David Cullen und David Kirton von William Fry werfen einen Blick auf die Bedenken der österreichischen Datenaufsichtsbehörde zu Google Analytics und was es bedeutet.
Die österreichische Datenschutzbehörde DSB hat kürzlich in einer langen Reihe von Streitigkeiten über die Übermittlung personenbezogener Daten aus Europa in die Vereinigten Staaten festgestellt, dass die Verwendung von Google Analytics auf einer österreichischen Website gegen europäisches Datenschutzrecht verstößt.
Das DSB traf diese Entscheidung auf der Grundlage der Tatsache, dass die Verwendung von Google Analytics die Übermittlung personenbezogener Daten in die Vereinigten Staaten beinhaltet, wo es seiner Ansicht nach keinen angemessenen Schutz vor US-Geheimdienstüberwachung genießen würde.
Der DSB kam zu dem Schluss, dass die zum Schutz dieser personenbezogenen Daten ergriffenen Maßnahmen, wie etwa die Verschlüsselung, nicht ausreichten, um diesem Risiko zu begegnen.
Die Entscheidung ist die erste auf der Grundlage von 101 Beschwerden, die die Wiener Non-Profit-Gruppe NOYB bei verschiedenen europäischen Datenschutzbehörden, darunter der irischen Datenschutzkommission, eingereicht hat.
Diese Beschwerden behaupten, dass die Übermittlung personenbezogener Daten an Google und Facebook in den Vereinigten Staaten gegen europäisches Datenschutzrecht verstößt, wie in dem weit verbreiteten Bericht festgestellt wird Fall Schrems II.
Was ist Google Analytics?
Google Analytics ist ein Tool, mit dem Website-Betreiber verfolgen können, wie Besucher ihre Websites nutzen. Beispielsweise kann es verwendet werden, um Berichte über die Anzahl der Besucher, die Browsereinstellungen der Besucher, das von ihnen verwendete Gerät und mehr zu erstellen. Dazu wird ein Cookie – ein kleiner Code – auf dem Gerät des Benutzers platziert, der ihm eine eindeutige Identifikationsnummer zuweist.
Google Analytics kann diese eindeutige Kennung auch mit anderen Informationen wie der IP-Adresse des Besuchers kombinieren, um den Besucher weiter zu verfolgen. Ist der Besucher beispielsweise in seinem Google-Konto eingeloggt, wird sein Besuch diesem Konto zugeordnet.
Der ORD stellte fest, dass dadurch ein „digitaler Fingerabdruck“ entsteht, mit dem Personen identifiziert werden können. Dieser digitale Fingerabdruck wird nicht nur vom Webseitenbetreiber verwendet. Auch Google sammelt diese Informationen und überträgt sie an seine Server in den USA.
Internationale Datenübertragungen
Die europäische Datenschutzgesetzgebung, einschließlich der DSGVO, erlaubt den freien Fluss personenbezogener Daten innerhalb des EWR sowie zwischen dem EWR und bestimmten anderen Ländern, die als angemessener Schutz personenbezogener Daten gelten, wie Kanada und Japan.
Andernfalls kann eine Übermittlung personenbezogener Daten außerhalb des EWR (einschließlich der Vereinigten Staaten) nur unter Verwendung bestimmter Mechanismen erfolgen, die in der DSGVO definiert sind.
Einer dieser Mechanismen ist die Verwendung von Standardvertragsklauseln. Dieser Mechanismus verpflichtet den Exporteur und den Importeur von Daten, einen Vertrag abzuschließen, der den Importeur verpflichtet sicherzustellen, dass die personenbezogenen Daten außerhalb des EWR ausreichend geschützt sind.
Standardvertragsklauseln allein reichen jedoch nach dem Urteil des EuGH in der Rechtssache Schrems II nicht aus.
Datenexporteure müssen auch das Schutzniveau bewerten, das personenbezogene Daten im Zielland genießen werden, und, falls dieses niedriger ist als das im EWR angebotene Niveau, zusätzliche Maßnahmen ergreifen, um diese Mängel zu beheben.
Die DSB-Entscheidung
Das DSB-Urteil folgte einer Beschwerde eines Besuchers einer österreichischen Website namens NetDoktor. Da diese Website Google Analytics verwendet, werden die personenbezogenen Daten des Besuchers, einschließlich einer eindeutigen Benutzeridentifikationsnummer, IP-Adresse und Browsereinstellungen, erfasst und an von Google betriebene Server in den USA gesendet.
Der Websitebetreiber und Google hatten die Standardvertragsklauseln abgeschlossen, und Google hatte bestimmte zusätzliche vertragliche, technische und organisatorische Maßnahmen ergriffen, um ein angemessenes Schutzniveau für personenbezogene Daten aus der EU zu gewährleisten, die in die Vereinigten Staaten exportiert werden. Dazu gehörte die Datenverschlüsselung.
Der DSB stellte jedoch fest, dass die ergriffenen Maßnahmen nicht ausreichten, um die Einhaltung der DSGVO-Vorschriften für die Übermittlung personenbezogener Daten außerhalb des EWR sicherzustellen.
Als Anbieter von elektronischen Kommunikationsdiensten, die US-amerikanischem Recht unterliegen, unterliegt Google der Einhaltung von Überwachungsanfragen von US-Geheimdiensten. Google gab bekannt, solche Anfragen von US-Behörden erhalten zu haben.
In Ermangelung weiterer Maßnahmen hat das DSB daher festgestellt, dass die Gefahr besteht, dass Geheimdienste der Vereinigten Staaten auf personenbezogene Daten, die in die Vereinigten Staaten übermittelt werden, auf eine Weise zugreifen könnten, die die Rechte der betroffenen Personen verletzen würde.
Dann untersuchte der DSB die zusätzlichen Maßnahmen, die vorhanden waren, wie z. B. Verschlüsselung, stellte jedoch fest, dass sie nicht ausreichten, um das Risiko anzugehen.
So verwies der DSB beispielsweise auf die Empfehlungen des European Data Protection Board (EDPB), wonach eine Verschlüsselung keine ausreichende Maßnahme ist, wenn der Empfänger der personenbezogenen Daten über den Verschlüsselungsschlüssel verfügt und möglicherweise aufgefordert wird, diesen Schlüssel an das zu übergeben Behörden.
Der DSB entschied daher, dass der Websitebetreiber die DSGVO-Vorschriften zur Übermittlung personenbezogener Daten außerhalb des EWR nicht eingehalten hat.
Antwort von Google
Es sei darauf hingewiesen, dass das DSB kein Fehlverhalten von Google festgestellt hat – die primäre rechtliche Verantwortung für die Datenübertragung liegt beim Verantwortlichen; in diesem Fall der Betreiber der Website.
Dennoch äußerte Google seine Besorgnis über die Entscheidung. Sein Präsident für globale Angelegenheiten und Chief Legal Officer, Kent Walker, bemerkte in a Blogeintrag dass Google in den 15 Jahren, in denen es das Tool Google Analytics anbietet, „noch nie eine Anfrage dieser Art erhalten hat [from the US authorities] das [DSB] spekuliert“.
„Wenn ein theoretisches Datenzugriffsrisiko ausreichen würde, um den Datenfluss zu blockieren, würde dies ein Risiko für viele Verlage und kleine Unternehmen darstellen, die das Internet nutzen, und die mangelnde Rechtsstabilität des internationalen Datenflusses aufzeigen, mit der das gesamte europäische und amerikanische Geschäftsökosystem konfrontiert ist ,“ er sagte.
Breitere Implikationen
Es ist wichtig zu betonen, dass die Entscheidung des DSB noch nicht rechtskräftig ist und in jedem Fall ihre Wirkung außerhalb Österreichs entfaltet. Wie bei allen regulatorischen Entscheidungen ist es spezifisch für seine Fakten.
Niemand erwartet, dass Websites in ganz Europa Google Analytics über Nacht entfernen. Da dies jedoch die erste Entscheidung auf der Grundlage von 101 von NOYB eingereichten Beschwerden ist, ist es möglich, dass wir in den kommenden Monaten ähnliche Entscheidungen in ganz Europa sehen werden.
Diese Entscheidungen können sich durchaus auf die Verwendung verschiedener Tools auswirken, nicht nur auf Google Analytics, die die Übermittlung personenbezogener Daten in die Vereinigten Staaten oder an andere Orte außerhalb des EWR beinhalten.
Der EDSB hat eine Arbeitsgruppe eingerichtet, um die Kommunikation zwischen den nationalen Behörden bezüglich dieser Beschwerden zu koordinieren und zu fördern.
Nach Mit gebaut28 Millionen Websites (darunter mehr als 70 % der 10.000 beliebtesten Websites der Welt) haben im November 2021 das Google Analytics-Tool verwendet. Es wird also eine große Anzahl von Unternehmen, Aufsichtsbehörden und Anwälten geben, die diese Entscheidungen sehr sorgfältig prüfen werden.
Diese Entscheidungen fallen vor dem Hintergrund, dass Verhandlungsführer der EU und der USA versuchen, ein neues Abkommen zu finden, um den weiteren Datenaustausch über den Atlantik hinweg zu erleichtern.
Dieses Abkommen soll den von den EU-Gerichten im Juli 2020 abgelehnten Datenschutzmechanismus ersetzen. Diese Diskussionen haben noch nicht zu konkreten Vorschlägen geführt, und die Verhandlungsführer werden keinem Abkommen zustimmen, es sei denn, „sie erfüllen nicht die in Schrems II festgelegten Standards . Entscheidung und damit zusammenhängende Angelegenheiten.
In der Zwischenzeit ist es wichtig, dass Unternehmen, die online tätig sind, sich all ihrer internationalen Datenströme bewusst sind, wissen, welche Tools sie verwenden und welche personenbezogenen Daten sie verarbeiten.
Wie die österreichische Entscheidung verdeutlicht, ist letztlich der Webseitenbetreiber rechtlich für den Schutz der personenbezogenen Daten seiner Nutzer verantwortlich.
Durch David Cullen und David Kirton
David Cullen ist Partner und Technologiegruppenleiter bei William Fry. David Kirton ist Partner bei William Frys Technologiegruppe.
Verpassen Sie nicht das Wissen, das Sie brauchen, um erfolgreich zu sein. Melden Sie sich für die täglich kurzDie unverzichtbare Zusammenfassung der Wissenschafts- und Technologienachrichten von Silicon Republic.
Professioneller Wegbereiter für Lebensmittel. Ergebener Kommunikator. Freundlicher Schriftsteller. Begeisterter Problemlöser. Fernsehfan. Lebenslanger Fan von sozialen Medien.