Logo der activeMind AG

Das Ende von Google Analytics in Europa?

Inhalt

Google Analytics ist weiterhin eines der verbreitetsten Analysewerkzeuge, um Zugriffe auf Websites und Nutzerverhalten auszuwerten. Mittlerweile wird es jedoch immer schwieriger den Einsatz von Google Analytics auf Websites in der EU zu rechtfertigen.

Nach dem Urteil des Europäischen Gerichtshofs zur Ungültigkeit des Privacy Shield hat der vom Juristen und Aktivisten Max Schrems gegründete Datenschutzverein Europäisches Zentrum für digitale Rechte (noyb) 101 Beschwerden eingereicht. Die ersten Entscheidungen machen deutlich, dass der Einsatz von Google Analytics in der EU rechtswidrig ist. Es wird erwartet, dass ähnliche Entscheidungen der anderen Behörden folgen.

Auch die deutschen Aufsichtsbehörden positionieren sich immer eindeutiger gegen den Einsatz von Google Analytics. Es wird insbesondere bemängelt, dass die allgemeinen Grundsätze der Datenübermittlung in ein Drittland verletzt werden, da mit Google Analytics persönliche Nutzerinformationen an die Google-Konzernzentrale in den USA weitergegeben werden. Die Tatsache, dass die europäischen Behörden nun nach und nach US-Dienste für nicht konform erklären, erhöht vor allem den Druck auf EU-Unternehmen, auf sichere und konforme Optionen zu setzen.

In diesem Beitrag nehmen wir Google Analytics genauer unter die Lupe und analysieren die datenschutzrechtlichen Aspekte. Wir erklären zudem, was dies für Unternehmen bedeutet und ob ein akuter Handlungsbedarf besteht.

Aktuelle Entwicklungen zu Google Analytics

“23. März 2023: Das Landgericht Köln entscheidet, dass die Datenübermittlung in die USA im Rahmen von Google Analytics rechtswidrig ist”

Das Landgericht (LG) Köln untersagte der Telekom Deutschland die Übermittlung personenbezogener Daten zu Analyse- und Marketingzwecken an Google-Server in die USA. Die Klage wurde von der Verbraucherzentrale Nordrhein-Westfalen eingereicht.

Während die Verbraucherzentrale argumentiert, dass die Übermittlung personenbezogener Daten in die USA gegen die Vorgaben der DSGVO und insbesondere gegen die Anforderungen des Schrems-II-Urteils verstoße, liefert die Telekom Deutschland als Gegenargument, dass die Übermittlung personenbezogener Daten in die USA auf der Grundlage von Standardvertragsklauseln erfolgte und somit rechtmäßig sei.

Das LG Köln beruft sich auf das Schrems-II-Urteil des EuGHs, dass die Standardvertragsklauseln allein nicht ausreichen, um ein angemessenes Schutzniveau zu gewährleisten, insbesondere in Bezug auf den Zugriff der US-Behörden auf die Daten. Das Gericht betont, dass zusätzliche Maßnahmen erforderlich sind, um den Schutz personenbezogener Daten zu gewährleisten, beispielsweise durch den Einsatz von Verschlüsselung oder Pseudonymisierung. Laut Gericht reicht eine einfache Zustimmung über den Cookie-Banner über den Button „Alle akzeptieren“ für eine ausdrückliche Einwilligung für die Drittlandübermittlung in die USA zudem nicht aus.

“23. Juni 2022: Die italienische Datenschutzbehörde nimmt Stellung zum Einsatz von Google Analytics”

Die italienische Aufsichtsbehörde (Garante per la protezione dei dati personali) kommt zu dem Schluss, dass eine Website, die Google Analytics ohne zusätzliche Schutzmaßnahmen einsetzt, gegen die Vorschriften bzgl. des Drittlandtransfer der DSGVO verstößt. Die italienische Behörde hat bereits Websitebetreiber gerügt und auffordert, die Verarbeitung mittels Google Analytics innerhalb von 90 Tagen einzustellen. Weitere Überprüfungen von Websites sollen vorgenommen werden.

“10. Februar 2022: Die französische Aufsichtsbehörde CNIL folgt der Entscheidung der österreichischen Datenschutzbehörde”

Nur zwei Wochen nach der Entscheidung der österreichischen Datenschutzbehörde, entscheidet auch die französische Datenschutzbehörde (Pressemitteilung der CNIL in Englisch), dass der Einsatz von Google Analytics auf Websites nicht mit der Datenschutz-Grundverordnung (DSGVO) vereinbar ist. Obwohl Google für den Transfer in die USA zusätzliche Schutzmaßnahmen ergriffen hat, reichen diese nicht aus, um den Zugriff auf diese Daten durch US-Geheimdienste auszuschließen. Diese Entscheidung stützt sich auf eine der oben erwähnten 101 Beschwerden von noyb.

“10. Februar 2022: Die niederländische Behörde warnt vor dem Einsatz von Google Analytics und kündigt Beschluss an”

Als Reaktion auf den Beschluss der österreichischen Aufsichtsbehörde warnt nun auch die niederländische Datenschutzbehörde (AP) vor dem Einsatz von Google Analytics. Sie informiert nicht nur über die Entscheidung der Datenschutzbehörde Österreichs, sondern hat bereits ihre Anleitung (in Niederländisch) zur datenschutzfreundlichen Einrichtung Google Analytics entsprechend aktualisiert. Auch wenn die AP ihre Anleitung bisher nicht zurückgezogen hat, ist diese nun mit dem Warnhinweis versehen, dass die Verwendung Google Analytics möglicherweise bald nicht mehr erlaubt sei. Zudem kündigt die Behörde an, dass sie selbst zwei Beschwerden über die Verwendung Google Analytics in den Niederlanden untersucht.

“12. Januar 2022: Entscheidung der österreichischen Datenschutzbehörde”

Als erste nationale Aufsichtsbehörde traf die österreichische Datenschutzbehörde einen Beschluss zu einer der Beschwerden von noyb zum Einsatz von Google Analytics. Die Aufsichtsbehörde erachtet den Einsatz von Google Analytics auf Websites gegen die Bestimmungen der DSGVO zu Drittlandübermittlungen und daher als rechtswidrig. Die Behörde sieht vor allem die allgemeinen Grundsätze der Datenübermittlung gemäß Art. 44 DSGVO verletzt, da mit dem Analyseprogramm von Google persönliche Nutzerinformationen an den Mutterkonzern in den USA weitergegeben werden.

“5. Januar 2022: Verwarnung des EU-Parlaments durch den EU-Datenschutzbeauftragten”

Anfang Januar 2022 hat der europäische Datenschutzbeauftragte (EDSB) das EU-Parlament für den Einsatz von Tracking mittels Google Analytics sanktioniert. Es handelt sich hierbei um eine der 101 Beschwerden, die der vom Juristen und Aktivisten Max Schrems gegründete Datenschutzverein noyb in ganz Europa eingereicht hat. In seinem Beschluss hebt der EDSB hervor, dass auf einer internen Corona-Test-Seite des EU-Parlaments Google Analytics rechtswidrig eingebunden wurde. Der EDSB bestätigte, dass bei der Übermittlung der Daten durch Google Analytics in die USA kein angemessenes Schutzniveau vorliegt. Das EU-Parlament konnte keine entsprechenden Nachweise vorlegen. Zudem war das Cookie-Banner, über den die Nutzer in die Verarbeitung ihrer Daten einwilligen, unklar und irreführend.

“1. Dezember 2021: Position der Konferenz der unabhängigen Datenschutzaufsichtsbehörden”

Schon kurz vor Weihnachten hat sich die deutsche Datenschutzkonferenz der Aufsichtsbehörden der Länder (DSK) sehr streng zum Thema Transfer von Trackingdaten in Drittländer positioniert. In ihrer Orientierungshilfe (dort auf der letzten Seite) positioniert sich die DSK klar gegen den Einsatz solcher Tools, zu denen auch Google Analytics gehört. Somit ist der Einsatz im Grunde nicht rechtskonform möglich.

Zudem vertritt die DSK die Meinung, dass die Einwilligung nach Art. 49 Abs. 1 a) DSGVO für den Drittlandtransfer nicht heranziehbar ist. Diese Rechtsauffassung ist jedoch umstritten, da, wenn man ihr folgt, eine Bevormundung der Bürger stattfindet. Ein informierter Bürger sollte selbst über seine Daten entscheiden können. Die Auffassung der DSK könnte man als einen Eingriff in das Grundrecht auf informationelle Selbstbestimmung ansehen. Hier wird es wohl zu einer richterlichen Entscheidung kommen müssen, um Klarheit zu schaffen.

Datenschutzrechtliche Aspekte bei Google Analytics

Google Analytics ist mittlerweile nicht nur ein Tool zur statistischen Analyse (Reichweitenmessung), sondern hat sich zu einem umfassenden Werkzeug entwickelt, mit dem Websitebetreiber ihre Website-Performance nachvollziehen und das Verhalten sowie die Bedürfnisse ihrer Besucher analysieren können. Um diesen Service anbieten zu können, verarbeitet Google Analytics auch personenbezogene Daten.

Die Komplexität der Einstellungen bei Google Analytics ist jedoch sehr hoch. Die Erfassung der (personenbezogenen) Daten erfolgt häufig unbewusst und bleibt somit oft auch unbemerkt.

Werden tatsächlich personenbezogene Daten mit Hilfe Google Analytics verarbeitet?

Je nach Ausprägung und Konfiguration zeichnet Google Analytics unterschiedliche Datenkategorien und -mengen der Websitebesucher auf. Google Analytics verarbeitet zumindest immer die IP-Adressen und die Cookie-Daten der Websitebesucher sowie weitere Nutzerdaten, wie z.B. Informationen zum Browser, Betriebssystem und Datum und Uhrzeit des Websitebesuchs.

Regelmäßig werden wir als Datenschutzbeauftragte mit der Ansicht konfrontiert, dass diese Daten keine personenbezogenen Daten sind und der Websitebetreiber keine Rückschlüsse auf Einzelpersonen nehmen kann. Auch Google behauptet in den Google Analytics-Hilfen, dass die erfassten Nutzungsdaten keine „personenidentifizierbaren Informationen“ seien. Dass diese Aussage nicht korrekt ist, wird in den folgenden Ausführungen deutlich.

“Exkurs: Online-Kennungen als personenbezogene Daten nach Art. 4 DSGVO”

Laut der Definition in Art. 4 Ziffer 1 DSGVO sind personenbezogene Daten alle jene Daten, mit denen man eine natürliche Person in irgendeiner Form identifizieren kann. Die Definition erwähnt explizit Online-Kennungen, wie sie eben auch von Google genutzt werden, mit denen eine Zuordnung abgeleitet werden kann und durch die eine Person identifizierbar wird.

Beachten Sie, dass eine Identifizierbarkeit nicht voraussetzt, dass solche Nummern auch mit einem eindeutig bestimmbaren Datum, wie zum Beispiel dem Namen der Person, in Verbindung zu bringen sind. Laut Definition stellt bereits ein digitaler Fußabdruck, der es erlaubt, den konkreten Nutzer eindeutig zu individualisieren, ein personenbezogenes Datum dar. Aufgrund der Einzigartigkeit der Google-Analytics-Kennnummern ist die Bedingung damit erfüllt, zumal diese Kennungen mit weiteren Nutzerdaten (wie Browserdaten oder IP-Adressen) kombiniert werden. Somit ist eine Identifizierung des Nutzers umso wahrscheinlicher.

Es ist auch nicht ausschlaggebend, ob eine Identifizierung tatsächlich vorgenommen wird. Allein die Möglichkeit, eine Person identifizieren zu können reicht aus, dass die DSGVO anwendbar ist.

Dass die Mittel zur Identifizierbarkeit beim Einsatz von Google Analytics bei Google liegen und nicht bei dem jeweiligen Websitebetreiber, hat keinen Einfluss auf diese Betrachtung. Es ist auch nicht erforderlich, dass der Betreiber der Website alleine einen Personenbezug herstellen kann und somit alle für die Identifizierung erforderlichen Informationen vorliegen hat. Es ist vielmehr ausreichend, dass eine beliebige Person und mit vertretbarem Aufwand (in diesem Falle Google) diesen Personenbezug herstellen kann. Dies lässt sich auch aus Erwägungsgrund 26 DSGVO ableiten, wonach bei der Frage der Identifizierbarkeit nicht nur die Mittel des Verantwortlichen (Websitebetreiber) zu berücksichtigen sind, sondern auch jene „einer anderen Person“. Nicht zu vergessen ist auch, dass die DSGVO darauf abzielt, betroffenen Personen einen möglichst großen Schutz ihrer Daten zu bieten, unabhängig davon, wer die Daten verarbeitet.

Die von Google Analytics gesetzten Cookies wie z.B. „_ga“ bzw. „cid“ enthalten Client IDs und das Cookie „_gid“ User IDs, welche auf dem Endgerät bzw. dem Browser abgelegt werden. Sowohl bei Client IDs als auch bei User IDs handelt es sich um eindeutige Nutzer-Identifikations-Nummern, also Online-Kennungen, die der Identifizierbarkeit natürlicher Personen dienen und einem Websitebesucher konkret zugeordnet werden.

Mithilfe der Google-Analytics-Kennnummern ist es also möglich, Websitebesucher zu unterscheiden und z.B. auch die Information zu erhalten, ob es sich um einen neuen oder um einen wiederkehrenden Websitebesucher handelt. Hierauf verweist auch bereits die DSK und stellt klar, dass es sich bei den von Google Analytics verarbeiteten Nutzungsdaten und sonstigen gerätespezifische Daten, die einem bestimmten Nutzer zugeordnet werden können, um personenbezogene Daten im Sinne der DSGVO handelt.

Des Weiteren findet eine noch eindeutigere Zuordnung statt, sobald ein Websitebesucher zum Zeitpunkt des Besuchs einer Website, auf welcher Google Analytics eingebunden ist, mit seinem eigenen Google-Account eingeloggt ist.

Nicht nur die von Google Analytics gesetzten Cookies beinhalten personenbezogene Daten. Auch bei der Verarbeitung der IP-Adresse handelt es sich um ein personenbezogenes Datum, insbesondere weil diese – wie auch bei den Cookies – mit weiteren Elementen, insbesondere den Google-Analytics-Kennnummern, kombiniert werden können.

In einer Stellungnahme gegenüber der österreichischen Datenschutzbehörde führt Google an, dass sofern Google-Analytics-Daten als personenbezogene Daten angesehen werden, diese als Pseudonym betrachtet werden müssen. Auch diese Aussage ist nicht haltbar. Die DSK hat in ihrer Orientierungshilfe für Anbieter von Telemedien bereits im März 2019 überzeugend dargestellt, dass die Tatsache, dass die Nutzer etwa über IDs oder Kennungen bestimmbar gemacht werden, keine Pseudonymisierungsmaßnahme i.S.d. DSGVO darstellt. Anders als in Fällen, in denen Daten pseudonymisiert werden, um die identifizierenden Daten zu verschleiern oder zu löschen, sodass die betroffenen Personen nicht mehr adressiert werden können, werden die Google-Analytics-Kennungen dazu genutzt, die einzelnen Website-Besucher unterscheidbar und adressierbar zu machen.

Problem IP-Anonymisierung

Regelmäßig wird geltend gemacht, dass die Auswertungen anhand Google Analytics anonym durchgeführt werden und kein Bezug zu einem bestimmten User ermöglicht wird. Websitebetreiber können durch die Funktion „_anonymizeIp()“ im Trackingcode die Kürzung der IP-Adressen veranlassen.

Die Kürzung der IP-Adresse stellt zwar eine zusätzliche Maßnahme gemäß Art. 25 Abs. 1 DSGVO (Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen) dar, sie führt jedoch nicht dazu, dass die vollständige Datenverarbeitung anonymisiert erfolgt. Zum einen ist anzubringen, dass die IP-Adresse zunächst einmal vollständig erhoben und erst in einem zweiten Schritt nachträglich anonymisiert wird. Zum anderen findet unabhängig von den gewählten Einstellungen die Datenverarbeitung durch Google Analytics, wie oben geschildert, nicht anonymisiert statt. Denn neben dem Einsatz der IP-Adresse werden weitere Nutzungsdaten erhoben, die als personenbezogene Daten zu bewerten sind. Somit ist in jedem Fall der Anwendungsbereich der DSGVO eröffnet, also auch wenn die Kürzung der IP-Adressen veranlasst wird.

Findet eine Weitergabe von Daten statt?

Standardmäßig verwendet Google Besucherdaten von Google Analytics für eigene Zwecke, um seine Dienste zu verbessern. Je nach Konfiguration werden zudem Daten an Google und an Nutzer anderer Google-Produkte weitergegeben, z.B. an Google Ads und YouTube. Google weist in seinen Nutzungsbedingungen selbst darauf hin, dass die erhobenen Daten auch für eigene Zwecke genutzt werden bzw. eine Weitergabe an andere Google-Dienste stattfindet.

Durch das Sammeln von Daten aus mehreren Quellen können aber zusätzliche Benutzermerkmale wie Geschlecht und Standort ermittelt werden. Beispielsweise können, Dank des Google Analytics-Codes auf der Unternehmenswebsite, Werbetreibende in Google Ads die Präferenzen der Besucher anhand des von ihnen konsumierten Inhalts auswerten. Dies ermöglicht es wiederum, diese User mit Werbung anzusprechen.

Mit den von Google Analytics gesammelten Daten kann Google also Nutzerprofile von den Websitebesuchern erstellen.

Problem Drittlandtransfer

Sobald personenbezogene Daten in ein Drittland übermittelt werden, muss geprüft werden, ob geeignete Garantien für diesen Transfer vorliegen. Google verteilt die über Google Analytics gesammelten Daten auf zufällig ausgewählte Cloud-Rechenzentren, von denen sich die meisten in den USA befinden.

Da für die USA kein Angemessenheitsbeschluss vorliegt, müssen Standardvertragsklauseln hinzugezogen werden. Der Europäische Gerichtshof (EUGH) hat mit seinem Urteil vom 16. Juli 2020 („Schrems II“, Az.: C-311/18) ausgeführt, dass der Empfänger der Daten allein auf Grundlage der Standardvertragsklauseln den erforderlichen Datenschutz im betroffenen Drittland jedoch nicht garantieren kann. Zudem kann es Situationen geben, in denen die in den Klauseln enthaltenen Regelungen möglicherweise kein ausreichendes Mittel darstellen, um in der Praxis den effektiven Schutz der in das betreffende Drittland übermittelten personenbezogenen Daten zu gewährleisten. Dies ist regelmäßig dann der Fall, wenn das Recht dieses Drittlandes dessen Behörden Eingriff in die Rechte der betroffenen Person bezüglich dieser Daten erlaubt. Die Klauseln werden schließlich zwischen den betroffenen Unternehmen abgeschlossen und staatliche Behörden sind regelmäßig nicht Vertragspartei und somit nicht an den Inhalt gebunden.

Sofern das Recht des Drittlandes sich auf die Wirksamkeit von geeigneten Garantien wie die Standardvertragsklauseln auswirkt, muss der Datenexporteur die Datenübermittlung entweder aussetzen oder zusätzliche Maßnahmen implementieren.

Aufgrund der Rechtslage in den USA und der Durchführung von behördlichen Überwachungs-Programmen (z.B. gestützt auf Section 702 FISA), bietet der bloße Abschluss von Standardvertragsklauseln kein angemessenes Schutzniveau nach Art. 44 DSGVO für die Datenübermittlung an Google in die USA.

Somit sind Websitebetreiber aufgefordert neben dem Abschluss der Standardvertragsklauseln zusätzliche Maßnahmen zu implementieren. Im Zusammenhang mit der Nutzung von Tracking-Dienstleistungen, wie eben Google Analytics, ist es in der Regel nicht möglich, ergänzende Maßnahmen zu implementieren.

In seinen Empfehlungen 01/2020 zu ergänzenden Maßnahmen zu Übertragungsinstrumenten für internationale Datentransfers stellt der auch Europäische Datenschutzausschuss (EDSA) klar, dass es derzeit keine technischen Lösungen gibt – weder für das Cloud-Computing noch für konzerninterne Datentransfers. Vor allem ist eine ausreichende Verschlüsselung der Daten nicht möglich, da wegen der Notwendigkeit des Datenzugriffs durch den Empfänger auf unverschlüsselte Daten die Verschlüsselung ja zeitweise aufgehoben werden muss.

Regelmäßig sichern Dienstleister wie Google ergänzende Vertragsklauseln zu, um die Daten im Drittland zu schützen, z.B. die Verpflichtung des Datenimporteurs, dem Datenexporteur unverzüglich mitzuteilen, wenn es ihm Änderungen der Sicherheitsgesetze unmöglich machen, seine vertraglichen Pflichten zu erfüllen. Solche vertraglichen Verpflichtungen dürften jedoch regelmäßig nicht ausreichend sein, da solche vertraglichen Maßnahmen den Zugriff nicht verhindern können. Hinzu kommt, dass insbesondere amerikanische Behörden betroffenen Unternehmen anordnen können, ihre Kunden nicht über den Auskunftsersuch zu informieren (sogenannte Gag Order). Hier nochmals der Hinweis, dass vertraglichen Maßnahmen jeglicher Art die Behörden des Drittlands im Allgemeinen nicht binden können, wenn diese nicht selbst Vertragspartei sind.

Von Google ergriffene Maßnahmen

Als Reaktion auf die datenschutzrechtlichen Anforderungen in der EU setzt Google seit September 2021 die neuen Standardvertragsklauseln für die eigenen Cloud-Dienste ein. Zudem kündigt das Unternehmen an, Verschlüsselungen stärker einsetzen zu wollen und vereinbart zusätzliche vertragliche, technische und organisatorische Maßnahmen mit seinen Vertragspartnern. In den Datenschutzrichtlinien von Google ist unter anderem Folgendes zu finden:

  • Benachrichtigung der Betroffenen über Datenanfragen der Geheimdienste (sofern dies im Einzelfall überhaupt zulässig ist).
  • Veröffentlichung eines Transparenzberichts oder einer „Richtlinie für den Umgang mit Regierungsanfragen“.
  • Sorgfältige Prüfung jeder Datenzugriffsanfrage durch Geheimdienste.
  • Schutz der Kommunikation zwischen Google-Diensten, Schutz bei der Übermittlung der Daten im Transit zwischen Rechenzentren, sowie Schutz der Kommunikation zwischen Nutzern und Websites.
  • Implementierung einer „On-Site-Security“.
  • Verschlüsselung von „Daten im Ruhezustand“ (data at rest) in den Datenzentren.

Inwiefern solche Maßnahmen dazu beitragen, das erforderliche Datenschutzniveau zu gewährleisten, ist nicht erkennbar. Aus diesen Maßnahmen lässt sich nicht ableiten, wie eine sorgfältige Prüfung einer Datenzugriffsanfrage eine effektive Maßnahme darstellt, um den Zugriff von US-Geheimdiensten zu verhindern bzw. einzuschränken.

Auch die von Google vorgebrachten Verschlüsselungstechnologien lassen nicht erkennen, wie diese die Zugriffsmöglichkeiten von US-Behörden auf Grundlage des US-Rechts tatsächlich verhindern oder einschränken. Vor allem die Verschlüsselung von „Daten im Ruhezustand“ in den Rechenzentren von Google stellt keine geeignete Garantie dar. Dies wird auch ausdrücklich in den Empfehlungen 01/2020 des EDSA hervorgehoben und ausgeführt, dass ein Datenimporteur, welcher der FISA 702 unterliegt, wie eben Google, eine direkte Verpflichtung hat, den Zugriff auf importierte Daten, die sich in seinem Besitz oder Gewahrsam oder unter seiner Kontrolle befinden, zu gewähren oder diese herausgeben muss. Diese Verpflichtung erstreckt sich somit auch auf die kryptografischen Schlüssel, ohne die die Daten nicht lesbar sind.

Da es Websitebetreibern derzeit nicht möglich ist, mit zusätzlichen Maßnahmen ein im Wesentlichen gleichwertiges Datenschutzniveau zu erzielen, darf ein Dienst wie Google Analytics in dieser Ausprägung nicht genutzt und somit auch nicht auf der Website eingebunden werden.

Einwilligung als Lösung?

Da im Zusammenhang mit der Einbindung von Google Analytics und der Nutzung der Dienstleistungen keine geeigneten Garantien herangezogen werden können, ist zu überprüfen ob ein Ausnahmetatbestand gemäß Art. 49 DSGVO vorliegt. Infrage kommt hier die Übermittlung aufgrund einer ausdrücklichen Einwilligung des Betroffenen (lit. a).

Websitebesucher müssen deutlich darauf hingewiesen werden, dass Daten in den USA gespeichert werden und sowohl Google als auch staatliche Behörden auf diese Daten Zugriff haben und gegen Letzteres keine Rechtsbehelfe bestehen.

Ob die Einwilligung als ein Ausnahmetatbestand für den Drittlandtransfer herangezogen werden kann, wird derzeit in Expertenkreisen diskutiert.

Als Argumente gegen die Einwilligung als Ausnahmetatbestand spricht insbesondere die Anforderung, dass eine Einwilligung für den konkret vorliegenden Einzelfall eingeholt werden muss. Argumentiert wird, dass eine Generaleinwilligung für die dauerhafte Übermittlung von Daten in ein Drittland zu einem oder mehreren Zwecken nicht auf Art. 49 Abs. 1 lit. a) DDSGVO gestützt werden kann. Aus Erwägungsgrund 111 DSGVO geht hervor, dass die Übermittlung nur gelegentlich erfolgen darf. Handelt es sich um eine wiederholte Übermittlung, wie bei Google Analytics der Fall, kann die Einwilligung als Ausnahme von der Regel, dass personenbezogene Daten nur dann an ein Drittland übermittelt werden dürfen, wenn dieses Drittland einen angemessenen Datenschutz bietet oder alternativ dazu geeignete Garantien zur Anwendung gebracht werden, nicht herangezogen werden. Auch die DSK vertritt in Ihrer Orientierungshilfe vom Dezember 2021 (Seite 323) die Auffassung, dass die Einwilligung für den Drittlandtransfer nicht herangezogen werden kann, da der Umfang und die Regelmäßigkeit dem Charakter des Art. 49 DSGVO widerspricht.

Dementgegen werden Äußerungen geltend gemacht, dass durch solch eine Rechtsauffassung eine Bevormundung der Bürger stattfindet. Ein informierter Bürger sollte selbst über seine Daten entscheiden können. Somit liegt ein Eingriff in das Grundrecht auf informationelle Selbstbestimmung vor.

Aus den Stellungnahmen des EDSA und der DSK kann zwar entnommen werden, welche Anforderungen die Behörden an die Einwilligung bzgl. des Drittlandtransfers haben, jedoch haben diese keinen verbindlichen Charakter. Eine endgültige Überprüfung unterliegt nach wie vor den Gerichten.

Erwähnt sei an dieser Stelle noch, dass für eine wirksame Einwilligung der Websitebetreiber immer auch die Anforderungen aus Art. 7 DSGVO erfüllen muss. D.h. neben der Information über den Drittlandtransfer und die damit verbundenen Verarbeitungen, müssen Betroffene Information über die Datenverarbeitung durch den Verantwortlichen erhalten, also auch über die Verarbeitungen, die Google zu eigenen Zwecken vornimmt. Vor allem letzteres wird regelmäßig Schwierigkeiten bereiten, da Google nicht klar angibt, wofür die Daten verarbeitetet werden. Unabhängig vom Drittlandtransfer wird es also schwierig sein, eine informierte Einwilligung von Websitebesuchern einzuholen.

Neben der Informiertheit und der Freiwilligkeit der Einwilligung ist zudem darauf zu achten, dass eine entsprechende Willenserklärung vom Websitebesucher erteilt sein muss, bevor Daten mithilfe von Google Analytics verarbeitet werden.

Fazit: Finger weg von Google Analytics

Im Grunde ist der Einsatz von Google Analytics derzeit nicht rechtskonform möglich. Man könnte sogar so weit gehen und aus den obigen Darstellungen die Schlussfolgerung ziehen, dass EU-Unternehmen eigentlich gar keine US-Cloud-Dienste mehr nutzen können. Als Ersterheber der Daten ist immer der Websitebetreiber dafür verantwortlich konforme Lösungen zu nutzen und zu implementieren. Die Entscheidungen der Aufsichtsbehörden richten sich demnach immer an die Betreiber der Websites und nicht an Google Analytics. Websitebetreiber werden aufgefordert, die Nutzung der Google-Analytics-Funktionalität unter den derzeitigen Bedingungen einzustellen und auf Werkzeuge zu setzen, die keine persönlichen Informationen ein unsicheres Drittland übertragen.

US-Unternehmen müssten ihre Dienste technisch so anpassen, dass sie mit der DSGVO konform sind. Leider sehen wir derzeit nur die Tendenz, dass ein paar schicke Werbetexte in die Datenschutzrichtlinien eingefügt werden und das EuGH-Urteil weiterhin ignoriert wird.

Unternehmen, die nicht auf Google Analytics verzichten möchten, können es natürlich darauf ankommen lassen, dies auf Grundlage der Einwilligung nach Art. 49 DSGVO zu tun. Interessant wäre es allemal, wie die Gerichte diesem Ansatz gegenüberstehen.

Weiterlesen

Newsletter

Sichern Sie sich das Wissen unserer Experten.

Zweimal im Monat alles Wichtige zu Datenschutz, Informationssicherheit und künstlicher Intelligenz.