Am 13. Januar 2022 erklärte der Österreichische Datenschutzbeauftragte (ÖDSB) im Verfahren „noyb gegen ein österreichisches Unternehmen und Google“ die Nutzung von Google Analytics für unzulässig. Wir erläutern Ihnen hier die Hintergründe, wie es um den Datenschutz bei Google Analytics steht und was die Entscheidung für deutsche Unternehmen bedeutet.
Wer ist eigentlich noyb und was haben sie mit der Entscheidung zu tun?
Noyb ist eine europäische Non-profit-Organisation, die sich unter dem Ehrenvorsitz des Datenschützers, Juristen und Aktivisten Max Schrems dem Datenschutz, insbesondere der Durchsetzung des Schrems-II-Urteils, verschrieben hat. Sein Datenschutz Verein noyb hat im Jahr 2021 eine große Beschwerdewelle losgetreten gegen eine Vielzahl an Unternehmen, die aus ihrer Sicht unzulässige Cookie-Banner nutzen. Aber auch im Jahr 2020 wurden schon Beschwerden gegen 101 Unternehmen eingereicht, bezogen auf deren Nutzung von US-Tools. Eine dieser Beschwerden führte nun erstmalig zu einer Entscheidung des ÖDSB.
Auf welcher Grundlage basiert die Beschwerde?
Die Beschwerde bezieht sich auf das Schrems-II-Urteil des Europäischen Gerichtshofs (EuGH), welches bisher nur spärlich durchgesetzt wurde. Im Urteil wurde das „Privacy-Shield“, auf dessen Grundlage Daten an Unternehmen in den USA transferiert werden konnten, für ungültig erklärt. Zusätzlich stellte der EuGH klar, dass auch der Abschluss von Standarddatenschutzklauseln mit US-Unternehmen nicht mehr pauschal als Grundlage für den Datentransfer in die USA herangezogen werden kann. Denn diese binden in erster Linie die beiden Vertragsparteien und können so den Zugriff der US-Sicherheitsbehörden nicht verhindern. Genau dieser Zugriff von US-Behörden gefährdet aber die Rechte und Freiheiten betroffener Personen und ist Grund dafür, dass für die USA kein angemessenes Datenschutzniveau angenommen wird. Der EuGH fordert daher zusätzlich zu den Standarddatenschutzklauseln besondere Maßnahmen zur Sicherung der Daten.
Warum steht Google Analytics in der Kritik?
Diese besonderen Maßnahmen wurden vom ÖDSB im Fall von Google Analytics geprüft. Sie können grundsätzlich in Form von vertraglichen, technischen und organisatorischen Maßnahmen vorliegen. Vertragliche und organisatorische Maßnahmen wurden vom ÖDSB von vorneherein als nicht ausreichend bewertet. Google selbst beschrieb u.a. als Maßnahme, dass Anfragen von US-Behörden (welche laut den Transparenzberichten von Google regelmäßig anfallen) sorgfältig geprüft werden. Diese Prüfung verhindere aber keinen Zugriff und sei damit unzureichend. Aber auch die technischen Maßnahmen wie Verschlüsselung reichten nicht aus: US-Behörden haben einen Herausgabeanspruch auch hinsichtlich der zur Verschlüsselung verwendeten Schlüssel, sodass die Verschlüsselung nutzlos sei. Solange also Google selbst die personenbezogenen Daten auslesen kann, könne auch kein Schutz vor US-Behörden angenommen werden. Auch die Pseudonymisierung der Daten wurde betrachtet und als nicht ausreichend bewertet: Die Pseudonymisierung erfolgt mittels Nutzer-Kennungen (IDs). Deren Zweck sei es aber gerade, die Nutzer unterscheidbar zu machen, sodass kein Schutz vor Identifizierung vorläge. Auf die IP-Anonymisierung wurde im konkreten Fall zwar nicht eingegangen, allerdings stellte der ÖDSB fest, dass es auf eine Prüfung der IP-Anonymisierung nicht ankomme – der digitale Fußabdruck der Nutzer könne auch mit anonymisierter IP nachvollzogen werden. Der ÖDSB stellt insgesamt fest, dass die getroffenen technischen Maßnahmen nicht als erweiterte Maßnahmen i.S.d. Schrems-II-Urteils ausreichten, die Datenübermittlung also aufgrund des weiterhin möglichen Zugriffs durch US-Behörden gegen Art. 44 DSGVO verstößt und daher unzulässig ist.
Was bedeutet der Fall für deutsche Unternehmen?
Die Entscheidung des ÖDSB hat zwar zunächst keine unmittelbare Auswirkung auf deutsche Unternehmen. Allerdings wird der Fall teilweise an die zuständige deutsche Aufsichtsbehörde weitergegeben, da das beschuldigte Unternehmen auch eine .de-Website für deutsche Nutzer betreibt. Es wird also über kurz oder lang auch in Deutschland zu einer aufsichtsbehördlichen Entscheidung kommen, die sich vermutlich an dem Ergebnis des ÖDSB orientieren wird. Außerdem wurde schon am 11.01.2022 bekannt, dass der Europäische Datenschutzbeauftragte das EU-Parlament für die Nutzung von Google Analytics mit einer Unterlassungsanordnung sanktioniert hat. Es ist davon auszugehen, dass der Einsatz von Google Analytics und anderen Tools mit Drittlandbezug künftig verstärkt im Fokus der Aufsichtsbehörden steht.
Was sollten Unternehmen jetzt tun?
Tools, bei deren Nutzung Daten in die USA oder ein anderes unsicheres Drittland transferiert werden, sollten genau geprüft und eine Risikobewertung vorgenommen werden. Es sollten zusätzliche Maßnahmen zur Sicherung solcher Datentransfers ergriffen oder gegebenenfalls zu alternativen Lösungen ohne Drittlandtransfers gewechselt werden.
Sie sind sich unsicher, wie Sie und Ihr Unternehmen sicher agieren können? Wir helfen Ihnen gerne weiter! In einem individuellen Beratungsgespräch analysieren wir gemeinsam mit Ihnen die Verwendung von Tools in Ihrem Unternehmen und finden anschließend eine Lösung, damit Sie weiterhin einfach und sicher datenschutzkonform arbeiten können. Wir freuen uns über Ihre Nachricht!
Dieser Artikel wurde am 11.02.2022 veröffentlicht. Datenschutzexperte.de übernimmt keine Haftung für die Aktualität des Artikels. Ereignisse, Urteile oder Umstände, die nach dem 11.02.2022 eingetreten sind, beziehen sich nicht auf die in diesem Artikel getroffenen Aussagen.
Autor: Team datenschutzexperte.de
Artikel veröffentlicht am 11.02.2022