichert. Ihre Erfahrungen und Besucher sind also nicht von dem oben genannten Fall betroffen . Darüber hinaus verwenden wir europäische klimaneutrale Server, um Erfahrungs- und Variationsdaten zu speichern.

Aus Gründen der Transparenz finden Sie hier einige zusätzliche Hinweise zur Datennutzung in Convert Experiences:

• Standardmäßig aktiviert
  • Sitzungs-Cookie-ID (Timeout 20 Minuten für Cookie- und Server-Cache). Dies fällt derzeit in unserer Auslegung der DSGVO / ePrivacy-Richtlinie und der ePrivacy-Verordnung unter Performance-Cookies.

• Standardmäßig ausgeschaltet
  • Wenn die browserübergreifende Ausrichtung von Kunden aktiviert wird, fügen wir ein eindeutiges Cookie in die URL ein, um die andere Domain abzurufen (was von der DSGVO als personenbezogene Daten interpretiert werden könnte). Diese Funktion ist im Rahmen unserer Datenschutzrichtlinie standardmäßig deaktiviert.
  • Wenn vom Kunden anstelle von Sitzungs-IDs eindeutige Besucher-IDs angegeben werden, könnten diese als personenbezogene Daten interpretiert werden. Diese Funktion ist im Rahmen unserer Datenschutzrichtlinie standardmäßig deaktiviert.
  • Wenn Geotargeting verwendet wird (standardmäßig nicht aktiviert), könnten wir Land, Region und Stadt im CDN- oder Server-Cache für das korrekte Targeting speichern.

Die Auswirkungen dieses Urteils sind weitreichend und könnten einen Präzedenzfall für die Verwendung von Daten durch Unternehmen schaffen.

Es ist wichtig zu beachten, dass diese Entscheidung nur die Nutzung von Google Analytics für österreichische Unternehmen oder andere Unternehmen betrifft, die mit Österreich Geschäfte machen, aber es ist möglich, dass andere Länder diesem Beispiel folgen.

Wenn Sie Google Analytics verwenden, behalten Sie die bevorstehenden Vorschriften im Auge, um sicherzustellen, dass Sie die Vorschriften einhalten. NOYB und andere europäische Datenschutzbeauftragte haben gezeigt, dass sie bereit sind, für die Rechte von Online-Nutzern zu kämpfen, sodass wir in Zukunft mit ähnlichen Entscheidungen rechnen können.