Mehr Infos

Google Analytics Einsatz datenschutzwirig

 
 
 
 

Am 21. September 2022 teilte die dänische Datenschutzbehörde „Datatilsynet“ in einer Pressemitteilung mit, dass der Einsatz des Analysetools Google Analytics nicht ohne Weiteres datenschutzkonform möglich ist. Die dänische Datenschutzbehörde hatte Google Analytics im Hinblick auf seine Einstellungen und die Bedingungen, unter denen das Tool zur Verfügung gestellt wird, untersucht. Daraufhin kam die dänische Datenschutzbehörde zu dem Schluss, dass die rechtmäßige Nutzung von Google Analytics über die von Google bereitgestellten Einstellungen hinausgehende Maßnahmen bedürfe. Zuletzt kamen auch andere europäische Datenschutzbehörden, wie die österreichische, italienische und französische Aufsichtsbehörde, zu diesem Ergebnis. 


Das Wichtigste in Kürze: 

  • Personenbezogene Daten von EU-Bürgern dürfen nur dann an Drittstaaten übermittelt werden, wenn in diesem Drittstaat im Wesentlichen ein der EU-vergleichbares Datenschutzniveau vorhanden ist.
  • Der Einsatz von Google Analytics ist nicht ohne Weiteres datenschutzkonform möglich, sondern es bedarf hierfür zusätzlicher Maßnahmen.
  • Die Ankündigung eines neuen Datenschutzabkommens zwischen der EU und den USA erfolgte Anfang des Jahres, ein Ergebnis ist jedoch bislang noch nicht in Sicht.  


Gemeinsame europäische Position 

Schon im Januar 2022 hat die österreichische Datenschutzbehörde eine erste Entscheidung hinsichtlich der Verwendung von Google Analytics getroffen. Auch die französische Aufsichtsbehörde erließ schon mehrere Entscheidungen zu diesem Tool. Und zuletzt hatte im Juni 2022 die italienische Datenschutzbehörde eine Entscheidung über die Nutzung von Google Analytics getroffen. Bei allen Entscheidungen stellten die Behörden fest, dass die Verwendung von Google Analytics unter den gegebenen Umständen nicht rechtmäßig möglich sei. Zwar kommt all diese Entscheidungen jeweils nur nationale Wirkung zu. Sie können jedoch als eine gemeinsame europäische Position angesehen werden. Für den Bürger, dessen personenbezogene Daten verarbeitet werden, und für die Unternehmen, die diese personenbezogene Daten verarbeiten, ist eine einheitliche Auslegung des europäischen Datenschutzrechtes von großer Bedeutung. Den eingereichten Beschwerden lag derselbe Gegenstand zugrunde, sodass in allen Fällen gemeinsam eine Arbeitsgruppe unter der Schirmherrschaft des Europäischen Datenschutzausschusses die Fälle bearbeitet hat.

Der Senior Legal Advisor der dänischen Datenschutzbehörde, Makar Juhl Holst, erklärte, dass die DSGVO die Privatsphäre der europäischen Bürger schützen solle. Dies bedeute insbesondere, dass die Bürger ohne die Weitergabe ihrer Daten an unberechtigte Dritte in der Lage sein müssen, eine Website aufzurufen. Weiter gab er an, dass nach sorgfältiger Prüfung des Tools Google Analytics, dessen Nutzung in der jetzigen Form nicht datenschutzkonform möglich sei. Erforderlich seien zusätzliche Maßnahmen. Diese Überprüfung sei von großer Bedeutung gewesen, da Google nach der österreichischen Entscheidung begonnen habe, zusätzliche Einstellungen in Bezug darauf vorzunehmen, welche Daten von dem Tool erfasst werden können. Jedoch reichen diese nach Ansicht der Aufsichtsbehörde nicht, um Google Analytics datenschutzkonform zu nutzen. 


Konsequenzen  

Unternehmen, die Google Analytics nutzen, müssen daher überprüfen, ob eine mögliche weitere Nutzung des Tools mit dem Datenschutzrecht in Einklang steht. Wenn dies nicht der Fall sein sollte, müssen die Unternehmen entweder die Nutzung datenschutzkonform gestalten oder im schlimmsten Fall die Nutzung von Google Analytics einstellen und sich eines anderen Tools bedienen. Den Aufsichtsbehörden und Datenschutzbeauftragen kommt dabei die Aufgabe zu, bei der Einhaltung des Datenschutzrechts zu unterstützen und Bürger über ihre Rechte aufzuklären. Leitlinien für die datenschutzkonforme Nutzung von Tools wie Google Analytics sind daher besonders hilfreich.  



Das Problem mit Google Analytics

Das grundlegende Problem hinsichtlich des Datenschutzes bei Google Analytics ist die Speicherung und Übermittlung vollständiger IP-Adressen der Nutzer an Google in die USA. Die Datenschutzbehörden kritisierten hier insbesondere, dass kein angemessenes Schutzniveau im Sinne von Art. 44 DSGVO für die übermittelten Daten gegeben ist.

Das bis zum „Schrems II“-Urteil bestehende EU-US Privacy Shield, das als Angemessenheitsbeschluss gemäß Art. 45 DSGVO die Übermittlung von personenbezogenen Daten zwischen der EU und der USA ermöglichte, wurde mit diesem Urteil für ungültig erklärt. Seitdem wird auf Standardvertragsklauseln zurückgegriffen, die jedoch im Einzelfall alleine nicht ausreichen. Daher bestehen weiterhin große Rechtsunsicherheiten hinsichtlich der Datenübermittlung in die USA.  


Ist eine datenschutzkonforme Nutzung von Google Analytics möglich?

Es bestehen große Unsicherheiten, ob und inwieweit es möglich ist, Google Analytics datenschutzkonform zu nutzen. Eine Reihe von Maßnahmen, die Nutzung „datenschutzkonformer“ zu gestalten, sind zumindest möglich.
Eine technische Maßnahme, die im Rahmen der Verwendung von Google Analytics relevant sein könnte, ist die Pseudonymisierung. Die französische Datenschutzbehörde hatte dazu in der Vergangenheit schon eine Anleitung für Unternehmen erstellt, die eine wirksame Pseudonymisierung mittels eines Reverse Proxy einrichten möchten.
Zudem sind Unternehmen, die Google Analytics nutzen, daran gehalten, einen Auftragsverarbeitungsvertrag mit Google zu schließen. Weiterhin bedarf es bei der Verwendung von Google Analytics der Einwilligung der Besucher einer Webseite. Diese kann beispielsweise über eine Consent-Management-Plattform („Consent-Banner“) eingeholt werden. In diesem Zusammenhang muss auch darauf geachtet werden, dass die Webseitenbesucher ausreichend über die Verwendung von Google Analytics aufgeklärt werden.
 



Steht eine Einigung zwischen USA und Europa zum Drittstaatentransfer bevor?

Für die Übermittlung personenbezogener Daten aus der EU ins außereuropäische Ausland legen Art. 44-46 DSGVO entsprechende Regelungen und Garantien fest. Bis zur Kassation durch den EuGH (Urteil vom 16.07.2020 – Az. C-311/18) diente der Angemessenheitsbeschluss für Datenübermittlungen in die USA als geeignete Garantie. Auf dieses beriefen sich standardmäßig nahezu alle US-Diensteanbieter. Die Ungültigkeit des Privacy Shields wurde vom EuGH hauptsächlich damit begründet, dass US-Sicherheitsbehörden weitreichende Zugriffsrechte auf Datenbestände haben, die durch US-Unternehmen verarbeitet werden. Dadurch sei die Sicherheit und Kontrolle der betroffenen Personen über ihre Daten nicht ausreichend garantiert. Nach dem Wegfall des „Privacy Shields“ begannen US-Unternehmen mit der Implementierung sogenannter „Standardvertragsklauseln“. Diese können unter Umständen in der von der EU-Kommission genehmigten Form gemäß Art. 46 DSGVO einen Drittstaatentransfer rechtskonform sicherstellen. Jedoch sind diese Standardvertragsklauseln nach Ansicht des EuGH ohne weitere Maßnahmen nicht immer ausreichend, um Datenschutzrisiken bei der Übermittlung personenbezogener Daten aus der EU in die USA auszuschließen. Denn im Zweifel wissen die Betroffenen nicht, ob, wie und zu welchem Zweck ihre Daten behördlich genutzt werden. Dies stellt ein hohes Datenschutzrisiko für personenbezogene Daten der betroffenen Personen dar.

Am 25. März 2022 haben US-Präsident Biden und EU-Kommissionspräsidentin von der Leyen angekündigt, sich auf ein neues transatlantisches Abkommen einigen zu wollen. Dieses soll vor allem die Schwachstellen der Datenhoheit und Datenkontrolle in den USA beheben und für einen rechtskonformen Datentransfer aus der EU in die USA sorgen. Das neue Abkommen soll verbindliche Schutzmaßnahmen enthalten, die den Zugriff der US-Nachrichtendienste beschränken. Dadurch soll erreicht werden, dass ein Zugriff nur dann erfolgt, wenn er erforderlich und verhältnismäßig ist, sodass die Rechte der Betroffenen nicht verletzt werden. Weiterhin soll ein neues zweistufiges Rechtsbehelfssystem sicherstellen, dass Beschwerden von EU-Bürgern über den Zugriff auf Daten durch US-Nachrichtendienste untersucht und überprüft werden. Dieses umfasst zudem die Einführung eines neuen unabhängigen „Data Protection Review Court“.

Weiterhin soll das Abkommen strenge Verpflichtungen für US-Unternehmen etablieren, die aus der EU übermittelte Daten verarbeiten.
Seit dieser Ankündigung im März ist allerdings noch kein Abkommen ratifiziert worden. Es bleibt abzuwarten, wann dies der Fall sein wird, damit endlich der rechtskonforme Drittstaatentransfer geregelt wird und es zu mehr Rechtssicherheit kommt. Fraglich wird aber auch dann bleiben, ob dieses Abkommen tatsächlich vor dem EuGH Bestand haben kann.
 



Ausblick  

Interessant ist, dass sich im Hinblick auf die Datenschutzkonformität von Google Analytics eine gesamteuropäische Position herausgebildet hat. Dies verdeutlicht auch die bestehende Problematik von Google Analytics. In Anbetracht dessen, kann davon ausgegangen werden, dass sich noch mehr Datenschutzbehörden der Auffassung anschließen und weitere Entscheidungen zu Google Analytics folgen werden. Insbesondere mit dem Hintergrund, dass bislang noch kein neues Abkommen ratifiziert wurde, das den Datentransfer zwischen der EU und der USA rechtskonform machen würde. Es bleibt abzuwarten, wann die Ankündigungen auf politischer Bühne in die Tat umgesetzt werden. Bis dahin sollten Unternehmen, die Google Analytics verwenden, ganz besonders auf eine datenschutzkonforme Ausgestaltung achten und gegebenenfalls auf ein anderes Tool zur Websiteanalyse wechseln.   

 

 
 
Kontakt aufnehmen