Sind die Tage von Google Analytics gezählt?

Mehrere Datenschutz-Aufsichtsbehörden in Europa sorgen aktuell mit Entscheidungen zum beliebten Analysedienst Google Analytics für Unruhe unter Website-Betreibern. Aber sind die Aussagen der Behörden wirklich die Paukenschläge, zu denen sie gemacht werden? Wie verbindlich sind die Vorgaben? Und was können Betreiber jetzt tun, um ihr Risiko zu reduzieren?

Rechtlicher und technischer Hintergrund

Google Analytics sammelt mit Hilfe eines Cookies personenbezogene Daten von Website-Besuchern, u.a. IP-Adressen, und übermittelt diese an Google Server in den USA, wo die Daten analysiert und verarbeitet werden. Für eben diese Übermittlung in die USA sind die besonderen Vorgaben der Art. 44 ff. der Datenschutzgrundverordnung (DSGVO) zu beachten, durch welche sichergestellt werden soll, dass die Daten auch außerhalb der EU einem angemessenen Schutzniveau unterliegen.

Vorgeschichte: Das Schrems II – Urteil des EuGH

Bis in den Sommer 2020 war dies aufgrund des zwischen der EU und den USA abgeschlossenen Datenschutzabkommens “Privacy Shield” relativ unproblematisch möglich. Dieses wurde jedoch vom Europäischen Gerichtshof im Schrems II-Urteil vom 16.07.2020 (Az. C-311/18) für unwirksam erklärt, sodass zahlreiche Datenübermittlungsvorgänge in die USA von einem Tag auf den anderen problematisch wurden. Als neue Grundlage kommen seitdem nur noch andere Instrumente der DSGVO in Betracht, insbesondere die sogenannten Standarddatenschutzklauseln (SCCs), welche zwischen dem datenexportierenden und dem datenimportierenden Unternehmen abgeschlossen werden müssen. Alternativ denkbar ist die Übermittlung auf Grundlage einer Einwilligung der betroffenen Personen, wobei diese gemäß Art. 49 Abs. 1 lit. a DSGVO hierbei auf die mit der Übermittlung verbundenen Risiken hingewiesen werden müssen.

Google selbst stellte sich auf den Standpunkt, dass die Nutzung von Google Analytics und die damit verbundene Datenübermittlung in die USA auf Grundlage von Standarddatenschutzklauseln zulässig sei und integrierte solche in seine Nutzungsbedingungen mit den Website-Betreibern.

Entscheidungen der Datenschutz-Aufsichsbehörden

Zwei aktuelle Entscheidungen von Aufsichtsbehörden stellen nun klar, dass diese Praxis von Google (wohl) nicht zulässig sein dürfte. So untersagte der Europäische Datenschutzbeauftragte (EDSB) dem EU-Parlament am 05.01.2022 den Einsatz von Google Analytics auf einer Website. Hintergrund: Der EuGH hatte in der Schrems II-Entscheidung festgehalten, dass Datenübermittlungen auf Grundlage von SCCs allenfalls dann zulässig seien, wenn durch zusätzliche Maßnahmen sichergestellt werde, dass die Daten insbesondere vor dem Zugriff durch US-Sicherheitsbehörden geschützt werden. Einen entsprechenden Nachweis muss das datenexportierende Unternehmen führen können. Dies ist jedoch in der Praxis häufig schlicht unmöglich, gerade wenn Daten an Konzerne wie Google übermittelt werden. Mit diesem Argument begründete der EDSB auch seine Entscheidung.

Mit der gleichen Begründung untersagte auch die Österreichische Datenschutzbehörde (ÖDSB) mit Bescheid vom 22.12.2021 einem Unternehmen den Einsatz von Google Analytics:

“In Bezug auf die dargelegten vertraglichen und organisatorischen Maßnahmen ist nicht erkennbar, inwiefern [die Maßnahmen] effektiv im Sinne der obigen Überlegungen sind.”

“Sofern die technischen Maßnahmen betroffen sind, ist ebenso nicht erkennbar (…) inwiefern [die Maßnahmen] die Zugriffsmöglichkeiten von US-Nachrichtendiensten auf der Grundlage des US-Rechts tatsächlich verhindern oder einschränken..”

Damit dürfte klar sein, dass der Einsatz von Google Analytics auf Grundlage von SCCs jedenfalls nach Auffassung der Datenschutz-Aufsichtsbehörden nicht weiter zulässig sein wird.

Google Analytics weiterhin zulässig mit Einwilligung?

Was in den beiden genannten Entscheidungen nicht geklärt wurde ist die Frage, ob die Datenübermittlung in die USA auf Grundlage einer Einwilligung gemäß Art. 49 Abs. 1 lit. a DSGVO denkbar wäre. Solche Einwilligungen waren von den beiden Website-Betreibern schlichtweg nicht eingeholt worden und deshalb nicht Gegenstand der Verfahren. Eine solche Einwilligung könnte im Rahmen eines sogenannten “Consent Tools” möglicherweise gemeinsam mit der generellen Zustimmung des Nutzers zur Cookie-Verwendung abgefragt werden. Voraussetzung wäre, dass die betroffene Person “über die für sie bestehenden möglichen Risiken derartiger Datenübermittlungen (…) unterrichtet wurde”.

Die deutschen Datenschutzbehörden sind jedoch der Auffassung, dass US-amerikanische Trackingdienste wie Google Analytics auch nicht auf einer solchen Grundlage genutzt werden können. Diese Auffassung begründen sie in einem Positionspapier vom 01.12.2021 wie folgt:

Personenbezogene Daten, die im Zusammenhang mit der regelmäßigen Nachverfolgung von Nutzerverhalten auf Webseiten oder in Apps verarbeitet werden, können grundsätzlich nicht auf Grundlage einer Einwilligung nach Art. 49 Abs. 1 lit. a DS-GVO in ein Drittland übermittelt werden. Umfang und Regelmäßigkeit solcher Transfers widersprechen regelmäßig dem Charakter des Art. 49 DS-GVO als Ausnahmevorschrift und den Anforderungen aus Art. 44 S. 2 DS-GVO.

Auswirkungen auf die Praxis

Es ist darauf hinzuweisen, dass es sich bei Untersagungen von Datenschutz-Aufsichtsbehörden zunächst “nur” um verwaltungsrechtliche Anordnungen handelt, ausgesprochen von Behörden, die ihrer Funktion nach naturgemäß sehr streng sind. Betroffene Unternehmen haben die Möglichkeit, sich gegen solche Untersagungen gerichtlich zu wehren. Urteile von europäischen Gerichten gibt es zu den aufgeworfenen Fragen bisher nicht. Ob bereits einzelne Klagen betroffener Unternehmen anhängig sind, ist derzeit nicht bekannt.

Klar ist aber auch, dass die Argumente der Aufsichtsbehörden ein gewisses Gewicht haben. Gerade bei der Frage, ob Google Analytics auf Grundlage von SCCs verwendet werden darf, dürfte sich abzeichnen, dass sich auch Gerichte den Behörden hier anschließen werden.

Weitgehend unklar ist noch die Frage, ob und wenn ja unter welchen konkreten Voraussetzungen der Einsatz von Google Analytics auf Grundlage einer Einwilligung zulässig sein könnte. Zwar haben sich die deutschen Aufsichtsbehörden auch hierzu positioniert, jedoch lässt die bisher dünne Argumentation aus unserer Sicht noch Spielraum.

Was können Website-Betreiber jetzt tun?

Klar ist, dass die Nutzung von Google Analytics nur noch unter gewissen Risiken oder mit einigen Anpassungen möglich sein dürfte. Die Aufsichtsbehörden der EU und Österreichs haben Duftmarken gesetzt und es ist davon auszugehen, dass andere Behörden auf der entsprechenden Linie folgen werden. Es kann auch nicht ausgeschlossen werden, dass Abmahner die Entscheidungen zum Anlass nehmen, um gegen Website-Betreiber vorzugehen.

Insbesondere wer sich allein auf die Wirksamkeit von SCCs verlässt, dürfte in einem möglichen Verfahren keine besonders guten Karten haben. Das Mindeste, was Website-Betreiber tun sollten, ist (jedenfalls zusätzlich zu den SCCs) eine Einwilligung gemäß Art. 49 Abs. 1 lit. a DSGVO in ihr Consent Tool zu integrieren.

Noch sinnvoller ist sicher eine Lösung auf technischer Ebene, beispielsweise durch serverseitiges Tracking, welches den Website-Besucher gewissermaßen von Google entkoppelt. Das Branchenmagazin t3n hat in einem aktuellen Beitrag vom 17.01.2022 einige interessante Lösungsansätze aufgezeigt.

Es bleibt mit Spannung abzuwarten, wie Google selbst auf die Entwicklungen reagiert. Es ist nicht davon auszugehen, dass der Konzern untätig dabei zusieht, wie eins seiner wichtigsten Produkte vom europäischen Markt gedrängt wird. Auch die europäische Digitalwirtschaft dürfte ein massives Interesse daran haben, dass die Politik zeitnah Rahmenbedingungen schafft, die einen Datenexport in die USA vereinfachen und entsprechend lobbyieren.

Photo by Agence Olloweb on Unsplash

0 replies

Leave a Reply

Want to join the discussion?
Feel free to contribute!

Leave a Reply

Your email address will not be published.