Einsatz von Google Analytics führt zu 1 Millionen Euro Bußgeld

Die schwedische Aufsichtsbehörde hat kürzlich ein Bußgeld i. H. v. 12 Millionen schwedischen Kronen (ca. 1 Millionen Euro) aufgrund unzulässiger Datenübermittlungen in Drittländer gegen das Telekommunikationsunternehmen Tele2 verhängt. Die Unternehmen Coop und Dagens Industri hingegen erhielten lediglich eine Verwarnung der Aufsichtsbehörde, da diese stärkere Schutzmaßnahmen implementiert hatten. Nach Ansicht der schwedischen Aufsichtsbehörde waren die ergriffenen Maßnahmen durch Tele 2 nicht ausreichend, um Zugriffe von Geheimdiensten auf die übermittelten personenbezogenen Daten im Zusammenhang mit dem Einsatz von Google Analytics wirksam zu verhindern. Die Pressemitteilung der schwedischen Aufsichtsbehörde sowie die Bescheide sind hier abrufbar (englische Versionen finden Sie hier).

Sachverhalt

Im August 2020 reichte die Organisation NOYB, der auch der Datenschutzaktivist Max Schrems angehört, gegen Unternehmen die Google Analytics oder Facebook Connect einsetzten 101 Beschwerden bei den zuständigen Aufsichtsbehörden ein, da die Organisation der Auffassung war, dass aufgrund des Wegfalls des EU-US Privacy Shields (vgl. EuGH-Urteil vom 16.07.20 C-311/18) kein angemessenes Datenschutzniveau für die Übermittlung personenbezogener Daten in die USA gewährleistet ist. Daraufhin leitete die schwedische Aufsichtsbehörde bei den beschuldigten Unternehmen Tele2, CDON, Coop und Dagens Industri Untersuchungen ein, um festzustellen, ob die Unternehmen durch den Einsatz von Google Analytics gegen Art. 44 ff. DSGVO verstoßen hatten. Im Zuge dieser Untersuchungen stellte die Aufsichtsbehörde fest, dass zwar EU-Standardvertragsklauseln (SSC) vereinbart worden waren, die zusätzlichen Maßnahmen (z. B. Aktivierung der „Anonymisierungsfunktion für IP-Adressen“ aip) von Tele2 bzw. Google (z. B. Verschlüsselung der Daten im Ruhezustand) im Zusammenhang mit dem Einsatz von Google Analytics insgesamt jedoch unzureichend gewesen sind. Demnach verstieß das Unternehmen im Zeitraum 14. August 2020 bis Mai 2023 gegen Art. 44 DSGVO und konnte kein angemessenes Datenschutzniveau gewährleisten.

Einordnung und (mögliche) Konsequenzen

Das Bußgeld gegen Tele 2 dürfte eine deutliche Signalwirkung für Unternehmen haben die Google Analytics ausschließlich auf der Basis der vereinbarten Standardvertragsklauseln und ohne weitergehende Schutzmaßnahmen einsetzen. Die Auffassung der Aufsichtsbehörden, dass der Einsatz von Google Analytics zu unzulässigen Datenübermittlungen in Drittländer (USA) führt ist hingegen nicht neu (vgl. Entscheidungen aus Österreich, Italien und Frankreich). Allerdings wurde aufgrund dessen bisher noch kein Bußgeld verhängt. Die Bußgeldhöhe erscheint hierbei auf den ersten Blick alarmierend. Es muss jedoch berücksichtigt werden, dass die Bußgeldobergrenze von 4 % des Vorjahresumsatzes laut Bußgeldbescheid bei ca. 95 Mio. Euro lag. Demnach entspricht das Bußgeld ca. 0,04% des Vorjahresumsatzes des Unternehmens.

Wie auch andere europäische Aufsichtsbehörden, z. B. in Österreich (wir berichteten), geht die schwedische Aufsichtsbehörde ohne genauere Darlegung davon aus, dass US-Geheimdienste aufgrund der dort bestehenden Rechtslage (insbesondere § 702 FISA) auf personenbezogene Daten, die an die Google LLC übermittelt werden, zugreifen. Von Google aufgeführte Verschlüsselungsmaßnahmen werden hierbei mit Verweis auf die EDPB Guidelines 01/2020 als unzureichend gewertet und auch der Transparency Report von Google sowie die Richtlinien zum Umgang mit Anfragen von Geheimdiensten werden als nicht wirksame Maßnahme gewertet. Die „Anonymisierungsfunktion“ (aip) von Google sei zudem nicht geeignet, eine echte Anonymisierung zu bewirken, dies gelte insbesondere deshalb, da weiterhin Umkehrschlüsse möglich blieben und von Google nicht dargelegt wurde, ob die „Anonymisierung“ vor oder nach der Übermittlung der Daten in die USA erfolge.

Insgesamt ist die Argumentation der schwedischen Aufsichtsbehörde keine Überraschung, kennt man diese doch bereits aus anderen Entscheidungen. Allerdings ist im vorliegenden Fall nicht nachvollziehbar, wieso im vorliegenden Bescheid Tele 2 alleinig als Datenexporteur bezeichnet wird. Schließlich vereinbart ein Verantwortlicher der seit dem 21. März 2022 Google Analytics einsetzt, einen Auftragsverarbeitungsvertrag mit der Google Ireland Limited, in dem geregelt wird, dass  nicht der Verantwortliche, sondern der Auftragsverarbeiter, also die Google Ireland Limited, zum Datenexporteur wird (vgl. SSC Modul 3). Dementsprechend erfolgt die Übermittlung von der Google Ireland Limited (Datenexporteur) an weiteren Google-Unternehmen mit Sitz in einem Drittland (Datenimporteure) und der Verantwortliche agiert nicht unmittelbar als Datenexporteur. Zwar entscheidet der Verantwortliche der Google Analytics einsetzt über die Mittel und Zwecke der Verarbeitung sowie die Einstellungen des Tools und damit auch weitestgehend über die Daten die übermittelt werden und bleibt aufgrund von Art. 44 ff. DSGVO mittelbar haftbar, allerdings müsste die Google Ireland Limited als Datenexporteur gemäß der vereinbarten SSC Modul 3 in die Haftung mit einbezogen werden.

Was ändert sich durch Google Analytics 4?

Seit dem 1. Juli 2023 stellt Google seinen Dienst Google Analytics auf die Version Google Analytics 4 um. Das Tool hat künftig eine etwas andere Ausrichtung und liefert detailliertere Statistiken zu den geräteübergreifenden Nutzeraktivitäten und ermöglicht Tracking ohne Cookies. Gleichzeitig ermöglicht Google Analytics 4 einige neue datenschutzfreundlichere Konfiguration. So werden nach Angaben von Google die Daten auf Servern in der EU gespeichert, die Anonymisierungsfunktion ist voreingestellt und die Kürzung der IP-Adressen erfolgt auf Servern innerhalb der EU. Außerdem kann Google Signals deaktiviert, die Genauigkeit der Geoinformationen eingeschränkt, die Speicherdauer auf 2 Monate begrenzt und ein serverseitiges Tracking eingestellt werden. Insbesondere eine eigenständige Pseudonymisierung der identifizierenden Datensätze vor der Übermittlung an Google durch Nutzung des serverseitigen Trackings kann hierbei wesentlich dazu beitragen, ein angemessenes Datenschutzniveau zu gewährleisten (vgl. Verwarnungsbescheid gegen Coop).

Ausblick

Das Bußgeld macht deutlich, dass Verantwortliche angehalten sich nicht lediglich auf die vereinbarten Standardvertragsklauseln von Google zu verlassen, sondern in der Pflicht sind zu prüfen, ob die ergriffenen Maßnahmen und Einstellungen insgesamt ausreichend sind, um ein angemessenes Datenschutzniveau im Sinne der Art. 44ff. DSGVO zu gewährleisten. Hierbei wird künftig auch die möglichst datenschutzkonforme Konfiguration des Tools eine wesentliche Rolle spielen. Zudem darf aufgrund der neuesten Entwicklungen wieder etwas Optimismus aufkeimen, dass in den nächsten Tagen oder Wochen ein Angemessenheitsbeschluss für die USA durch die EU-Kommission beschlossen wird. Ob das EU-U.S. Data Privacy Framework von langer Dauer sein wird bleibt angesichts der angekündigten Klage durch NYOB (Max Schrems) allerdings ungewiss.