In Österreich verstößt die Nutzung von Google Analytics gegen die DSGVO. Wie sieht es in Deutschland aus?
Die österreichische Datenschutzbehörde hat entschieden, dass die Übermittlung von personenbezogenen Daten beim Einsatz von Google Analytics gegen die DSGVO verstößt. Was bedeutet die Entscheidung für deutsche Unternehmen, die auf ihrer Internetseite Google Analytics einsetzen? In diesem Blog-Beitrag versuchen wir Antworten auf die wichtigsten Fragen in diesem Zusammenhang zu geben.
Worum geht es?
In der Entscheidung der österreichischen Datenschutzbehörde vom 22. Dezember 2021 geht es um die Vorgaben der Datenschutzgrundverordnung (DSGVO) für die Übermittlung personenbezogener Daten bei Google Analytics. Hintergrund ist die Beschwerde bei der österreichischen Datenschutzbehörde, die sich sowohl gegen das österreichische Unternehmen, das auf seiner Website Google Analytics eingesetzt hatte, als auch gegen die Google LLC richtet. Das österreichische Unternehmen hatte mit der Google LLC eine Vereinbarung über die Auftragsverarbeitung abgeschlossen, die auch Standardvertragsklauseln für Drittlandübermittlungen nach Art. 46 Abs. 2 lit. c DSGVO enthielt.
Der Beschwerdeführer sah in den Vereinbarungen mit Google keine ausreichende Grundlage für die Übermittlung seiner Daten in die USA. Die Beschwerdegegner argumentierten, bei Google Analytics würden keine personenbezogenen Daten übermittelt. Selbst wenn eine solche Übermittlung vorliege, seien ausreichende zusätzliche Maßnahmen ergriffen worden. Schließlich liege auch deshalb kein Verstoß vor, weil die DSGVO einem „risikobasierten Ansatz“ folge und die betroffene Person allenfalls sehr geringen Risiken ausgesetzt sei.
Was ist die Kernaussage der Entscheidung?
Die österreichische Datenschutzbehörde sieht in der Datenübermittlung eine Verletzung der Art. 44 ff. DSGVO. Für Google Analytics seien personenbezogene Daten des Beschwerdeführers in die USA übermittelt worden. Insbesondere die dem Browser bzw. dem Endgerät zugeordnete Online-Kennungen („unique identifier“) sowie die IP-Adresse seien als personenbezogene Daten im Sinne der DSGVO einzuordnen. Für die Übermittlung dieser Daten sei das Unternehmen als Betreiber der Website datenschutzrechtlich verantwortlich.
In Übereinstimmung mit den Ausführungen des EuGHs im sog. Schrems II-Urteil führt die Datenschutzbehörde weiter aus, dass die Datenübermittlung nicht allein auf die mit der Google LLC abgeschlossenen Standarddatenschutzklauseln gestützt werden könne. Vielmehr müsse der Verantwortliche zusätzliche Maßnahmen treffen, um ein unionsrechtlich angemessenes Schutzniveaus zu gewährleisten. Dies sei im vorliegenden Fall nicht geschehen. Die von den Beschwerdegegner angeführten Schutzmaßnahmen seien im Ergebnis nicht ausreichend, um die betroffenen Daten vor den mit einer Drittlandübermittlung verbundenen Risiken – etwa aufgrund von Zugriffsmöglichkeiten von US-Nachrichtendiensten – zu schützen. Insbesondere seien die von Google LLC ergriffenen Maßnahmen zur Verschlüsselung und Pseudonymisierung der Daten nicht ausreichend. Die von Google angebotene Funktion zur Anonymisierung der IP-Adresse sei zudem durch den Webseitenbetreiber nicht korrekt implementiert worden.
Auffällig ist, dass sich die Datenschutzbehörde in ihrer Begründung nicht selbst zu den Ausführungen der Beschwerdegegner zu einem risikobasierten Ansatz der DSGVO-Bestimmungen zur Drittlandübermittlung verhält. Die Beschwerdegegner hatten argumentiert, dass im Rahmen der rechtlichen Bewertung berücksichtigt werden müsse, dass „Cookie-Daten“ in der Regel keine „Foreign Intelligence Information“ darstellen und daher das Risiko eines Zugriffs durch US-Dienste gering sei. Die Datenschutzbehörde ist dieser Argumentation nicht gefolgt. Es bleibt aber unklar, ob die Datenschutzbehörde einen risikobasierten Ansatz grundsätzlich ablehnt oder ob sie im zu beurteilenden Fall von einem hinreichenden Risiko ausging.
Ein Bußgeld hat die Datenschutzbehörde nicht verhängt.
Gilt die Entscheidung auch für deutsche Unternehmen?
Unmittelbar verbindlich ist die Entscheidung nur für die am Verfahren beteiligten Unternehmen. Die im Bescheid enthaltenen rechtlichen Erwägungen sind für Dritte aber insoweit relevant, als damit zu rechnen ist, dass die österreichische Datenschutzbehörde vergleichbare Sachverhalte ähnlich entscheiden wird. Es bleibt zudem abzuwarten, ob Rechtsmittel eingelegt werden und ob in diesem Fall das österreichische Bundesverwaltungsgericht die Entscheidung bestätigt.
Für die Aufsicht über Unternehmen mit Hauptniederlassung in Deutschland ist aber im Grundsatz die zuständige deutsche Landesdatenschutzbehörde federführend zuständig.
Zu berücksichtigen ist weiterhin, dass sich die Entscheidung der österreichischen Datenschutzbehörde – ebenso wie z. B. auch bereits in Deutschland die Hinweise der DSK zum Einsatz von Google Analytics vom 12. Mai 2020 – auf die kostenlos verfügbare Standardversion von Google Analytics beziehen. Unternehmen setzen aber häufig auch die „Business-Variante“, nämlich Google Analytics 360, ein.
Ist damit zu rechnen, dass auch deutsche Behörden tätig werden?
Im Nachgang zur Schrems II-Entscheidung des EuGHs hat die NGO noyb 101 Beschwerden gegen Unternehmen in 30 EU- und EWR-Mitgliedstaaten eingereicht. Die vorliegende Entscheidung der österreichischen Datenschutzbehörde ist lediglich die erste Beschwerde, über die entschieden wurde.
Auch gegen die Datenverarbeitung durch fünf deutsche Unternehmen, die die Dienste von Google und Facebook nutzen, wurden Beschwerden bei den zuständigen Landesdatenschutzbehörden eingelegt. Demensprechend ist davon auszugehen, dass ähnliche Verfahren jedenfalls bei den Datenschutzbehörden in Hamburg, Bayern, Baden-Württemberg, Nordrhein-Westfalen und Berlin laufen.
Unabhängig davon sind die deutschen Datenschutzbehörden nicht erst, aber insbesondere seit der Schrems II-Entscheidung für das Thema der Drittlandübermittlung bei der Nutzung von US-Dienstleistern auf Webseiten deutscher Unternehmen sensibilisiert.
Ist die Entscheidung auf aktuelle Fälle anwendbar?
Gegenstand der Entscheidung ist die Datenübermittlung bei der Nutzung von Google Analytics an die Google LLC. Dies ist auf den ersten Blick irritierend, weil Anbieterin von Google Analytics in der EU eigentlich die Google Ireland Limited ist (vgl. Bescheid, S. 11). Allerdings wurden die „Auftragsverarbeitungsbedingungen für Google Werbeprodukte“ und Standardvertragsklauseln mit der Google LLC abgeschlossen (Bescheid, S. 15).
Nach den aktuellen Nutzungsbedingungen für Google Analytics für die Standardversion vom 31. März 2021 ist Anbieter von Google Analytics die Google Ireland Limited. Diese beziehen in Ziffer 7 auch die Datenverarbeitungsbedingungen für Google Ads vom 27. September 2021 ein. Die Vertragspartei der Datenverarbeitungsbedingungen ist identisch mit den Nutzungsbedingungen und damit ebenfalls die Google Ireland Limited. Hier liegt ein nicht unwesentlicher Unterschied zu dem österreichischen Fall.
Im Grundsatz ist daher davon auszugehen, dass Unternehmen, die Google Analytics auf Grundlage der aktuellen Vertragsbedingungen nutzen, Daten allein an die Google Ireland Limited übermitteln. Die Google Ireland Limited darf nach den Datenverarbeitungsbedingungen personenbezogene Daten an die Konzernunternehmen übermitteln. Sofern diese Google-Konzernunternehmen ihren Sitz in einem Staat außerhalb der EU/EWR haben, für den kein Angemessenheitsbeschluss der Kommission besteht, gelten für die Übermittlung gemäß Ziffer 10.3 (b) (i) (A) der Datenverarbeitungsbedingungen die „Standardvertragsklauseln (EU Auftragsverarbeiter-an-Auftragsverarbeiter, Google als Exporteur)“ („Google-SVK“).
Die Google-SVK beruhen auf dem Modul 3 der Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer aus dem Beschluss der EU-Kommission vom 4. Juni 2021 („SVK-2021“). Die durch den EuGH aufgestellten und im Nachgang des Urteils durch den EDSA konkretisierten Anforderungen an zusätzliche Maßnahmen findet sich in Klausel 14 SVK-2021. Die Pflicht zur Durchführung eines Transfer Impact Assessments und zur entsprechenden Umsetzung hinreichender zusätzlicher Maßnahmen trifft den Auftragsverarbeiter als Exporteur (d. h. Google Ireland Limited) und den Importeur (d. h. der jeweilige Unterauftragsverarbeiter von Google, also insbesondere die Google LLC) und nicht den Verantwortlichen (d. h. das Unternehmen, das Google Analytics einsetzt).
Allerdings wird von einem überwiegenden Teil in der juristischen Literatur vertreten, aus der Verantwortlichkeit des Auftraggebers gemäß Art. 28 DSGVO für den gesamten Verarbeitungsvorgang folge eine allgemeine Pflicht zur Überwachung des Auftragsverarbeiters.
Was können Unternehmen jetzt tun?
Auch wenn die Entscheidung der österreichischen Behörde von noyb erwartungsgemäß als bedeutender Sieg gegen Google gefeiert wird, lassen sich die Kernaussagen der Entscheidung nicht uneingeschränkt auf andere Konstellationen übertragen. So ist zu berücksichtigen, dass die Entscheidung auf einen Sachverhalt aus August 2020 bezieht. Seitdem haben sich sowohl das Produkt Google Analytics als auch das von Google angebotene Vertragswerk geändert. Insbesondere werden Vereinbarungen zum Datenschutz nach den aktuellen Datenverarbeitungsbedingungen – wie dargestellt – nicht mehr mit der amerikanischen Google LLC, sondern mit der irischen Google Ireland Limited geschlossen (siehe oben). Die Entscheidung lässt außerdem offen, inwiefern die Behörde auch bei richtiger Implementierung der Funktion zur Anonymisierung der IP-Adresse einen Verstoß angenommen hätte.
Dennoch ist damit zu rechnen, dass auch Datenschutzbehörden in Deutschland den Einsatz von Google Analytics auch künftig kritisch hinterfragen werden. Unternehmen, die Google Analytics weiter einsetzen möchten, sollten daher überprüfen, ob dies auf Grundlage der aktuellen Vertragsbedingungen erfolgt, die lediglich eine (direkte) Datenübermittlung an die irische Google Ireland Limited vorsehen. Dabei ist ggf. auch zu untersuchen, ob Google Ireland bei Weiterübermittlungen in die USA ein angemessenes Schutzniveau gewährleistet. Zudem sollte die Funktion zur Anonymisierung der IP-Adresse korrekt implementiert sein. Schließlich sollten Unternehmen mit Blick auf eine etwaige Prüfung der Datenschutzbehörden dokumentieren, wie der Einsatz von Google Analytics datenschutzrechtlich begründet wird.