Die Übermittlung von einzigartigen Nutzer-IDs, IP-Adressen und Browser-Parametern seien durch die abgeschlossenen Standardvertragsklauseln und die zusätzlichen Schutzmaßnahmen nicht ausreichend geschützt.
Zugrundeliegender Sachverhalt
Die Beschwerde richtete sich zum einen gegen einen österreichischen Verlag, der Google Analytics eingebunden hatte, zum anderen auch gegen Google selbst. Der Beschwerdeführer war bei seinem Besuch der Verlagswebsite in seinem Google-Konto eingeloggt. Dieses ist mit der E-Mail-Adresse des Beschwerdeführers verknüpft. Auf der Verlagswebsite war ferner ein HTML-Code für Google-Dienste (inklusive Google Analytics) eingebettet. Im Verlauf des Besuchs habe der Verlag personenbezogene Daten, nämlich zumindest die IP-Adresse und die Cookie-Daten des Beschwerdeführers verarbeitet. Dabei seien einige dieser Daten an Google übermittelt worden.
Eine solche Datenübermittlung erfordere eine Rechtsgrundlage gemäß den Art. 44 ff DSGVO.
Beschwerdeentscheidung
Die Beschwerde gegen Google selbst hat die DSB mit der Begründung abgewiesen, die Vorgaben von Kapitel V DS-GVO seien vom Datenexporteur, nicht jedoch vom Datenimporteur (Google) einzuhalten.
Der Beschwerde gegen den Verlag wurde hingegen stattgegeben. Der Verlag und Google haben Standarddatenschutzklauseln (SDK) gem. Art. 46 Abs. 2 lit. c DS-GVO für die Übermittlung personenbezogener Daten abgeschlossen. Im Schrems-II-Urteil hat der EuGH jedoch darauf hingewiesen, dass die SDK der Natur nach ein Vertrag sind und Behörden aus einem Drittstaat nicht binden könnten. Um einen, dem europäischen Niveau entsprechenden Schutz personenbezogener Daten zu gewährleisten, kann das Ergreifen zusätzlicher Schutzmaßnahmen erforderlich werden. Ein solcher Fall läge hier vor. Jedoch hat die DSB die ergriffenen Maßnahmen als nicht geeignet angesehen, um das Schutzniveau dem Grunde nach herzustellen, sodass eine Verletzung von Art. 44 DS-GVO zu bejahen wäre.
Zur Begründung:
- „IP-Anonymisierungsfunktion“ nicht korrekt implementiert.
Grundsätzlich wird im Zuge der Verwendung des Tools Google Analytics die Möglichkeit angeboten, eine „IP-Anonymisierungsfunktion“ zu verwenden. Diese Funktion wurde jedoch von der Websitebetreiberin nicht korrekt implementiert (unbestritten). Die Anonymisierungsfunktion wurde in der Beschwerdeentscheidung deshalb nicht berücksichtigt.
- Zugriffsrecht US-Behörden auf kryptografischen Schlüssel.
Bei der Beurteilung von zusätzlich ergriffenen Maßnahmen ist die DSB jedoch auf Verschlüsselungstechnologien, etwa auf die Verschlüsselung von „Daten im Ruhezustand“ in den Datenzentren, eingegangen. Ein Datenimporteur (wie vorliegend Google), unterliegt der 50 U.S. Code § 1881a („FISA 702”). Damit hat Google hinsichtlich der importierten Daten, die sich in seinem Besitz oder Gewahrsam oder unter seiner Kontrolle befinden, eine direkte Verpflichtung, den Zugriff darauf zu gewähren oder diese herauszugeben. Diese Verpflichtung kann sich ausdrücklich auch auf die kryptografischen Schlüssel erstrecken, ohne die die Daten nicht lesbar sind.
- Zusammenspiel von Google-Accounts und Google Analytics
Soweit das Tool Google Analytics auf einer Website implementiert ist, hat Google die Möglichkeit Informationen darüber zu bekommen, dass ein Google Account-Nutzer die Website besucht hat. Google hat ausgeführt, dass diese Informationen nur dann übermittelt werden, wenn gewisse Voraussetzungen erfüllt sind, wie etwa die Aktivierung von spezifischen Einstellungen im Google-Account. Nach Auffassung der Datenschutzbehörde vermag dieses Vorbringen nicht zu überzeugen. Wenn nämlich dem Wunsch eines Google-Account-Nutzers nach „Personalisierung“ der erhaltenen Werbeinformationen aufgrund einer Willenserklärung im Konto entsprochen werden kann, so bestehe aus rein technischer Sicht die Möglichkeit, die Information über die besuchte Website des Google-Account-Nutzers zu erhalten. Ein gegenteiliger Beweis sei durch die Beschwerdegegnerin nicht erfolgt.
- Fehlende Pseudonymisierung
Google führt eine weitere technische Maßnahme zum Schutz der personenbezogenen Daten an. Und zwar würden diese, insofern sie verarbeitet würden, pseudonymisiert werden. Dem widerspricht die DSB ausdrücklich. Denn, anders als in Fällen, in denen Daten pseudonymisiert würden, um die identifizierenden Daten zu verschleiern oder zu löschen, sodass die betroffenen Personen nicht mehr adressiert werden können, würden IDs oder Kennungen (wie im vorliegenden Fall) dazu genutzt, die einzelnen Individuen unterscheidbar und adressierbar zu machen. Eine Schutzwirkung stelle sich folglich nicht ein. Ferner können die Kennungen kombiniert und auch dem zuzurechnenden Google Account (s.o.) zugeordnet werden.
Mögliche Auswirkungen der Entscheidung
Google Analytics ist das am weitesten verbreitete Statistikprogramm weltweit. Aber auch andere Dienste mit Hauptsitz oder Servern in den USA könnten von dieser Entscheidung der DSB betroffen sein. NOYB hat eigenen Angaben nach 101 Beschwerden in fast allen EU-Mitgliedstaaten eingereicht. Es ist zu erwarten, dass ähnliche Entscheidungen von den jeweiligen Aufsichtsbehörden (auch in Deutschland) fallen werden.
Unsere Empfehlung
Die IP-Anonymisierungsfunktion wurde im vorliegenden Fall nicht korrekt implementiert, weshalb die DSB sich nicht weiter mit der Schutzfähigkeit der Daten bei erfolgreicher Implementierung befasst hat. Achten Sie deshalb im ersten Schritt darauf, dass eine Implementierung erfolgt, um das Risiko einer Rechtsverletzung zu minimieren.
Ferner empfiehlt es sich den Einsatz von Google-Analytics nicht einzig auf die Standarddatenschutzklauseln zu stützen. Holen sie sich vor Einsatz des Tools eine informierte, freiwillige, aktive Einwilligung der Nutzer, Art. 49 Abs. 1 lit. a DS-GVO in die Datenübermittlung ein. Die konkrete Verarbeitungstätigkeit durch Google Analytics und die Datenübermittlung an Google LLC und damit in ein unsicheres Drittland mit der Möglichkeit des Zugriffs von US-Behörden auf die entsprechenden personenbezogenen Daten müssen benannt werden. Dem Nutzer muss ferner erklärt werden, in welcher Form die Datenverarbeitung durch Google erfolgt. Die aktive Form der Einwilligung zeichnet sich durch eine Opt-In-Methode bei der Zustimmung aus. Die Einwilligung muss auch verweigert werden können, was in Folge keinen Einsatz von Google-Analytics im entsprechenden Fall bedeutet und durch die Verweigerung keine Nachteile erfahren.
Darüber hinaus besteht die Möglichkeit alternative Website-Analysetools, die in Europa gehostet werden oder auf Unternehmensinternen Servern laufen, zu nutzen.
Beispielhaft genannt werden können:
- Matomo – Ein Self-Hosting Analysetool. Sie haben dabei die volle Kontrolle über die erhobenen Daten.
- Piwik Pro – Unterschiedliche EU-Datenstandorte und Hosting-Optionen verfügbar.
- Econda – ein in Deutschland gehostetes Analysetool.
Welches der beispielhaft aufgezeigten Analysetools für Ihren Einsatz in Frage kommt, hängt stark von Ihren individuellen inhaltlichen Anforderungen ab, jedoch entfällt bei allen das Risiko der möglicherweise rechtswidrigen Datenübermittlung in ein unsicheres Drittland.
Update vom 28.04.2022
Auch die französische Aufsichtsbehörde CNIL (Commission Nationale de l’Informatique et des Libertés) entschied am 10.02.22, dass der Einsatz von Google Analytics in der aktuellen Version nicht mit der DS-GVO vereinbar sei. Google hat der CNIL zufolge nicht darlegen können, ob die oben beschriebene, optionale Anonymisierungsfunktion vor einer Übertragung in die USA erfolge, oder erst in einem zweiten Schritt nach einer erfolgten Übermittlung.
Im durch die CNIL entschiedenen Fall lag eine Einwilligung des Betroffenen in das Tracking auf der Website des Verantwortlichen vor. Diese Einwilligung sah die CNIL jedoch nicht als den Erfordernissen des Art. 49 Abs. 1 lit. a) DS-GVO genügend an. Webseitenbesucher seien nicht hinreichend über die Übermittlung seiner personenbezogenen Daten in ein unsicheres Drittland aufgeklärt worden. Somit sei die Einwilligung nicht rechtmäßig.
Empfehlung:
Wenn Sie weiterhin Google Analytics (oder andere Dienste mit Datenübermittlung in die USA) auf Ihrer Webseite im Einsatz haben, müssen Sie unbedingt bereits im Cookie Banner über die Übermittlung der Daten in ein datenschutzrechtliches unsicheres Drittland und die hiermit verbundenen Risiken aufklären.