Die österreichische Datenschutzbehörde sagt, die Verwendung von Google Analytics verstoße gegen die DSGVO – Datenschutz

Google Analytics, ein beliebter Dienst zur Überwachung des Website-Verkehrs, der zur Bewertung des Website-Besucherverhaltens verwendet wird, wurde zum 30. Januar 2022 von fast 29 Millionen Live-Websites implementiert. Um seinen Zweck zu erreichen, erhält Google LLC bestimmte Informationen, die von der Website für seine Besucher übermittelt werden, einschließlich IP-Adressen und Cookie-Daten, die eindeutige Kennungen enthalten. Anschließend wertet Google die Daten aus und stellt dem Websitebetreiber Statistiken zur Verfügung.

In den letzten Monaten wurden insgesamt 101 Beschwerden gegen Datenexporteure in Europa wegen angeblicher Datenübermittlung in die Vereinigten Staaten unter Verstoß gegen die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union durch die Verwendung von Google Analytics eingereicht. Die erste Entscheidung in dieser Reihe wurde von der österreichischen Datenschutzbehörde (DPA) am 13. Jänner 2022 erlassen, in der festgestellt wurde, dass ein österreichisches Unternehmen gegen die DSGVO verstoßen hatte, weil es durch seine Implementierung von Google Analytics unrechtmäßig personenbezogene Daten in die Vereinigten Staaten übermittelt hatte.

Eine vorläufige Frage in diesem Fall war, ob es sich bei den an Google übermittelten Daten um personenbezogene Daten handelt, die bestimmten Übermittlungsbeschränkungen nach der DSGVO unterliegen. Obwohl IP-Adressen und Cookie-Daten eine Person möglicherweise nicht direkt identifizieren, sind Daten, die eine Person identifizieren und die bloße Möglichkeit der Identifizierung durch Kombination mit anderen Daten ermöglichen, personenbezogene Daten im Sinne des DPA. Die Datenschutzbehörde hat festgestellt, dass die an Google übertragene Kombination aus IP-Adresse und Cookie-Daten personenbezogene Daten sind, die der DSGVO unterliegen, da sie mit anderen Daten im Besitz von Google kombiniert werden könnten, um Personen zu identifizieren.

Angesichts der Schlussfolgerung der Datenschutzbehörde, dass es sich bei dieser Kombination von Daten tatsächlich um personenbezogene Daten handelt, unterlag die Übermittlung dieser Daten in die Vereinigten Staaten Artikel 44 der DSGVO, der verlangt, dass die Übermittlung personenbezogener Daten außerhalb der EU eine Rechtsgrundlage für die Übermittlung hat Transfer. Seit dem Urteil des Europäischen Gerichtshofs von 2020, mit dem das Privacy Shield als Rechtsgrundlage für Datenübermittlungen in die USA abgeschafft wurde, haben viele gehofft, Standardvertragsklauseln (SCCs) als Rechtsgrundlage für solche Übermittlungen zu verwenden. Als Rechtsgrundlage für die Übermittlung können SCCs ausreichend sein, wenn sie einen angemessenen Datenschutz gewährleisten können. Wenn der Datenschutz von CSC Lücken aufweist, können zusätzliche Maßnahmen wie Verschlüsselung oder andere Sicherungsmaßnahmen eine Rechtsgrundlage für die Übertragung schaffen, wenn sie dieses Risiko beseitigen können. Um festzustellen, ob ein angemessener Schutz durch die SCCs gewährleistet ist, wird das Schutzniveau der Daten im Empfängerland, in diesem Fall den Vereinigten Staaten, berücksichtigt.

Google ist ein Anbieter elektronischer Kommunikation und unterliegt daher der Überwachung durch US-Geheimdienste gemäß FISA. Die Datenschutzbehörde stellte fest, dass zur Gewährleistung eines angemessenen Schutzes der Daten gemäß Artikel 44 der DSGVO die SCCs und die zusätzlichen Maßnahmen im Zusammenhang mit der Übermittlung das Risiko beseitigen sollten, dass US-Geheimdienste an die Daten gelangen. Die Datenschutzbehörde stellte fest, dass CSCs und ergänzende Maßnahmen dieses Risiko nicht beseitigen oder einen angemessenen Datenschutz gewährleisten. Die Datenschutzbehörde stellte daher fest, dass die Standardvertragsklauseln und ergänzenden Maßnahmen als Rechtsgrundlage für die Übermittlung nicht geeignet waren. Die Datenschutzbehörde wies ausdrücklich darauf hin, dass die Daten zwar verschlüsselt waren, dies jedoch in Fällen, in denen der Empfänger der Daten über den Verschlüsselungsschlüssel verfügte und aufgefordert werden könnte, den Schlüssel und die Daten zusammen an US-Geheimdienste weiterzugeben, keinen ausreichenden Schutz darstellte.

Die Auswirkungen dieser Entscheidung sind enorm, aber die tatsächlichen Auswirkungen bleiben abzuwarten. Ein Einspruch könnte eingelegt werden und über 100 ähnliche Beschwerden müssen noch entschieden werden. In ihrer jetzigen Form hebt die DPA-Entscheidung mehrere wichtige Erkenntnisse hervor: (1) Die Kombination aus eindeutigen Benutzeridentifikationsnummern, IP-Adressen und Browsereinstellungen stellt personenbezogene Daten im Sinne der DSGVO dar; (2) die Nutzung von Google Analytics stellt eine Übermittlung personenbezogener Daten durch das österreichische Unternehmen an Google in den USA dar; und (3) die Übertragung wurde nicht durch die SCCs oder zusätzliche Maßnahmen von Google LLC geschützt, die ausreichen, um die DSGVO einzuhalten.

Der Inhalt dieses Artikels soll einen allgemeinen Leitfaden zu diesem Thema bieten. In Bezug auf Ihre spezielle Situation sollte fachkundiger Rat eingeholt werden.