Die Organisation NOBY war mit einer Beschwerde gegen Google Analytics vor der österreichischen Datenschutzbehörde teilweise erfolgreich. Diese sah eine Verletzung allgemeiner Grundsätze der Datenübermittlung gemäß DSGVO als gegeben.
NOBY hatte im Nachgang an die Schrems-II-Entscheidung 101 Musterbeschwerden gegen Unternehmen in 30 EU- und EWR-Mitgliedsstaaten eingereicht, weil diese Tools wie Google Analytics oder Facebook Connect einsetzen. Die erste konkrete Entscheidung über eine dieser Beschwerden betrifft die Datenübermittlung der Website netdoktor.at an Google.
Die österreichische Datenschutzbehörde stellte fest, dass die Nutzung von Google Analytics gegen die DSGVO verstößt.
Zunächst hat die Behörde geprüft, ob personenbezogene Daten verarbeitet wurden. Dazu sieht Art. 4 Nr. 1 DSGVO vor.
Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt – insbes. mittels Zuordnung […] zu einer Online-Kennung […] – identifiziert werden kann.
Bei einer Implementierung von Google Analytics werden durch den Besuch der Website folgende Daten an Google übermittelt:
- einzigartige Online-Kennungen („unique identifier“), die sowohl den Browser als auch das Gerät identifizieren
- die Adresse und den HTML-Titel der Website sowie die Unterseiten, die besucht wurden
- Informationen zum Browser, Betriebssystem, Bildschirmauflösung, Sprachauswahl sowie Datum und Uhrzeit des Website-Besuchs
- die IP-Adresse des verwendeten Geräts
Die Aufsichtsbehörde stellte fest, dass es sich bei diesen Daten um personenbezogene Daten im Sinne der DSGVO handelt. Mit der genannten Kennung ist es netdoktor.at möglich, Website-Besucher zu unterscheiden und zu erkennen, ob es sich um einen neuen oder um einen wiederkehrenden Besucher handelt. Ein Besucher wird also aus der homogenen Menge aller Besucher herausgegriffen und mittels Kennung individualisiert. Bestärkt wird diese Annahme, dadurch, dass die einzigartige Kennnummer mit allen anderen Elementen (z.B. Browser-Daten oder IP-Adresse) kombiniert werden kann und so die Identifizierungswahrscheinlichkeit des Website-Besuchers steigert.
Um dies zu vermeiden hätte der Betreiber von netdoktor.at die Anonymisierungsfunktion der IP-Adresse von Google Analytics verwenden können. Allerdings hätte die korrekte Implementierung dieser Einstellung an der Bewertung nichts geändert. Denn die Kennung wird mit so vielen weiteren Elementen verknüpft, dass weiterhin ein Personenbezug vorliegt.
Im vorliegenden Fall ist für die Datenübermittlung von netdoktor.at an Google kein angemessenes Schutzniveau durch ein Instrument der DSGVO gewährleistet, so dass eine Datenschutzverletzung vorliegt. netdoktor.at hatte mit Google Standardvertragsklauseln abgeschlossen. Allerdings bieten diese kein angemessenes Schutzniveau, da Google durch der Überwachung durch US-Geheimdienste unterliegt und die getroffenen Maßnahmen nicht ausreichen, um diese Überwachungs- und Zugriffsmöglichkeiten auszuschließen.
In der Urteilsbegründung bezieht sich die Behörde auf die „Empfehlungen 01/2020 zu Maßnahmen zur Ergänzung von Übermittlungs-Tools zur Gewährleistung des unionsrechtlichen Schutzniveaus für personenbezogene Daten“ und insbes. darauf, dass zusätzliche Maßnahmen nur dann als effektiv zu betrachten sind, sofern diese genau die Rechtslücken schließen, die der Datenexporteur bei der Prüfung der Rechtslage im Drittland festgestellt hat. Sollte es dem Datenexporteur nicht möglich sein, ein im Wesentlichen gleichwertiges Schutzniveau zu erzielen, darf er die personenbezogenen Daten nicht übermitteln.
Als zusätzliche vertragliche, organisatorische Maßnahmen war vereinbart:
- die Betroffenen über Datenanfragen der Geheimdienste zu benachrichtigen
- einen Transparenzberichts oder eine „Richtlinie für den Umgang mit Regierungsanfragen“ zu veröffentlichen
- jede Datenzugriffsanfrage durch Geheimdienste sorgfältig zu prüfen
Als technische Maßnahmen gab Google an:
- den Schutz der Kommunikation zwischen Google-Diensten, der Schutz von Daten im Transit zwischen Rechenzentren sowie der Schutz der Kommunikation zwischen Nutzern und Websites
- eine „On-Site-Security“
- die Verschlüsselung von „Daten im Ruhezustand“ in den Datenzentren
Mit Blick auf diese dargelegten, vertraglich fixierten organisatorischen Maßnahmen ist nicht zu erkennen, inwiefern diese effektiv im Sinne des EDSA sind. Bezüglich möglicher technischer Maßnahmen ist nicht erkennbar, inwiefern diese den Zugriff von US-Geheimdiensten verhindern oder einschränken würden.
Diese Entscheidung richtet sich gegen den Website-Betreiber netdoktor.at und nicht gegen Google, da die Vorschriften der DSGVO nicht vom Datenimporteur einzuhalten sind, sondern vom Datenexporteur.
Wenn andere europäische Aufsichtsbehörden und Gerichte zu demselben Ergebnis kommen, dürfen EU-Unternehmen in Zukunft weder Google Analytics noch US-Cloud-Dienste nutzen. Einerseits müssen US-Unternehmen ihre Angebote DSGVO-konform gestalten und andererseits sollten EU-Unternehmen sich um datenschutzfreundlicheren Alternativen kümmern. Eine andere Lösung könnte die Änderung der US-Gesetze sein, wodurch die Daten von EU-Bürgern besser geschützt werden, oder auf die Daten von EU-Bürgern auf Servern außerhalb der USA kein Zugriff mehr erfolgt.
28.01.2022
Photo by Mitchell Luo on Unsplash
