Wie die Datenschutzbehörde nunmehr sogar selbst auf Ihrer Website (www.dsb.gv.at) darlegt, ist zu GZ D155.027, 2021-0.586.257 eine Entscheidung betreffend die Verwendung von Google Analytics als Analyse-Tool auf Webseiten gefällt worden. Aufgrund des der Entscheidung zugrundeliegenden Sachverhalts wurde ein Verantwortlicher, der auf seiner Website das Marketing- und Tracking-Tool Google Analytics verwendet hat, wegen eines Verstoßes gegen die Datenschutzbestimmungen der DSGVO verurteilt. Dieser Bescheid ist vorerst nicht rechtskräftig, weswegen die nachstehenden Ausführungen nicht final zu verstehen sind und eine weitergehende Befassung dieser Angelegenheit auch bei den Verwaltungsgerichten nicht unwahrscheinlich ist.
Zur Ausgangslage und Problemstellung
Nahezu jedes Unternehmen, das eine Website betreibt, verwendet zur Messung des Nutzerverhaltens und möglicherweise zum zielgerichteten Werben verschiedene Analyse- und Marketing-Tools, die allesamt gemein haben, dass sie auf der sogenannten „Cookie – Technologie“ aufbauen, also auf kleine Dateien, die im Browser des Website-Besuchers gespeichert werden und in weiterer Folge Informationen und möglicherweise personenbezogene Daten an den Website-Betreiber oder (bei Drittanbieter-Cookies) auch an Dritte wie Google übermitteln.
Dies ist auch bei Google Analytics der Fall. Google Analytics setzt verschiedene Cookies ein (aktuelle Cookie-Bezeichnungen _ga, _gid, _gat), die es je nach gewählten technischen Einstellungen ermöglichen, individuelle Webseitenbesucher zu identifizieren. In den letzten Monaten hat es – anders als es beim gegenständlichen Sachverhalt der Fall – zwar Bestrebungen von Google gegeben, eine gewisse Anonymisierung zu ermöglichen, diese allein sind wohl aber nicht ausreichend. So wurde auch etwa die Funktion „anonymize_ip“ eingeführt, die eine Anonymisierung von IP-Adressen bzw. personenbezogener Daten ermöglicht. Google verarbeitet – anonyme und nicht anonymisierte – Daten in den USA, auch die Anonymisierung von personenbezogenen Daten erfolgt in den USA.
Die Grundproblematik der nunmehrigen Situation ist, dass gem. Art. 44 DSGVO eine Übermittlung personenbezogener Daten an Drittstaaten wie die USA nur dann zulässig ist, wenn die dafür erforderlichen Voraussetzungen der DSGVO, die eine (grund)rechtskonforme Verarbeitung im Drittland erreichen wollen, erfüllt sind.
Daten können etwa aufgrund eines Angemessenheitsbeschlusses (zB. Kanada, Schweiz, u.a.), aufgrund „geeigneter Garantien“ wie etwa die Verwendung der Standarddatenschutzklauseln oder aufgrund sonstiger Ausnahmebestimmungen übermittelt werden. Ein Angemessenheitsbeschluss für die USA liegt nicht vor, die zwischen den Vereinigten Staaten und Europa vereinbarten Ausnahmen (zuvor „Safe Harbor“, danach „Privacy Shield“) wurden durch die Entscheidungen des EuGH aufgehoben. Nach der Schrems II – Entscheidung gab es zuletzt im Sommer 2020 den allgemeinen Tenor, dass durch die Anwendung von sogenannten Standarddatenschutzklauseln der EU-Kommission ein rechtssicherer Transfer in Drittstaaten ermöglicht werden kann.
Im Rahmen der „Schrems II“ Entscheidung des EuGH zu GZ C-311/18 wurde nämlich klargestellt, dass ein Drittlandverkehr in die USA infolge der US-amerikanischen Gesetzgebung Verstöße gegen die Privatsphäre ermöglicht. Dies insbesondere aufgrund des 50 U.S.Code § 1881a (oder FISA 0702 genannt), der die Möglichkeit amerikanischer Behörden, Daten zu überwachen und Datenzugriffe durchzuführen enorm erweitert. FISA 0702 ermöglicht nämlich Behörden, selbst bei großen Kommunikationsdiensten verbarbeitete personenbezogene Daten von nicht US-amerikanischen Bürgern ohne relevante Kontrolle einzusehen. Der entsprechende Rahmen ist sehr weit gefasst und erlaubt bspw. auch die Überwachung für allgemein formulierte Zwecke, wie bspw. „Informationen, die sich auf die Führung der auswertigen Angelegenheit der Vereinigten Staaten beziehen“.
Die Standarddatenschutzklauseln wurden durch die Datenschutzbehörde im nunmehr ergangenen Bescheid der Datenschutzbehörde daher als nicht ausreichend erachtet, da gemäß der Behörde zusätzliche technische und organisatorische Maßnahmen erforderlich wären, um einen Zugriff von Behörden auf personenbezogene Daten wirklich auszuschließen. (Hierzu ist anzumerken, dass zwar im gegenständlichen Sachverhalt noch die „alten“ Standarddatenschutzklauseln aus dem Jahr 2004 und 2010 verwendet wurden und nunmehr im Juni 2021 neue Standarddatenschutzklauseln durch die EU- Kommission erlassen wurden; es ist aber entgegen der zuerst geäußerten Intention der Kommission nicht davon auszugehen, dass die Verwendung der neuen Standarddatenschutzklauseln allein die nunmehr von der Behörde geäußerten Bedenken aufheben.)
Aufgrund der technischen Gestaltung von Google ist es aber mit den gängigen technischen Methoden schlicht nicht (ohne Risiko) möglich, tatsächlich den Nicht-Zugriff durch Behörden sicherzustellen. Dies ergibt sich aufgrund der technischen Gestaltung von Google Analytics und auch der von Google selbst angebotenen IP-Anonymisierung, welche unter https://support.google.com/analytics/answer/2763052?hl=de dargestellt wird. Dies, da die Verschlüsselung erst in den USA stattfindet und dementsprechend bereits vor der Verschlüsselung ein Transfer personenbezogener Daten ins Drittland erfolgt und somit auch eine Zugriffsmöglichkeit durch lokale Behörden möglich ist.
Die von der DSGVO geforderten Garantien, dass ein sicherer Drittlandtransfer erfolgt und gerade ein Zugriff auf diese Daten möglich ist, wird sohin nicht mehr gewährleistet. Dementsprechend stellt sich die Frage wie und ob Google Analytics überhaupt rechtskonform verwendet werden kann.
Kann Google Analytics rechtskonform verwendet werden?
Vorauszuschicken ist, dass diese Frage aufgrund der nunmehr ergangenen Judikatur, die noch nicht in Rechtskraft erwachsen ist, mit Sicherheit nicht abschließend geklärt werden kann – als Sofortmaßnahme infolge der hier drohenden Rechtskraft ist jedoch anzuraten, jedenfalls nicht länger alleine auf die Standarddatenschutzklauseln als „geeignete Garantien“ nach Art. 46 DSGVO zu vertrauen. Bei der Frage, ob überhaupt eine Verwendung möglich ist, sind die entsprechenden Bestimmungen der DSGVO zu durchforsten.
Als einziger „Ausweg“ bietet sich für den Fall, dass man ungeachtet der Rechtsunsicherheit Google Analytics weiterverwenden möchte, an, auf die Bestimmungen des Art. 49 DSGVO zurückzugreifen, der lautet wie folgt:
(1) Falls weder ein angemessener Beschluss nach Art. 45 Abs (3) vorliegt, noch geeignete Garantien nach Art. 46, einschließlich verbindlicher interner Datenschutzvorschriften, bestehen, ist eine Übermittlung oder eine Reihe von Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation nur unter einer der folgenden Bedingungen zulässig:
a) die betroffene Person hat in die vorgeschlagene Datenübermittlung ausdrücklich eingewilligt, nachdem sie über die für sie bestehenden möglichen Risiken derartiger Datenübermittlungen ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien unterrichtet wurde,
Dies bedeutet, dass mit Zustimmung der betroffenen Person, die ohnehin bereits für die Speicherung von Cookies an sich eingeholt werden muss, eine Datenübertragung auch an Google gerechtfertigt werden könnte. Haken an dieser Argumentation ist jedoch aus meiner Perspektive, dass in Art. 7 DSGVO die „Bedingungen für die Einwilligung“ angeführt sind, der wie folgt lautet:
(1) Beruht die Verarbeitung auf einer Einwilligung, muss der Verantwortliche nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat.
(2) Erfolgt die Einwilligung der betroffenen Person durch eine schriftliche Erklärung, die noch andere Sachverhalte betrifft, so muss das Ersuchen um Einwilligung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache so erfolgen, dass es von den anderen Sachverhalten klar zu unterscheiden ist. Teile der Erklärung sind dann nicht verbindlich, wenn sie einen Verstoß gegen diese Verordnung darstellen.
(3) Die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Die betroffene Person wird vor Abgabe der Einwilligung hiervon in Kenntnis gesetzt. Der Widerruf der Einwilligung muss so einfach wie die Erteilung der Einwilligung sein.
(4) Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, muss dem Umstand in größtmöglichem Umfang Rechnung getragen werden, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind.
Erwägungsgrund 32 zu Art. 7 DSGVO lautet:
Die Einwilligung sollte durch eine eindeutige bestätigende Handlung erfolgen, mit der freiwillig, für den konkreten Fall, in informierter Weise und unmissverständlich bekundet wird, dass die betroffene Person mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist, etwa in Form einer schriftlichen Erklärung, die auch elektronisch erfolgen kann, oder einer mündlichen Erklärung.
Dies könnte etwa durch Anklicken eines Kästchens beim Besuch einer Internetseite, durch die Auswahl technischer Einstellungen für Dienste der Informationsgesellschaft oder durch eine andere Erklärung oder Verhaltensweise geschehen, mit der die betroffene Person in dem jeweiligen Kontext eindeutig ihr Einverständnis mit der beabsichtigten Verarbeitung ihrer personenbezogenen Daten signalisiert. Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit der betroffenen Person sollten daher keine Einwilligung darstellen.
Die Einwilligung sollte sich auf alle zu demselben Zweck oder denselben Zwecken vorgenommenen Verarbeitungsvorgänge beziehen. Wenn die Verarbeitung mehreren Zwecken dient, sollte für alle diese Verarbeitungszwecke eine Einwilligung gegeben werden. Wird die betroffene Person auf elektronischem Weg zur Einwilligung aufgefordert, so muss die Aufforderung in klarer und knapper Form und ohne unnötige Unterbrechung des Dienstes, für den die Einwilligung gegeben wird, erfolgen.
Es ist davon auszugehen, dass die für die generelle Einwilligung zur Datenverarbeitung erforderlichen Grundsätze auch auf die Einwilligung zum Drittlandtransfer anzuwenden sind. Aus meiner Perspektive stellen sich demgemäß für die Praxis zwei Herausforderungen; zum einen ist eine „Standardeinwilligung“, die etwa über einen Cookie-Banner oder ein vergleichbares Tool eingeholt wird, nur schwer so zu formulieren, dass sie den Anforderungen „in informierter Weise und unmissverständlich“ eine Aufklärung über gefährliche Datenverarbeitung in Drittländern sicherzustellen, wohl nur schwer gerecht werden wird. Zum anderen ist es so, dass eine Einwilligung auch so gestaltet werden muss, dass diese jederzeit widerrufen werden kann und in weiterer Folge die Datenverarbeitung beendet werden muss.
Fazit und Handlungsempfehlung
Da sich die Situation defacto so darstellt, dass mit den verfügbaren Mitteln eine 100%ig rechtssichere Verwendung von Google Analytics nur schwer oder gar nicht bewerkstelligt werden kann, ist für Verantwortliche die wirtschaftliche Entscheidung zu treffen, ob angesichts der obigen Ausführungen, die nur einen kursorischen Überblick über die gesamte Tiefe der Thematik darstellen, eine Weiterverwendung in Betracht kommt oder nicht.
Sofern man eine 100%ige Rechtssicherheit erreichen will, ist aufgrund der schwebenden Rechtslage wohl die einzige Möglichkeit, auf europäische Alternativen umzusteigen. Will man aber das weltweit beliebteste und wohl auch effektivste Tool, Google Analytics, weiter einsetzen, kann dies nur mit einem gewissen Risiko erfolgen, dass
„Trittbrettfahrer“ der nunmehrigen Behördenentscheidung mit zivilrechtlichen Mitteln oder mit Unterstützung der Datenschutzbehörde versuchen könnten, gegen das eigene Unternehmen vorzugehen.
Sofern Sie beabsichtigen, die vorhandenen Risiken in Kauf zu nehmen und Google Analytics weiterhin einzusetzen, so wäre ein entsprechender Hinweis sowohl im Cookie-Banner als auch in der Datenschutzerklärung Ihrer Website aufzunehmen. Mit diesem Hinweis und einer entsprechend formulierten Datenschutzerklärung (samt technischen Begleitmaßnahmen) ist aus meiner Perspektive eine weitere Verwendung unter Hinweis auf Art. 49 DSGVO trotz eines gewissen Risikos rechtlich vertretbar.
Eine allgemein gültige Musterformulierung dafür können wir in diesem Rahmen leider nicht zur Verfügung stellen, da aufgrund der Behördenentscheidung klar wurde, dass die individuell ergriffenen ToM’s für die Verarbeitung mit Google Analytics (Anonymisierungseinstellungen usw.) ebenfalls erwähnt werden sollten. Gerne können wir uns dies aber gemeinsam anschauen und eine Formulierung ausarbeiten.
Wir hoffen jedenfalls, dass es bald Rechtssicherheit zum transatlantischen Datentransfer gibt. Es lässt sich nämlich aus einer wirtschaftlichen Perspektive der Eindruck nicht ganz verhindern, dass Europa für die eigenen Unternehmen Wettbewerbsnachteile gegenüber allen anderen internationalen Mitbewerbern schafft, indem es verhindert, dass diese das mit Abstand beliebteste und effektivste Analyse- und Werbetool auf eigenen Webseiten einsetzen. Aber das ist eine andere Seite der Medaille…