Als der EuGH im Juli 2020 sein „Schrems II“-Urteil verkündete und darin feststellte, dass eine Übermittlung an US-Provider, die unter FISA 702 und EO 12.333 fallen, regelmäßig dazu führt, dass ein angemessenes Datenschutzniveau nicht gewährleistet werden kann, da das „Privacy Shield“ mit dem Urteil für ungültig erklärte wurde, war das Entsetzen zunächst groß. Gleichzeit bestätigte der EuGH aber auch, dass Übermittlungen weiterhin auf Standardvertragsklauseln gestützt werden können, sofern diese im gegebenen Kontext unter Berücksichtigung der getroffenen technischen und organisatorischen Maßnahmen geeignet sind, ein angemessenes Datenschutzniveau zu gewährleisten. Dementsprechend zeigten sich Großkonzerne wie die Microsoft Corporation, Meta Platforms Inc. (Facebook), Amazon Inc. oder Alphabet Inc. (Google) zunächst unbeeindruckt und beriefen sich auf die bereits zuvor eingesetzten Standardvertragsklauseln.

Am 22.12.2021 wurde nun eine Entscheidung der österreichischen Datenschutzbehörde (DSB) bekannt, welche aufgrund einer Musterbeschwerde von nyob hin ergangen ist. Diese birgt inhaltlich erheblichen Sprengstoff, da diese ganz konkret die Übermittlung personenbezogener Daten in die USA aufgrund der Nutzung des Trackingtools „Google-Analytics“ auf einer österreichischen Website als nicht DSGVO-konform und damit als Datenschutzverstoß bewertet.

Die DSB stützt ihre konkrete Entscheidung im Grundsatz darauf, dass zum maßgeblichen Beurteilungszeitpunkt (August 2020) die Webseitenbetreiberin als datenschutzrechtlich Verantwortliche durch die Implementierung des Tools Google Analytics personenbezogene Daten an die Google LL.C als Auftragsverarbeiter in die USA übermittelt hat, ohne ein angemessenes Datenschutzniveau zu gewährleisten. Trotz Standarddatenschutzvertragsklauseln und getroffener technisch organisatorischer Maßnahmen, steht diese Datenübertragung nach Auffassung der DSB gleichwohl nicht in Einklang mit den Vorgaben des Kapitel V der DSGVO.

Dazu kurz zusammengefasst wie folgt:

Angemessenheitsbeschluss nach Art. 45 DSGVO

Auf Art. 45 DSGVO (Angemessenheitsbeschluss) konnte die Datenübertragung im konkret zu beurteilenden Fall nicht gestützt werden, da der EuGH in seinem Urteil unmissverständlich klargestellt hat, dass der EU-US Angemessenheitsbeschluss („Privacy Shield“) ungültig ist (vgl. das EuGH-Urteil vom 16. Juli 2020, C-311/18 Rz. 201 f).

Geeignete Garantien nach Art. 46 DSGVO

Die Parteien hatten zwar im vorliegenden Fall Standardvertragsklauseln abgeschlossen und damit ein vom EuGH ausdrücklich eingeräumtes Mittel zur Absicherung der Datenübermittlung genutzt. Allerdings reichte dies der DSB nicht aus, zumal selbst der EuGH in seinem Urteil darauf hingewiesen hat, dass diese Klauseln lediglich einen Vertrag zwischen zwei Parteien darstellen und aufgrund des einschlägigen Rechts in den USA und den dort etablierten behördlichen Überwachungsprogrammen nicht geeignet sind, ein hinreichendes Datenschutzniveau zu gewährleisten.

Dies gilt insbesondere auch vor dem Hintergrund, dass Google als Anbieter elektronischer Kommunikationsdienste im Sinne von 50 U.S. Code § 1881(b)(4) zu qualifizieren ist und somit der Überwachung durch US-Nachrichtendienste gemäß 50 U.S. Code § 1881a („FISA 702”) unterliegt. Google ist demnach nicht nur verpflichtet, den US-Behörden auf Anforderung personenbezogene Daten zur Verfügung zu stellen, sondern wie sich aus dem „Transparency Report“ ergibt, werden derartigen Anfragen auch regelmäßig an Google gestellt. Standardvertragsklauseln alleine stellen insoweit bereits ihrer Natur nach keine geeigneten Schutzmechanismen oder Garantien im Sinne des Art. 46 DSGVO dar.

Die weiteren und zusätzlich zu den Standarddatenschutzvertragsklauseln von Google implementierten technischen und organisatorischen Maßnahmen (toM) wie z. B.: Verschlüsselung von Daten in den Datenzentren bieten nach Auffassung der Datenschutzbehörde ebenfalls keinen hinreichenden Schutz, zumal Google auch insoweit dem 50 U.S. Code § 1881a („FISA 702”) unterliegt, welcher Google dazu verpflichten würde, den Zugriff auf die Daten inklusive etwaiger Verschlüsselungsschlüssel auf Anforderung der US-Sicherheitsbehörden zu gewähren.

Auch bei der von Google im konkreten Fall weiter vorgenommenen Pseudonymisierung handelt es sich nach Einschätzung der DSB, die sich selbst dabei auf die Einschätzung der deutschen Datenschutzkonferenz (DSK) stützt, nicht um geeignete Garantien zur Einhaltung der Datenschutzgrundsätze oder zur Absicherung der Rechte betroffener Personen, weil zur (Wieder-) Erkennung der Nutzer IP-Adressen, Cookie-IDs, Werbe-IDs, Unique-User-IDs oder andere Identifikatoren zum Einsatz kamen. Anders als in Fällen, in denen Daten pseudonymisiert werden, um die identifizierenden Daten zu verschleiern oder zu löschen, so dass die betroffenen Personen nicht mehr adressiert werden können, werden gerade IDs oder Kennungen dazu genutzt, die einzelnen Individuen unterscheidbar und adressierbar zu machen. Ein ausreichendes Schutzniveau stellt sich folglich nach Auffassung der Aufsichtsbehörde auch unter Berücksichtigung der zusätzlich getroffenen Schutzmaßnahmen nicht ein.

Ist ein DSGVO konformer Einsatz von Google Analytics nach dieser Entscheidung nicht mehr möglich?

So weit, so schlecht (oder aus datenschutzrechtlicher Sicht vielleicht auch positiv).

Doch führt diese Entscheidung letztlich wirklich dazu, dass Google Analytics zukünftig nicht mehr eingesetzt werden darf, wenn man sich DSGVO-konform verhalten möchte? Riskiert man mit dem Einsatz des beliebten Tools einen reputationsschädlichen und mitunter teuren Datenschutzverstoß?

Wohl eher nicht – oder zumindest nicht so schnell.

Setzt ein Verantwortlicher heute Google Analytics ein, wird ein Auftragsverarbeitungsvertrag mit der Google Ireland Limited vereinbart, wodurch nicht der Verantwortliche, sondern der Auftragsverarbeiter, also die Google Ireland Limited, zum Datenexporteur wird. Dementsprechend erfolgt die Übermittlung von der Google Ireland Limited (Datenexporteur) an weitere Google-Unternehmen mit Sitz in einem Drittland (Datenimporteure) und der Verantwortliche agiert nicht (mehr) unmittelbar als Datenexporteur. Für diese Übermittlung bestätigt Google in den aktuellen Nutzungsbedingungen und dem darin einbezogenen Auftragsverarbeitungsvertrag, dass das Modul 3 (AV zu AV) der „neuen“ Standardvertragsklauseln zwischen der Google Ireland Limited und den jeweiligen Unterauftragsverarbeitern vereinbart wurden. Die Google Ireland Limited hat dabei gemäß Klausel 14 der Standardvertragsklauseln ein sogenanntes Transfer Impact Assessement (wir berichteten hier und hier) durchzuführen und insgesamt ein angemessenes Datenschutzniveau zu gewährleisten, sodass der Verantwortliche (nur) mittelbar für die „unzulässige“ Datenübermittlung belangt werden könnte.

Unabhängig davon war es in dem von der DSB beurteilten Fall und dem konkret beurteilten Zeitpunkt auch so, dass die von Google Analytics angebotene Funktion der Anonymisierung der IP von der Betreiberin der Website nicht richtig implementiert worden war. Inwieweit eine ordnungsgemäße Implementierung letztendlich zu einem anderen Ergebnis bei der Beurteilung durch die DSB geführt hätte, kann nur vermutet werden – erscheint aber in der Sache selbst nicht ganz unwahrscheinlich.

Darüber hinaus fasst die DSB in Ihrer Entscheidung bei der Beurteilung nicht nur den Begriff der personenbezogenen Daten extrem weit, sondern geht auch ganz pauschal davon aus, dass ein angemessenes Datenschutzniveau nicht gegeben war, obgleich keine US-Surveillance Maßnahme und damit auch kein konkreter Zugriff auf die Daten nachgewiesen werden konnte. Insofern blieb auch die nachträgliche Einlassungen von Google, dass derartige Zugriffe noch nie gewährt wurden, bisher unberücksichtigt. Ob damit letztendlich dem Amtsermittlungsgrundsatz genüge getan wurde, sei dahingestellt, darf aber durchaus kritisch hinterfragt werden.

Ob die konkrete Entscheidung der österreichischen DSB insoweit einer detaillierten gerichtlichen Überprüfung standhalten würde, erscheint mit obigen Erwägungen durchaus fraglich, was aber nichts an dem Umstand ändert, dass die DSB sehr wohl den Finger in die Wunde legt und berechtigterweise Problematiken bei der Nutzung von Google Analytics aufzeigt.

Bedenkt man darüber hinaus, dass der „Cloud Act“ – der zwar weder bei dem konkreten Fall, noch bei der konkreten Entscheidung der DSB eine Rolle gespielt hat, grundsätzlich wie ein Damoklesschwert über jeder „datenschutzrechtlichen Beziehung“ zu einem US-Unternehmen schwebt, kann man sich nicht wirklich entspannt zurücklehnen.

Auch unter der Annahme, dass die Standardvertragsklauseln möglicherweise nicht geeignet sind, ein angemessenes Datenschutzniveau zu gewährleisten bleibt für Websitebetreiberinnen und Websitebetreiber weiterhin die Möglichkeit eine der in Art. 49 DSGVO normierten Ausnahmeregelungen anzuwenden.

Lösungsansatz Art. 49 Absatz 1 lit. a DSGVO?

Einen möglichen Lösungsansatz für Websitebetreiberinnen und Websitebetreiber bietet in diesem Zusammenhang Art. 49 Abs. 1 lit. a DSGVO, der eine Ausnahmeregelung für den Fall enthält, dass eine Übermittlung weder auf einen Angemessenheitsbeschluss, noch auf Standardvertragsklauseln gestützt werden kann, wie dies bei einer Datenübertragung in die USA seit dem Urteil des EuGH mitunter der Fall ist.

Eine DSGVO konforme Übermittlung ist nach Art. 49 Abs. 1 lit. a DSGVO möglich, wenn (Hervorhebungen durch uns):

„(…) die betroffene Person[..] in die vorgeschlagene Datenübermittlung ausdrücklich eingewilligt [hat], nachdem sie über die für sie bestehenden möglichen Risiken derartiger Datenübermittlungen ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien unterrichtet wurde, (…)“

Sofern also eine betroffene Person beim Aufruf der Webseite über einen Einwilligungsbanner ausdrücklich auf die möglichen Risiken im Zusammenhang mit einer Datenübertragung hingewiesen wird und in diese informiert, freiwillig und ausdrücklich einwilligt, so wäre für die entsprechende Datenübertragung in die USA ein (formal) angemessenes Datenschutzniveau „geschaffen“.

Das gilt aber nur unter der Prämisse, dass das verwendete Einwilligungsbanner selbst nicht wiederum automatisch Daten in die USA übermitteln würde, wie dies im Fall der Consent Management Plattform Cookiebot der Fall war (wir berichteten). Dann nämlich wäre – zumindest nach der Eilentscheidung des VG Wiesbaden – bereits der Einsatz dieses Einwilligungsbanners selbst problematisch und die für die damit einhergehende Übermittlung personenbezogener Daten eine Einwilligung im Sinne des Art. 49 Abs. 1 lit. a DSGVO erforderlich.

Fazit

Die Entscheidung der DSB betrifft zwar nur einen ganz konkreten Einzelfall, der nicht ohne weiteres auf andere Sachverhalte übertragbar ist, dennoch weist der Beschluss auf wesentliche Problematiken bei der Nutzung von Google Analytics hin. Mithin dürfte der Beschluss als wegweisend zu bezeichnen sein, zeigt die Entscheidung doch auf, wie restriktiv Aufsichtsbehörden das Schrems-II-Urteil umsetzten (können).

Um sich derartiger Beanstandungsrisiken zu entziehen sollten Verantwortliche, die Übermittlungen in die USA im Zusammenhang mit dem Einsatz von Google Analytics allein auf Standardvertragsklauseln stützen, in Betracht ziehen alternative Tools für die Reichweitenmessung ihrer Website einzusetzen. Denn Fakt ist, für das reine Besuchertracking gibt es bereits jetzt zahlreiche Produkte, die ohne Übermittlungen personenbezogener Daten in Drittländer (wie die USA) auskommen und insgesamt als datenschutzfreundlicher gelten als Google Analytics.

Wer nicht auf Google Analytics verzichten möchte, gleichzeitig aber das Beanstandungsrisiko zu senken versucht, ist sicherlich gut beraten, auf die Einwilligungslösung nach Art. 49 Abs. 1 lit. a DSGVO zurückzugreifen und diese datenschutzkonform zu implementieren.

Die weitere Entwicklung in Sachen Google Analytics bleibt genauso gespannt abzuwarten, wie die zukünftigen Entscheidungen anderer nationaler Datenschutzbehörden in ähnlich gelagerten Fällen. Wir werden Sie auf jeden Fall informiert halten.