Ein rechtskonformer Einsatz von Google Analytics ist zwar nicht einfach, jedoch auch nicht unmöglich.
Hintergründe
Im Januar 2022 berichteten wir bereits, dass nach Auffassung der österreichischen Datenschutzaufsicht der Einsatz von Google Analytics nicht mit den Vorgaben der DS-GVO vereinbar ist (Datenschutzbehörde Republik Österreich: „Google Analytics“).
Im Februar entschied in einem ähnlich gelagerten Fall die französische Aufsichtsbehörde CNIL (Commission Nationale de l’Informatique et des Libertés) ebenfalls, dass die durch Google getroffenen Maßnahmen zum Schutz der personenbezogenen Daten nicht ausreichen.
Auch der europäische Datenschutzbeauftragte hat sich mit dem Thema „Google Analytics“ beschäftigt und eine Entscheidung hierzu getroffen. Google Analytics war nämlich auf den Seiten des europäischen Parlaments im Einsatz (Beschwerde aus dem Jahr 2020, Entscheidung im Januar 2022). Der EDSB kam dabei ebenfalls zu dem Ergebnis, dass der Einsatz in der vorliegenden Form nicht zulässig sei. Kernproblematik aller Entscheidungen war die Übermittlung personenbezogener daten in die USA in Abwesenheit geeigneter Garantien zum Schutz der übermittelten personenbezogenen Daten.
Nach dem Schrems II Urteil des EuGH vom 16.06.2020 ist die Übermittlung personenbezogener Daten in die USA nicht mehr ohne weiteren Aufwand möglich.
Eine Möglichkeit zur Legitimierung des Transfers ist der Abschluss der Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c) Datenschutzgrundverordnung (DS-GVO). Diese allein reichen jedoch nicht aus, um das Schutzniveau der Daten im Ausland signifikant zu erhöhen, sodass darüber hinaus zusätzliche technische und organisatorische Maßnahmen ergriffen werden müssen. Dies gilt insbesondere mit Hinblick auf die umfangreichen Zugriffsrechte der US-Ermittlungsbehörden (S. 34. ff. Teilbescheid der österreichischen Datenschutzaufsichtsbehörde).
Bisherige Empfehlungen DSK
Im Mai 2020 hat die Datenschutzkonferenz (DSK) Hinweise zum Einsatz von Google Analytics im nicht-öffentlichen Bereich veröffentlicht. Zum einen wurde erläutert, dass der grundsätzliche Einsatz (nicht die damit einhergehende Drittlandübermittlung!) von Google Analytics lediglich auf Art. 6 Abs. 1 lit. a), Art. 7 DS-GVO möglich sei (Seite 4). Andere Rechtsgrundlagen, wie der Einsatz im Zuge der Vertragserfüllung oder gestützt auf das berechtigte Interesse kämen nicht in Frage. Zum Schutz der personenbezogenen Daten wurde bisher nur auf die Anonymisierungsfunktion bei Google hingewiesen. Dabei muss beachtet werden, dass die Hinweise der DSK noch vor dem Schrems II Urteil veröffentlich wurden und sich deshalb nicht auf die Drittlandproblematik bezogen.
Diese Google interne Anonymisierungsfunktion wird von der CNIL, und auch der österreichischen Aufsichtsbehörde, jedoch nicht als hinreichende Schutzmaßnahme angesehen.
Frei übersetztes Zitat aus der Stellungnahme der CNIL:
“Über eine HTTPS Verbindung wird ein direkter Kontakt zwischen dem Endgerät des Websitebesuchenden und Google aufgestellt. Die daraus resultierenden Anfragen ermöglichen es den Google Servern, die IP-Adresse des Nutzenden sowie zahlreiche Informationen über das entsprechende Endgerät zu erhalten. Diese Informationen können realistischerweise eine Re-Identifizierung des Nutzenden und folglich den Zugriff auf entsprechende Navigation auf allen Websites, die Google Analytics verwenden, ermöglichen.
Vorschlag der CNIL
Die CNIL hat nun in einer Stellungnahme vom 07.06.2022 einen möglichen, aber von der CNIL selbst als umständlichen und anspruchsvollen Weg für den Einsatz von Google Analytics vorgestellt. Um den direkten Kontakt zwischen dem Endgerät der Internetnutzenden und den Servern von Google Analytics (oder technisch vergleichbaren Tools) zu vermeiden, könne ein Proxy-Server zur Anwendung kommen. Die folgenden Punkte sind hierbei zu beachten und umzusetzen:
- Hosting des Proxy-Servers im EU-Inland oder einem Drittstaat mit dem in der EU vergleichbaren Datenschutzniveau
- Keine IP-Adressenübertragung an Google Analytics (oder vergleichbare Tools)
- Anonymisierung von Daten durch den Proxy-Server
- Keine Weitergabe des Referrers (Website über die die Zielwebsite erreicht wurde)
- Parameterentfernung aus den erhobenen URL`s (auch die, die das interne Routing der Website ermöglichen)
- Entfernung aller Informationen die eine Re-Identifizierung ermöglichen könnten (digitaler Fingerprint)
- Verhinderung der Erhebung websitenübergreifender Daten
Fazit zur Stellungnahme der CNIL
Werden alle Schritte, die den Einsatz von Google Analytics als rechtssicher einstufen lassen, befolgt, so darf an der Aussagekraft der bereinigten Daten gezweifelt werden. Betrachtet man beispielsweise den Punkt 5, so müssten alle Daten, die einen Rückschluss auf die Besucherbewegungen auf der Unternehmensseite zulassen, vor der Weitergabe an Google Analytics entfernt werden. Aus diesen Daten gewinnen Websitebetreibende jedoch wichtige Hinweise darauf, ob Verlinkungen, die optische Darstellung bestimmter Inhalte oder die internen Anzeigen erfolgreich sind und von Besuchern wahrgenommen werden. Diese Daten würden demnach nicht mehr durch Google ausgewertet. Sollen diese Daten nun dennoch analysiert werden, müsste ein weiteres Tool zur Anwendung kommen, bei welchem erneut auf alle datenschutzrechtlichen Vorgaben zu achten wäre.
Handlungsempfehlungen
Nach der Stellungnahme der CNIL ergeben sich nunmehr 3 mögliche Handlungswege Analysedaten zu sammeln.
- Einsatz alternativer Analysetools, die entweder Unternehmensintern oder auf Servern innerhalb der EU gehostet werden.
Beispielhaft genannt werden können: - Einsatz eines Proxy Servers in der durch die CNIL dargestellten Form.
- Einholen einer Einwilligung in den Drittlandtransfer, Art. 49 Abs. 1 lit. a) DS-GVO. Dabei muss bereits im ersten Layer des Cookie Banners darauf hingewiesen werden, dass bei Erteilung einer Einwilligung ein Drittlandtransfer möglich ist und dieser mit Risiken für die personenbezogenen Daten einhergeht, insbesondere durch die umfassenden Zugriffsrechte der US-amerikanischen Ermittlungsbehörden.