IT-Recht Kanzlei
Fragen oder Anregungen?

Kontaktieren Sie uns:
IT-Recht Kanzlei
Kanzlei Keller-Stoltenhoff, Keller
Alter Messeplatz 2
Tel.: +49 (0)89 / 130 1433-0
Fax: +49 (0)89 / 130 1433-60
E-Mail: info@it-recht-kanzlei.de

Österreichische Datenschutzbehörde: Nutzung von Google Analytics ist datenschutzwidrig

14.01.2022, 11:49 Uhr | Lesezeit: 5 min
Österreichische Datenschutzbehörde: Nutzung von Google Analytics ist datenschutzwidrig

Google Analytics ist trotz wachsenden, regionalen Alternativangeboten nach wie vor das beliebteste Tracking- und Analysetool für Websites innerhalb der EU. Problematisch ist daher spätestens seit dem Wegfall des EU-US-Privay-Shield die Übermittlung von personenbezogenen EU-Betroffenendaten an US-Server von Google. Auf eine Musterbeschwerde der EU-Datenschutzorganisation „Noyb“ hat nun die Österreichische Datenschutzbehörde die Verwendung von Google Analytics für datenschutzwidrig erklärt.

I. Das Problem: Nach Wegfall des Privacy Shield neue geeignete Datensicherheitsgarantien erforderlich

Soweit Google Analytics personenbezogene Daten verarbeitet, agiert Google Analytics zusammen mit dem Seitenbetreiber nach Ansicht der führenden Datenschutzschutzbehörden als gemeinschaftlich Verantwortlicher (Art. 26 DSGVO).

Für Verarbeitungstätigkeiten von Google Analytics sind also der Seitenbetreiber und Google innerhalb ihrer Wirkungsbereiche zusammen verantwortlich.

Beim Einsatz von Google Analytics kommt es nun standardmäßig vor, dass personenbezogene Daten, zumindest die Nutzer-IP-Adresse, an Server von Google in den USA übertragen werden.

Die DSGVO schreibt für Datenübermittlungen aus der EU in Drittländer in Art. 44 und 46 DSGVO aber geeignete Garantien vor.

Als eine solche Garantie (in Form eines Angemessenheitsbeschlusses) speziell für Datenübermittlungen in die USA galt bis zur Kassation durch den EuGH (Urteil vom 16.07.2021 – Az. C-311/18) das EU-US-Datenschutzschild „Privacy Shield“, auf das sich nahezu alle US- Anbieter standardmäßig beriefen.

Nach dem Wegfall des Schutzschildes konnten Übermittlungen von EU-Daten in die USA aber nicht weiter gerechtfertigt werden. Sie drohten, rechtswidrig zu sein.

Google war insofern gehalten, Abhilfe zu schaffen und eine andere, von der DSGVO anerkannte Transfergarantie zu schaffen.

Die DSGVO erkennt hierfür in Art. 46 DSGVO unter anderem

  • verbindliche interne Datenschutzvorschriften (Art. 47 DSGVO)
  • genehmigte Verhaltensregeln (Art. 40 DSGVO) und
  • von der EU-Kommission genehmigte Standard-Datenschutzklauseln (auch „Standardvertragsklauseln“ oder auf Englisch „Standard Contractual Clauses“ – „SCCs“ genannt)

an.

Google entschied sich für die Übernahme von von der EU-Kommission genehmigter Standardvertragsklauseln (SCCs)

Banner Premium Paket

II. Standardvertragsklauseln allein sind datenschutzrechtlich unzureichend

Aus datenschutzrechtlicher Sicht ist die Implementierung von Standardvertragsklauseln allein aber nicht ausreichend, um Datenschutzrisiken bei Übertragung von personenbezogenen Daten aus der EU in die USA wirksam zu unterbinden.

So betonte bereits die Datenschutzkonferenz der Bundesländer ausdrücklich, dass bei Datenübertragungen in die USA die bloße Aufnahme von Standard-Datenschutzklauseln nicht ausreicht, um einen angemessenen Datenschutz auf der anderen Seite des Atlantik zu gewährleisten.

Auch für die neuen, mit Durchführungsbeschluss vom 04.06.2021 beschlossenen Standardvertragsklauseln der EU-Kommission bestehen die datenschutzrechtlichen Bedenken fort.

Hintergrund (und auch ein maßgeblicher Tragpfeiler der Kassation des EU-US-Privacy Shield) ist, dass US-Sicherheitsbehörden weitreichende Zugriffsrechte auf Datenbestände haben, die in den USA verarbeitet werden (etwa nachrichtendienstliche Erhebungsbefugnisse aus Section 702 FISA und Executive Order 12 333).

Für Betroffene aus Europa kann dies mit einem hohen Datensicherheitsrisiko einhergehen, weil sie im Zweifel nicht wissen, ob, wie und zu welchen Zwecken ihre Daten behördlich genutzt werden. Auch haben sie keine Interventionsrechte, um vom Zugriff erfasste Daten nachträglich in Auskunft zu bringen, zu löschen oder zu berichtigen.

Die bloße Anwendung von genehmigten Standardvertragsklauseln kann die Verpflichtung von US-Unternehmen, auf behördliches Gesuch hin umfangreiche Daten zur Verfügung zu stellen, aber nicht aufheben. Die Klauseln gelten nur „inter partes“, also zwischen dem Datenexporteur und dem Datenimporteur, hebeln aber gesetzlich oder gewohnheitsrechtlich verankerte Zugriffs- und Dateninterventionsrechte von US-Behörden nicht aus.

Nach Ansicht führender Datenschützer sind daher auf Unternehmensebene zusätzliche Maßnahmen zum Schutz von EU-Daten erforderlich, etwa die vollständige Anonymisierung oder zumindest Verschlüsselung von EU-Datenbeständen auf US-Servern, um behördliche Zugriffsmöglichkeiten auf Klardaten aus der EU zu verhindern.

III. Entscheidung der Österreichischen Datenschutzbehörde zu Google Analytics

Auf eine Musterbeschwerde der europäischen Datenschutzorganisation „Noyb“ hin, deren Gründer der Datenschutzaktivist Max Schrems ist, der schon das Privacy Shield vor dem EuGH zu Fall brachte, erklärte die Österreichische Datenschutzbehörde am 22.12.2021 die Nutzung von Google Analytics durch Webseitenbetreiber für datenschutzwidrig.

Die von Google implementierten Standardvertragsklauseln seien ungeeignet, um ein angemessenes, wie von Art. 44 ff. DSGVO gefordertes Datenschutzniveau für EU-Daten in den USA zu gewährleisten.

Die Klauseln könnten, da sie eben nur zwischen Google und dem jeweiligen Analytics-Anwender verbindlich seien, Überwachungs- und Zugriffsbefugnisse durch US-Nachrichtendienste nach dem Foreign Intelligence Surveillance Act (FISA) nicht beseitigen.

Von Google zusätzlich eingerichtete Sicherheitsmaßnahmen wie Verschlüsselungstechniken und Überprüfungsmechanismen für behördliche Anfragen seien weitestgehend nutzlos, um gesetzlich durchsetzbaren Datenzugriffen durch US-Behörden entgegengehalten zu werden.

Die vollständige Entscheidung der Österreichischen Datenschutzbehörde kann hier eingesehen werden.

IV. Weitere Entscheidungen europäischer Datenschutzbehörden ausstehend

Noyb unter der Leitung von Max Schrems verfolgt die Durchsetzung des EU-Datenschutzrechts gegenüber US-Diensten mit insgesamt 101 Musterbeschwerden in nahezu allen EU-Mitgliedsstaaten.

Weil die Rechtslage hier objektiv eindeutig ist, ist es überaus wahrscheinlich, dass künftig weitere Entscheidungen von Datenschutzbehörden folgen werden, die Google Analytics die fehlende EU-Datenschutzkonformität bescheinigen.

Dasselbe Schicksal teilen in rechtlicher Hinsicht alle weiteren US-Dienste, die personenbezogene Daten auf Basis von Standardvertragsklauseln in die USA übermitteln. Auch der beliebte „Facebook Pixel“, Newsletter-Versanddienstleister wie Mailchimp und diverse US-Hostingdienste sind betroffen.

V. Fazit

Nach Ansicht der österreichischen Datenschutzbehörde ist die Nutzung von Google Analytics in der EU datenschutzwidrig.

Korrekt folgert die Behörde, dass die von Google für die Sicherheit von EU-US-Datentransfers implementierten „Standardvertragsklauseln“ nicht ausreichen, um Zugriffsbefugnisse von US-Geheimdiensten auszuhebeln. EU-Daten unterliegen in den USA daher einem latenten Sicherheitsrisiko, was Datenübermittlungen in die Nation nach Art. 44 ff. DSGVO rechtswidrig macht.

Seitenbetreibern kann nur angeraten werden, so umfänglich wie möglich von der Verwendung datenverarbeitender US-Dienste abzusehen und stattdessen auf europäische Pendants umzuschwenken.

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.


Link kopieren

Als PDF exportieren

Drucken

|

Per E-Mail verschicken

Zum Facebook-Account der Kanzlei

Zum Instagram-Account der Kanzlei

4 Kommentare

T
Taco 03.02.2022, 10:56 Uhr
Drittanbieter und Google Adwords
und wie sehen die Verknüpfung von Drittanbietern zum Beispiel "etracker" mit Google Adwords aus?
F
FK 31.01.2022, 19:02 Uhr
Schafft Anonymize IP hier nicht Abhilfe?
Hallo Herr Salewski,

schafft Anonymize IP in Google Analytics hier nicht Abhilfe ?

Danke & Gruß
FK
C
Christian Säum 15.01.2022, 10:22 Uhr
Alternativen
Da gibt es schon einige auch GPL bzw OpenSource

Vielleicht nicht an allen Bereichen an GA rankommend aber gut genug um das wichtigste zu erkennen.

Hier wäre meine Ansicht nach Matomo und OpenWebAnalytics und auch andere kleinere
K
Krokusknospe 14.01.2022, 17:27 Uhr
Alternativen zu GA
Interessanter Artikel. Sie empfehlen am Schluss Ihres Artikels, europäische Tracker einzusetzen.
Welche Alternativen zu GA gibt es denn?

weitere News

Österreichische Datenschutzbehörde: Die Verwendung von Google Analytics ist unzulässig
(31.05.2022, 16:13 Uhr)
Österreichische Datenschutzbehörde: Die Verwendung von Google Analytics ist unzulässig
Google Analytics 4 möglichst datenschutzkonform nutzen: Handlungsanleitung der IT-Recht Kanzlei + neue Datenschutzklauseln
(18.08.2021, 11:58 Uhr)
Google Analytics 4 möglichst datenschutzkonform nutzen: Handlungsanleitung der IT-Recht Kanzlei + neue Datenschutzklauseln
Zahlreiche Anhörungsverfahren wegen Google Analytics: Rechtsfehlerhafte Verwendung im Visier der Datenschutzbehörden
(10.08.2020, 13:59 Uhr)
Zahlreiche Anhörungsverfahren wegen Google Analytics: Rechtsfehlerhafte Verwendung im Visier der Datenschutzbehörden
LfDI Rheinland-Pfalz: Google Analytics nur mit Einwilligung zulässig, Untersagungsanordnungen wurden bereits erlassen!
(08.04.2020, 09:16 Uhr)
LfDI Rheinland-Pfalz: Google Analytics nur mit Einwilligung zulässig, Untersagungsanordnungen wurden bereits erlassen!
Google Analytics ohne Cookies nutzen: Handlungsanleitung und Risikoanalyse
(25.10.2019, 08:24 Uhr)
Google Analytics ohne Cookies nutzen: Handlungsanleitung und Risikoanalyse
LG Dresden: Betrieb von Google Analytics ohne "anonymizeIP" ist datenschutzrechtswidrig
(04.07.2019, 11:54 Uhr)
LG Dresden: Betrieb von Google Analytics ohne "anonymizeIP" ist datenschutzrechtswidrig
Kommentar
verfassen
Ihre Meinung zu unserem Beitrag.
* mit Sternchen gekennzeichnete Felder sind Pflichtfelder
speichern

Vielen Dank für Ihren Kommentar

Wir werden diesen nach einer kurzen Prüfung
so schnell wie möglich freigeben.
Ihre IT-Recht Kanzlei
Vielen Dank!

Ihr Kommentar konnte nicht gespeichert werden!

Bitte versuchen Sie es zu einem späteren Zeitpunkt noch einmal.
Ihre IT-Recht Kanzlei
Vielen Dank!

Kontakt:

IT-Recht Kanzlei

Alter Messeplatz 2
80339 München

Tel.: +49 (0)89 / 130 1433 - 0
Fax: +49 (0)89 / 130 1433 - 60

E-Mail: info@it-recht-kanzlei.de

© 2004-2023 · IT-Recht Kanzlei