Es wurde leider kein Ergebnis gefunden. Bitte versuchen Sie es erneut.

Affiliate-Marketing
Afterbuy
Amazon
Apotheken-Online-Shop
Apps (Datenschutzerklärung)
Argato
Avocadostore
Azoo
Booklooker
branchbob
BrickLink
Cardmarket
Cdiscount.com
Chrono24
commerce:seo
conrad.de
CosmoShop
Delcampe
Dienstleistungen
Discogs
Dropshipping-Marktplatz.de
eBay
eBay-Kleinanzeigen
ecwid
eGun
Einkaufsbedingungen (B2B)
ePages
Etsy
Facebook
FairFox
Fairmondo.de
galeria.de
Gambio
Gambio-Cloud
Gastro-Lieferservice (Restaurants)
GTC for Shopify
Handmade at Amazon
Homepages
Hood
Hosting-B2B
Hosting-B2B-B2C
Idealo-Direktkauf
Instagram
Jimdo
Joomla
JTL
Kasuwa
Kaufland.de
Kauflux
Lightspeed
LinkedIn
Lizenzo
Magento 1 und Magento 2
manomano
Mediamarkt.de
meinOnlineLager
metro.de
modified eCommerce-Shops
Mädchenflohmarkt
Online-Shop
Online-Shop (Verkauf digitaler Inhalte)
Online-Shop - B2B
OpenCart
Otto.de
Oxid-Shops
Palundu
Pinterest
plentymarkets
Praktiker.de
Prestashop
productswithlove
RAIDBOXES
Restposten
restposten24.de
Ricardo.ch
Seminare
Shop - Online-Kurse (live/on demand)
Shop - Verkauf von eigener Software
Shop - Verkauf von fremder Software
Shop - Vermietung von Waren
Shopgate
shopify
Shopware
Shpock+
shöpping.at
smartvie
Squarespace
STRATO
Teilehaber.de
TikTok-Präsenzen
Tumblr
Twitch
Twitter
TYPO3
Verkauf von Veranstaltungstickets
Verkauf über individuelle Kommunikation (B2B)
Verkauf über individuelle Kommunikation (B2Bb2c)
Verkauf über Printkataloge
Verkauf über stationären Handel
Vermietung Ferienwohnungen
Vermietung von Shops (inkl. Hosting)
VersaCommerce
VirtueMart
webador
Webseite (kein Verkauf)
Werky
Wix
WooCommerce
WooCommerce German Market
WooCommerce Germanized
WordPress
Wordpress-Shops
wpShopGermany
Xanario
XING
xt:Commerce
Yatego
YouTube
Zen-Cart
ZVAB
Österreichische Datenschutzerklärung
von RA Phil Salewski

Österreichische Datenschutzbehörde: Nutzung von Google Analytics ist datenschutzwidrig

News vom 14.01.2022, 11:49 Uhr | 2 Kommentare 

Google Analytics ist trotz wachsenden, regionalen Alternativangeboten nach wie vor das beliebteste Tracking- und Analysetool für Websites innerhalb der EU. Problematisch ist daher spätestens seit dem Wegfall des EU-US-Privay-Shield die Übermittlung von personenbezogenen EU-Betroffenendaten an US-Server von Google. Auf eine Musterbeschwerde der EU-Datenschutzorganisation „Noyb“ hat nun die Österreichische Datenschutzbehörde die Verwendung von Google Analytics für datenschutzwidrig erklärt.

I. Das Problem: Nach Wegfall des Privacy Shield neue geeignete Datensicherheitsgarantien erforderlich

Soweit Google Analytics personenbezogene Daten verarbeitet, agiert Google Analytics zusammen mit dem Seitenbetreiber nach Ansicht der führenden Datenschutzschutzbehörden als gemeinschaftlich Verantwortlicher (Art. 26 DSGVO).

Für Verarbeitungstätigkeiten von Google Analytics sind also der Seitenbetreiber und Google innerhalb ihrer Wirkungsbereiche zusammen verantwortlich.

Beim Einsatz von Google Analytics kommt es nun standardmäßig vor, dass personenbezogene Daten, zumindest die Nutzer-IP-Adresse, an Server von Google in den USA übertragen werden.

Die DSGVO schreibt für Datenübermittlungen aus der EU in Drittländer in Art. 44 und 46 DSGVO aber geeignete Garantien vor.

Als eine solche Garantie (in Form eines Angemessenheitsbeschlusses) speziell für Datenübermittlungen in die USA galt bis zur Kassation durch den EuGH (Urteil vom 16.07.2021 – Az. C-311/18) das EU-US-Datenschutzschild „Privacy Shield“, auf das sich nahezu alle US- Anbieter standardmäßig beriefen.

Nach dem Wegfall des Schutzschildes konnten Übermittlungen von EU-Daten in die USA aber nicht weiter gerechtfertigt werden. Sie drohten, rechtswidrig zu sein.

Google war insofern gehalten, Abhilfe zu schaffen und eine andere, von der DSGVO anerkannte Transfergarantie zu schaffen.

Die DSGVO erkennt hierfür in Art. 46 DSGVO unter anderem

  • verbindliche interne Datenschutzvorschriften (Art. 47 DSGVO)
  • genehmigte Verhaltensregeln (Art. 40 DSGVO) und
  • von der EU-Kommission genehmigte Standard-Datenschutzklauseln (auch „Standardvertragsklauseln“ oder auf Englisch „Standard Contractual Clauses“ – „SCCs“ genannt)

an.

Google entschied sich für die Übernahme von von der EU-Kommission genehmigter Standardvertragsklauseln (SCCs)

asd

II. Standardvertragsklauseln allein sind datenschutzrechtlich unzureichend

Aus datenschutzrechtlicher Sicht ist die Implementierung von Standardvertragsklauseln allein aber nicht ausreichend, um Datenschutzrisiken bei Übertragung von personenbezogenen Daten aus der EU in die USA wirksam zu unterbinden.

So betonte bereits die Datenschutzkonferenz der Bundesländer ausdrücklich, dass bei Datenübertragungen in die USA die bloße Aufnahme von Standard-Datenschutzklauseln nicht ausreicht, um einen angemessenen Datenschutz auf der anderen Seite des Atlantik zu gewährleisten.

Auch für die neuen, mit Durchführungsbeschluss vom 04.06.2021 beschlossenen Standardvertragsklauseln der EU-Kommission bestehen die datenschutzrechtlichen Bedenken fort.

Hintergrund (und auch ein maßgeblicher Tragpfeiler der Kassation des EU-US-Privacy Shield) ist, dass US-Sicherheitsbehörden weitreichende Zugriffsrechte auf Datenbestände haben, die in den USA verarbeitet werden (etwa nachrichtendienstliche Erhebungsbefugnisse aus Section 702 FISA und Executive Order 12 333).

Für Betroffene aus Europa kann dies mit einem hohen Datensicherheitsrisiko einhergehen, weil sie im Zweifel nicht wissen, ob, wie und zu welchen Zwecken ihre Daten behördlich genutzt werden. Auch haben sie keine Interventionsrechte, um vom Zugriff erfasste Daten nachträglich in Auskunft zu bringen, zu löschen oder zu berichtigen.

Die bloße Anwendung von genehmigten Standardvertragsklauseln kann die Verpflichtung von US-Unternehmen, auf behördliches Gesuch hin umfangreiche Daten zur Verfügung zu stellen, aber nicht aufheben. Die Klauseln gelten nur „inter partes“, also zwischen dem Datenexporteur und dem Datenimporteur, hebeln aber gesetzlich oder gewohnheitsrechtlich verankerte Zugriffs- und Dateninterventionsrechte von US-Behörden nicht aus.

Nach Ansicht führender Datenschützer sind daher auf Unternehmensebene zusätzliche Maßnahmen zum Schutz von EU-Daten erforderlich, etwa die vollständige Anonymisierung oder zumindest Verschlüsselung von EU-Datenbeständen auf US-Servern, um behördliche Zugriffsmöglichkeiten auf Klardaten aus der EU zu verhindern.

III. Entscheidung der Österreichischen Datenschutzbehörde zu Google Analytics

Auf eine Musterbeschwerde der europäischen Datenschutzorganisation „Noyb“ hin, deren Gründer der Datenschutzaktivist Max Schrems ist, der schon das Privacy Shield vor dem EuGH zu Fall brachte, erklärte die Österreichische Datenschutzbehörde am 22.12.2021 die Nutzung von Google Analytics durch Webseitenbetreiber für datenschutzwidrig.

Die von Google implementierten Standardvertragsklauseln seien ungeeignet, um ein angemessenes, wie von Art. 44 ff. DSGVO gefordertes Datenschutzniveau für EU-Daten in den USA zu gewährleisten.

Die Klauseln könnten, da sie eben nur zwischen Google und dem jeweiligen Analytics-Anwender verbindlich seien, Überwachungs- und Zugriffsbefugnisse durch US-Nachrichtendienste nach dem Foreign Intelligence Surveillance Act (FISA) nicht beseitigen.

Von Google zusätzlich eingerichtete Sicherheitsmaßnahmen wie Verschlüsselungstechniken und Überprüfungsmechanismen für behördliche Anfragen seien weitestgehend nutzlos, um gesetzlich durchsetzbaren Datenzugriffen durch US-Behörden entgegengehalten zu werden.

Die vollständige Entscheidung der Österreichischen Datenschutzbehörde kann hier eingesehen werden.

IV. Weitere Entscheidungen europäischer Datenschutzbehörden ausstehend

Noyb unter der Leitung von Max Schrems verfolgt die Durchsetzung des EU-Datenschutzrechts gegenüber US-Diensten mit insgesamt 101 Musterbeschwerden in nahezu allen EU-Mitgliedsstaaten.

Weil die Rechtslage hier objektiv eindeutig ist, ist es überaus wahrscheinlich, dass künftig weitere Entscheidungen von Datenschutzbehörden folgen werden, die Google Analytics die fehlende EU-Datenschutzkonformität bescheinigen.

Dasselbe Schicksal teilen in rechtlicher Hinsicht alle weiteren US-Dienste, die personenbezogene Daten auf Basis von Standardvertragsklauseln in die USA übermitteln. Auch der beliebte „Facebook Pixel“, Newsletter-Versanddienstleister wie Mailchimp und diverse US-Hostingdienste sind betroffen.

V. Fazit

Nach Ansicht der österreichischen Datenschutzbehörde ist die Nutzung von Google Analytics in der EU datenschutzwidrig.

Korrekt folgert die Behörde, dass die von Google für die Sicherheit von EU-US-Datentransfers implementierten „Standardvertragsklauseln“ nicht ausreichen, um Zugriffsbefugnisse von US-Geheimdiensten auszuhebeln. EU-Daten unterliegen in den USA daher einem latenten Sicherheitsrisiko, was Datenübermittlungen in die Nation nach Art. 44 ff. DSGVO rechtswidrig macht.

Seitenbetreibern kann nur angeraten werden, so umfänglich wie möglich von der Verwendung datenverarbeitender US-Dienste abzusehen und stattdessen auf europäische Pendants umzuschwenken.

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.

Autor:
Phil Salewski
Rechtsanwalt

Besucherkommentare

Alternativen

15.01.2022, 10:22 Uhr

Kommentar von Christian Säum

Da gibt es schon einige auch GPL bzw OpenSource Vielleicht nicht an allen Bereichen an GA rankommend aber gut genug um das wichtigste zu erkennen. Hier wäre meine Ansicht nach Matomo und...

Alternativen zu GA

14.01.2022, 17:27 Uhr

Kommentar von Krokusknospe

Interessanter Artikel. Sie empfehlen am Schluss Ihres Artikels, europäische Tracker einzusetzen. Welche Alternativen zu GA gibt es denn?

© 2005-2022 · IT-Recht Kanzlei Keller-Stoltenhoff, Keller