5.05.2022

Ist Google Analytics bald in der EU verboten?

Übermittlung personenbezogener Daten aus der EU in die USA

Ist Google Analytics bald in der EU verboten?

Übermittlung personenbezogener Daten aus der EU in die USA

Webanalyse-Tools gibt es viele. Das wichtigste ist aber sicherlich Google Analytics. © Andreas Prott – stock.adobe.com
Webanalyse-Tools gibt es viele. Das wichtigste ist aber sicherlich Google Analytics. © Andreas Prott – stock.adobe.com

Nach der österreichischen hat nun auch die französische Datenschutzbehörde festgestellt, dass die Nutzung des US-Webanalyse-Dienstes Google Analytics wegen der Datenübermittlung in die USA rechtswidrig ist. Sollten weitere Behörden oder gar der EuGH der Auffassung folgen, könnte das den gesamten Datenverkehr zwischen der EU und den USA ins Wanken bringen.

– ANZEIGE –

Max Schrems, der bekannte österreichische Datenschutzaktivist, hat Ende 2021 einen erneuten Sieg errungen. Diesmal geht es um den weltweit größten Webanalyse-Dienst Google Analytics. In seinem eigenen Heimatland hat seine NGO noyb (steht für: noneofyourbusiness) mit einer Musterbeschwerde für eine Entscheidung der österreichischen Datenschutzbehörde (DSB) gegen die Website netdoktor.at gesorgt: Dass die Webseite Google Analytics nutze, sei nicht mit Artikel 44 der EU-Datenschutzgrundverordnung (DSGVO) vereinbar, so die Behörde. Die Übermittlung personenbezogener Daten in die USA sei daher rechtswidrig gewesen.

Schrems hatte mit dieser Beschwerde zudem Google selbst angegriffen. Schließlich akzeptiere der Dienst Nutzerdaten unter Verletzung der DSGVO, so noyb. Diesbezüglich lehnte die DSB seine Beschwerde allerdings ab. Denn die Vorschriften der DSGVO richteten sich nur an den Datenexporteur und nicht an den -importeur in den USA, der ja selbst keine Daten offenlege.


Ganz beendet ist das Verfahren allerdings noch nicht. Es handelt sich lediglich um einen Teilbescheid (22. 12.2021, GZ. D155.027). Die DSB prüft aktuell weiter, ob Alphabet mit Google Analytics gegen andere Bestimmungen der DSGVO verstößt.

Update vom 11. Februar

Der Meinung des österreichischen Datenschutzexperten haben sich mittlerweile weitere Datenschützer angeschlossen. So ist auch die französische Datenschutzbehörde CNIL der Meinung, dass der Einsatz von Google Analytics auf Webseiten mit europäischen Besuchern nicht mit der DSGVO vereinbar ist. CNIL gilt in Europa als besonders einflussreich. Ihre Entscheidung könnte andere Staaten daher zu ähnlichen Entscheidungen bewegen. So hat auch die niederländische Datenschutzbehörde bereits einen Beschluss gegen Google Analytics angekündigt. Die DSB ist mit ihrer Einschätzung somit offensichtlich nicht allein.

Zur Begründung führt auch die CNIL an, das Statistikprogramm verstoße gegen die Vorgaben des Gesetzes zur Datenübermittlung. Die zusätzlichen Schutzmaßnahmen, die Google für den Transfer in die USA ergriffen hat, reichen ihrer Ansicht nach nicht aus, um den Zugriff auf die Daten durch US-Geheimdienste auszuschließen. Der Transfer der Daten sei nicht ausreichend geregelt.

Die CNIL empfiehlt Webseitenbetreibern zum Messen und Analysieren der Besucherzahlen ihrer Webseite ihre eigenen Dienste, die mit anonymen statistischen Daten arbeiten. Nur so ist laut der Datenschutzbehörde gewährleistet, dass keine illegalen Übermittlungen stattfinden. Französische Webseitenbetreiber haben nun einen Monat lang Zeit, um ihre Webseiten zu ändern. Dies können sie entweder tun, indem sie Google Analytics überhaupt nicht mehr nutzen oder indem sie Werkzeuge verwenden, die keine Daten aus der EU hinaustragen.

DSB: Es werden personenbezogene Daten übermittelt

Webanalyse-Tools gibt es viele. Das wichtigste ist aber sicherlich Google Analytics. Mit diesem Tracking-Programm können Webseiten-Betreiber das Verhalten ihrer Besucher detailliert analysieren. Sie können insbesondere schauen, welche Seiten sie sich wie oft angesehen haben.

Die datenschutzrechtliche Rechtmäßigkeit des Einsatzes von Webanalyse-Tools ist schon seit Jahren Gegenstand von juristischen Diskussionen. Eine viel genutzte mögliche Lösung, Datenschutzprobleme zu umgehen, ist folgende: Google Analytics bietet die Möglichkeit, die IP-Adresse der Besucher zu anonymisieren. Dazu gibt es viele Anleitungen im Netz. Die Idee dahinter: Wenn keine personenbezogenen Daten übermittelt werden, ist die DSGVO überhaupt nicht anwendbar. Tatsächlich hatte netdoctor.at diese Funktion wohl nicht korrekt genutzt. Ist das also die Lösung aller Probleme für andere Webseiten?

Offensichtlich nein! Schaut man sich die Begründung der Österreicher an, so bietet Google Analytics einfach zu viele Möglichkeiten, die Webseitenbesucher zu identifizieren. Der DSB war der Ansicht, dass bei Google Analytics sehr viele personenbezogene Daten im Sinne von Art. 4 Nr. 1 DSGVO verarbeitet werden. Darunter einzigartige Online-Kennungen, die Adresse der besuchten Seiten, Browser, Betriebssystem, Bildschirmauflösung, Sprachauswahl, Datum und Uhrzeit des Website-Besuchs. Der einzelne Webseitenbesucher sei damit auch durch andere Parameter als eine (anonymisierte) IP-Adresse identifizierbar. Eine gelungene Anonymisierung der IP-Adresse hätte deswegen an der Bewertung der DSB wohl nichts geändert. Denn die Kennung werde mit so vielen weiteren Elementen verknüpft, dass immer noch ein Personenbezug gegeben sei.

Demnach war Google Analytics also an den Vorgaben der DSGVO zu messen – und denen werde der Dienst nicht gerecht, so die Österreicher weiter.

DSB: Standardvertragsklauseln reichen nicht!

Das Hauptproblem beim Datenschutz, das aber nicht nur Google Analytics, sondern alle US-Unternehmen betrifft, ist die Übermittlung personenbezogener Daten aus der EU in die USA. Seit dem „Schrems II“-Urteil des Europäischen Gerichtshofs (EuGH, Urt. 16.07.2020, Rs. C‑311/18) können sich EU-Unternehmen dabei nicht mehr auf das transatlantische „Privacy Shield“ berufen. Denn die Luxemburger Richter urteilten, dass es US-Überwachungsgesetze amerikanischen Sicherheitsbehörden ermöglichen, auch auf Daten von EU-Bürgern zuzugreifen. Damit entspreche der Datenschutzstandard in den USA nicht dem in der EU.

Seitdem setzen europäische und US-Unternehmen beim transatlantischen Datenaustausch auf die sog. Standardvertragsklauseln, welche die EU-Kommission Anfang Juni 2021 in aktualisierter Version herausgegeben hat. Google implementierte diese Vorgaben bereits September 2021 in die eigenen Angebote – so auch in Google Analytics.

Nicht nur das – es folgte auch den „Empfehlungen 01/2020 zu Maßnahmen zur Ergänzung von Übermittlungstools zur Gewährleistung des unionsrechtlichen Schutzniveaus für personenbezogene Daten“ des Europäischen Datenschutzausschuss (EDSA). Danach müssten „zusätzliche Maßnahmen“ ergriffen werden, welche genau die Rechtslücken schließen, die im Drittland (den USA) bestehen. So versprach das US-Unternehmen etwa, man werde betroffene EU-Bürger informieren, sollten US-Geheimdienste nach ihren Daten fragen und außerdem jede Datenzugriffsanfrage sorgfältig prüfen. Auch in technischer Hinsicht sicherte Alphabet etwa eine Verschlüsselung der Daten zu.

Doch all das reiche nicht, so die österreichische Behörde. Googles Standardvertragsklauseln böten kein angemessenes Schutzniveau, um zuverlässig zu verhindern, dass die US-Nachrichtendienste nach den US-amerikanischen Gesetzen auf die Daten von EU-Bürgern zugreifen. Auch all die zusätzlichen Maßnahmen, die Google ergriffen habe, reichten nicht aus, wenn die NSA oder das FBI vor der Tür stünden. Schließlich hätten die Behörden sowohl das Recht als auch die technischen Möglichkeiten, auch auf verschlüsselte Daten zuzugreifen.

Ziehen andere Behörden oder gar der EuGH nach, wäre es mit dieser Begründung aktuell kaum mehr möglich, basierend auf den Standardvertragsklauseln legal Daten in die USA zu übermitteln. Das könnte den gesamten transatlantischen Datenverkehr ins Wanken bringen.

Wie geht es weiter?

Mit dem Ergebnis des Verfahrens sind weder noyb noch Google zufrieden – und vermutlich auch nicht der Betreiber von netdoktor.at. Noyb überlegt, dagegen vorzugehen, dass die DSB nicht gegen Google direkt vorgegangen ist. Google Analytics kann aktuell nur hoffen, das netdoktor.at ein Rechtsmittel gegen den Teilentscheid erheben wird. Dann geht das Verfahren erst zum österreichischen Bundesverwaltungsgericht und möglicherweise am Ende zum EuGH. Der hat dann die Möglichkeit, eine Entscheidung zu treffen, die auch für andere Mitgliedstaaten bindend wäre. Ob die mögliche EuGH-Entscheidung dann aber im Sinne von Google ausfallen wird, ist fraglich.

Dass es darüber hinaus zu weiteren Entscheidungen auch anderer Datenschutzbehörden in den EU-Staaten kommt, die das Potenzial haben, ebenfalls vor dem EuGH zu landen, ist zudem sicher und nur eine Frage der Zeit. Direkt nach dem EuGH-Urteil zum Privacy-Shield von 2020 hatte Schrems insgesamt 101 vergleichbare Beschwerden in 30 EU- und EWR-Staaten eingereicht. Die Beschwerden betreffen auch deutsche Webseiten wie wiwo.de, derwesten.de, express.de, tvspielfilm.de, chefkoch.de, netzwelt.de und sky.de. Im EU-Ausland sind etwa Airbnb, Ikea oder Cinemaxx betroffen. Auch weitere Beschwerden gegen Google direkt sind anhängig.

Die nächste Entscheidung wird aller Voraussicht nach von der niederländischen Aufsichtsbehörde für persönliche Daten (AP) kommen. Diese hat bereits zwei Entscheidungen für Anfang 2022 angekündigt. Zu der seit 2018 dort abrufbaren Anleitung zur „datenschutzfreundlichen Einrichtung Google Analytics‘ hat sie nun folgenden Hinweis hinzugefügt: „Bitte beachten: Die Verwendung Google Analytics‘ ist möglicherweise bald nicht mehr erlaubt“.

Auch von der deutschen Aufsichtsbehörde könnte bald etwas kommen. Denn der aktuelle Fall netdoktor.at betrifft nicht mehr nur die Österreicher. Noch während des laufenden Verfahrens wurde die Webseite an den Münchner Verlag Burda übertragen. Österreichs Datenschutzbehörde war daher nur noch zuständig, über die Datenübermittlungen im August 2020 zu entscheiden. Für die Zeit danach hat die DSB den bayerischen Landesbeauftragten für den Datenschutz ersucht, zu entscheiden, wie es mit der Webseite weitergeht und ob sie eingestellt werden muss.

Auch unabhängig von den Verfahren von noyb zeigen aktuelle Entwicklungen die Richtung, in die es gehen könne:

  • Gerade erst hatte der EU-Datenschutzbeauftragte Wojciech Wiewiórowski Anfang Januar gesagt, dass der Einsatz von Google Analytics durch das Europäische Parlament nicht mit EU-Datenschutzstandards vereinbar sei und dem Schrems II-Urteil zuwider laufe.
  • In eine ähnliche Richtung ging eine Eilentscheidung des Verwaltungsgerichts (VG) Wiesbaden gegen die Hochschule Rhein-Main. Ihr wurde – ebenfalls aufgrund des EuGH-Urteils – untersagt, auf ihrer Homepage den „Cookiebot“ einzubinden und so personenbezogene Daten wie die vollständige IP-Adresse in die USA zu übertragen.

Welche Folgen könnte diese Entwicklung haben?

Sollte am Ende wirklich feststehen, dass Google Analytics nicht datenschutzkonform einsetzbar ist – und vielleicht sogar kein Unternehmen sich mehr in zulässiger Weise auf Standardvertragsklauseln berufen kann –, hätte das drastische Folgen: Sowohl für EU-Webseitenbetreiber als auch für US-Unternehmen. Die EU-Betreiber müssten nämlich auf einen Analysedienst mit Servern in der EU umsteigen. Vermutlich sehr zum Missfallen aller US-Unternehmen, die einen ganzen Kontinent als Absatzmarkt verlieren würden.

Doch möglicherweise gibt es noch (mindestens) zwei Auswege:

  1. Zunächst könnte die neue US-Regierung unter Biden sich dafür entscheiden, die US-Gesetze zu ändern. Darin könnten entweder die Daten von EU-Bürgern besser geschützt werden oder zumindest dürfte auf die Daten von EU-Bürgern auf Servern außerhalb der USA kein Zugriff mehr erfolgen.
  2. Außerdem könnten die USA und die EU bald eine gemeinsame Lösung im Sinne eines neuen transatlantischen Datenschutz-Abkommens finden. Verhandlungen dazu sind bereits im vollen Gange.

Eines wird aber immer deutlicher: Der Transfer personenbezogener Daten zwischen der EU und den USA braucht dringend eine rechtssichere Grundlage. Sonst droht eine nicht wünschenswerte Spaltung zwischen der europäischen und amerikanischen Wirtschaft.

– urheberrechtlich geschütztes Bild –

n/a