Praxis-Tipps für die Umsetzung der DSGVO in der Praxis?
B2B-Newsletter > 2022 - Archiv > NL 2/22
Google Analytics verstößt gegen DSGVO.
Urteil der österreichischen Datenschutz-Behörde wurde zur Vorlage für Europa!
Daher: Auf dieses Tracking-Tool auf der eigenen Webseite verzichten!
Auch keine US-Cloud-Dienste verwenden!
Max Schrems hat es schon wieder getan…
Der bekannte österreichische Datenschützer hat mit seinem Verein Noyb (das ist die Abkürzung für None of your business und soll vereinfacht gesagt ausdrücken: Unsere Daten gehen euch nichts an) eine Musterbeschwerde gegen die Nutzung von Google Analytics bei der österreichischen Datenschutzbehörde eingebracht und diese hat der Beschwerde statt gegeben, wie knapp nach den Feiertagen bekannt gegeben wurde.
Wir baten den auf Datenschutz- und Versicherungsrecht spezialisierten Rechtsanwalt Mag. Stephan Novotny um die Hintergründe zu dem Fall, eine Risiko-Einschätzung und Empfehlungen, was nun zu tun ist.
Max Schrems hat es schon wieder getan…
Der bekannte österreichische Datenschützer hat mit seinem Verein Noyb (das ist die Abkürzung für None of your business und soll vereinfacht gesagt ausdrücken: Unsere Daten gehen euch nichts an) eine Musterbeschwerde gegen die Nutzung von Google Analytics bei der österreichischen Datenschutzbehörde eingebracht und diese hat der Beschwerde statt gegeben, wie knapp nach den Feiertagen bekannt gegeben wurde.
Wir baten den auf Datenschutz- und Versicherungsrecht spezialisierten Rechtsanwalt Mag. Stephan Novotny um die Hintergründe zu dem Fall, eine Risiko-Einschätzung und Empfehlungen, was nun zu tun ist.
Fakt ist, Google Analytics wird von den meisten Unternehmen eingesetzt! Hier herrscht also großer und sofortiger Handlungsbedarf! Denn durch die Nutzung von Google Analytics werden personenbezogene Daten, wie etwa „eine einzigartige Nutzer-ID-Nummer, IP-Adresse und Browserparameter“ an Google übertragen. Daraus wird ein eindeutiges User-Profil erstellt.
Den Beitrag von Mag. Stephan Novotny finden Sie unten anbei.
Alle bisherigen IDD und DSGVO-Praxisbeiträge können Sie kostenlos als PDF anfordern.
Ein Mail mit "JA zu INFO" an g.wagner@b2b-projekte.at genügt. Google Analytics verstößt gegen DSGVO.
Urteil der österreichischen Datenschutz-Behörde wurde zur Vorlage für Europa!
Hier folgt nun der Kommentar von Mag. Stephan Novotny:
DS-Behörde: Google Analytics verstößt gegen die Datenschutzgrundverordnung!
Daher: Auf dieses Tracking-Tool auf der eigenen Webseite verzichten!
Auch keine US-Cloud-Dienste verwenden!
Max Schrems hat es schon wieder getan…
Der bekannte österreichische Datenschützer hat mit seinem Verein Noyb (das ist die Abkürzung für None of your business und soll vereinfacht gesagt ausdrücken: Unsere Daten gehen euch nichts an) eine Musterbeschwerde gegen die Nutzung von Google Analytics bei der österreichischen Datenschutzbehörde eingebracht und diese hat der Beschwerde statt gegeben, wie knapp nach den Feiertagen bekannt gegeben wurde.
Und zwischenzeitlich hat sich auch die französische Datenschutzbehörde der Rechtsansicht angeschlossen und ebenso eine gleichlautende Entscheidung getroffen.
Fakt ist, Google Analytics wird von den meisten Unternehmen eingesetzt! Hier herrscht also großer und sofortiger Handlungsbedarf! Denn durch die Nutzung von Google Analytics werden personenbezogene Daten, wie etwa „eine einzigartige Nutzer-ID-Nummer, IP-Adresse und Browserparameter“ an Google übertragen. Daraus wird ein eindeutiges User-Profil erstellt.
Auch keine US-Cloud-Dienste verwenden!
Max Schrems hat es schon wieder getan…
Der bekannte österreichische Datenschützer hat mit seinem Verein Noyb (das ist die Abkürzung für None of your business und soll vereinfacht gesagt ausdrücken: Unsere Daten gehen euch nichts an) eine Musterbeschwerde gegen die Nutzung von Google Analytics bei der österreichischen Datenschutzbehörde eingebracht und diese hat der Beschwerde statt gegeben, wie knapp nach den Feiertagen bekannt gegeben wurde.
Und zwischenzeitlich hat sich auch die französische Datenschutzbehörde der Rechtsansicht angeschlossen und ebenso eine gleichlautende Entscheidung getroffen.
Fakt ist, Google Analytics wird von den meisten Unternehmen eingesetzt! Hier herrscht also großer und sofortiger Handlungsbedarf! Denn durch die Nutzung von Google Analytics werden personenbezogene Daten, wie etwa „eine einzigartige Nutzer-ID-Nummer, IP-Adresse und Browserparameter“ an Google übertragen. Daraus wird ein eindeutiges User-Profil erstellt.
Über diese wegweisende Entscheidung, wie Noyb schreibt, haben zahlreiche Fachmedien in den ersten Jänner-Tagen berichtet. Denn österreichische Unternehmen verwenden im großen Ausmaß dieses Tracking- und Analyse-Tool. Und nehmen nun das Risiko in Kauf, von den eigenen Webseiten-Besuchern bei der Datenschutzbehörde verpetzt zu werden, worauf diese wohl ein Verfahren einleiten und eine Abmahnung / Strafe aussprechen wird müssen.
Risiko ist hoch
Bedenken Sie: Es ist für jederman ganz einfach herauszufinden, ob Sie Google Analytics auf Ihrer eigenen Webseite verwenden. Eine einfache Analyse des Quellcodes oder die Nutzung des kostenlosen Tools wie Ghostery zeigt sofort im Browser an, welche Tracking-Tools eine soeben besuchte Webseite verwendet. Siehe Screenshot. Wenn Sie also weiterhin Google Analytics nutzen, liefern Sie sich also jedem Nutzer, auch potentiellen Konkurrenten, aus, die Sie jederzeit bei der Behörde anzeigen können.
Denn durch die Nutzung von Google Analytics werden personenbezogene Daten, wie etwa „eine einzigartige Nutzer-ID-Nummer, IP-Adresse und Browserparameter“ an Google übertragen. Daraus wird ein eindeutiges User-Profil erstellt.
Das war möglicherweise auch der Grund, warum das Bayrische Landesamt für Datenschutzaufsicht – sozusagen die Bayrische Datenschutzbehörde – bereits 2019 vor Google Analytics gewarnt hatte, weil sich „…Google das Recht einräumt, die Daten der Webseitenbesuchenden zu eigenen Zwecken zu verwenden“.
Das war möglicherweise auch der Grund, warum das Bayrische Landesamt für Datenschutzaufsicht – sozusagen die Bayrische Datenschutzbehörde – bereits 2019 vor Google Analytics gewarnt hatte, weil sich „…Google das Recht einräumt, die Daten der Webseitenbesuchenden zu eigenen Zwecken zu verwenden“.
Und bereits 2020 hat der „Europäische Gerichtshof (EuGH) entschieden, dass die Nutzung der Dienste von US-Anbietern gegen die DSGVO verstößt, da US-Überwachungsgesetze US-Anbieter wie Google oder Facebook dazu verpflichten, persönliche Daten an US-Behörden zu übermitteln”, erinnert Max Schrems.
Verletzung der Grundsätze der Datenübermittlung nach Art. 44 DSGVO
Und tatsächlich hat also auch die österreichische Datenschutzbehörde – vereinfacht gesagt – entschieden, dass die Verwendung von Google Analytics auf Webseiten gegen die DSGVO verstößt, weil die nötigen Schutzmaßnahmen (der europäischen Daten gegenüber US-Behörden) nicht angemessen seien.
In Art. 44 der Datenschutzverordnung ist geregelt, was bei Datenübermittlung in ein Drittland (wie etwa in die USA) oder eine internationale Organisation einzuhalten ist.
Und tatsächlich hat also auch die österreichische Datenschutzbehörde – vereinfacht gesagt – entschieden, dass die Verwendung von Google Analytics auf Webseiten gegen die DSGVO verstößt, weil die nötigen Schutzmaßnahmen (der europäischen Daten gegenüber US-Behörden) nicht angemessen seien.
In Art. 44 der Datenschutzverordnung ist geregelt, was bei Datenübermittlung in ein Drittland (wie etwa in die USA) oder eine internationale Organisation einzuhalten ist.
Die Ansicht der Ungesetzlichkeit vertrat Max Schrems von Noyb schon länger und hat zur finalen Klärung 101 Musterbeschwerden in praktisch allen EU-Staaten angestrengt, um die nationalen Datenschutzbehörden zu entsprechenden Entscheidungen und Klarstellungen aufzufordern. Und die österreichische Datenschutzbehörde hat diese Entscheidung nun als Erste getroffen.
Hier geht es zur Entscheidung der DSB Österreichs: Originalentscheidung (Deutsch, PDF hier...)
„Ausweg“ versperrt
Nach den EuGH-Urteilen, mit denen nach Beschwerden von Max Schrems sowohl das „Privacy Shield-“, als auch „Safe Harbour-Abkommen“ als ungültig erklärt wurden, war klar, dass ein Datentransfer in die USA nicht DSGVO-konform ist, weil die Datenschutz-Regeln (besonders für Europäische Kunden) in den USA nicht mit jenen Europas vergleichbar sind. Wenn die US-Geheimdienste anklopfen, sind amerikanische Firmen verpflichtet, die Daten herauszugeben.
Um ihr bisheriges Geschäftsmodell nicht abändern zu müssen, haben die US-Firmen sogenannte „Standardschutzklauseln“ eingeführt und Schutzmaßnahmen in Ihre TOMs (etwa Schutzzäune um die Datenzentren, etc.) aufgenommen, um „den Datentransfer fortzusetzen und seine europäischen Geschäftspartner zu beruhigen“. Dazu Max Schrems, Vorsitzender von noyb.eu: „Anstatt ihre Dienste technisch so anzupassen, dass sie mit der DSGVO konform sind, haben US-Unternehmen versucht, einfach ein paar Texte in ihre Datenschutzrichtlinien einzufügen und den EuGH zu ignorieren. Viele EU-Unternehmen sind diesem Beispiel gefolgt, anstatt auf legale Dienste zu wechseln.“
Unangemessenes Schutzniveau in den USA
Die Datenschutzbehörde hat nun geurteilt, dass die mit Google abgeschlossenen „Standardschutzklauseln kein angemessenes Schutzniveau“ bieten, etwa um die „Überwachungs- und Zugriffsmöglichkeiten durch US-Nachrichtendienste“ zu beseitigen.
Zwar habe Google argumentiert, diverse technische und organisatorische Maßnahmen umgesetzt zu haben, um Daten europäischer Bürger vor einem Zugriff durch US-Behörden zu schützen. In ihrer Antwort an die österreichische Datenschutzbehörde (hier nachzulesen…) schreibt Google davon, dass man technische und organisatorische Maßnahmen getroffen hätte. Noyb nennt Zäune um Datenzentren, die „Überprüfung“ von Behördenanfragen oder eine minimale Verschlüsselung. Daher sei es wenig überraschend gewesen, dass die DSB diese Maßnahmen als absolut nutzlos bewertet, wenn es um den Zugriff durch US-Behörden geht (siehe Seite 38 und 39 der DSB-Entscheidung hier…):
„In Bezug auf die dargelegten vertraglichen und organisatorischen Maßnahmen ist nicht erkennbar, inwiefern [die Maßnahmen] effektiv im Sinne der obigen Überlegungen sind.“
„Sofern die technischen Maßnahmen betroffen sind, ist ebenso nicht erkennbar (…) inwiefern [die Maßnahmen] die Zugriffsmöglichkeiten von US-Nachrichtendiensten auf der Grundlage des US-Rechts tatsächlich verhindern oder einschränken.“
Und im Urteil stehen auch Hinweise, warum eine Verschlüsselung oder die Pseudonymisierung, die Google vorbrachte, von der DSB nicht als „rechtskonforme Lösung akzeptiert“ wurde.
Ad Verschlüsselung: So schreibt etwa die DSB im Erkenntnis auf Seite 38 oben, dass die US-Firmen dem „50 U.S. Code § 1881a („FISA 702”) unterliegen“, was zur Folge hat, dass eine US-Firma die „direkte Verpflichtung hat, den Zugriff darauf zu gewähren oder diese herauszugeben. Diese Verpflichtung kann sich ausdrücklich auch auf die kryptografischen Schlüssel erstrecken, ohne die die Daten nicht lesbar sind“.
Das heißt vereinfacht so viel, als dass eine Verschlüsselung nichts bringt, weil man den US-Behörden den Schlüssel geben muss, damit sie die Daten doch lesen können.
Und auch die Argumentation von Google, dass die Daten eigentlich anonym seien, lehnte die Datenschutzbehörde ausdrücklich ab. Die Behörde schreibt auf Seite 38 Mitte:
Das heißt vereinfacht so viel, als dass eine Verschlüsselung nichts bringt, weil man den US-Behörden den Schlüssel geben muss, damit sie die Daten doch lesen können.
Und auch die Argumentation von Google, dass die Daten eigentlich anonym seien, lehnte die Datenschutzbehörde ausdrücklich ab. Die Behörde schreibt auf Seite 38 Mitte:
„Der Zweitbeschwerdegegner (gemeint ist Google) führt als weitere technische Maßnahme ins Treffen, dass soweit „[…] Google Analytics Daten zur Messung durch Website-Besitzer personenbezogene Daten sind, […] sie als pseudonym betrachtet werden“ müssten.
Dem ist jedoch die überzeugende Ansicht der Deutschen Datenschutzkonferenz entgegenzuhalten, wonach „[…] die Tatsache, dass die Nutzer etwa über IDs oder Kennungen bestimmbar gemacht werden, keine Pseudonymisierungsmaßnahme i. S. d. DSGVO darstellt.“
Dem ist jedoch die überzeugende Ansicht der Deutschen Datenschutzkonferenz entgegenzuhalten, wonach „[…] die Tatsache, dass die Nutzer etwa über IDs oder Kennungen bestimmbar gemacht werden, keine Pseudonymisierungsmaßnahme i. S. d. DSGVO darstellt.“
Und weiter:
„Zudem handelt es sich nicht um geeignete Garantien zur Einhaltung der Datenschutzgrundsätze oder zur Absicherung der Rechte betroffener Personen, wenn zur (Wieder-)Erkennung der Nutzer IP-Adressen, Cookie-IDs, Werbe-IDs, Unique-User-IDs oder andere Identifikatoren zum Einsatz kommen. Denn, anders als in Fällen, in denen Daten pseudonymisiert werden, um die identifizierenden Daten zu verschleiern oder zu löschen, so dass die betroffenen Personen nicht mehr adressiert werden können, werden IDs oder Kennungen dazu genutzt, die einzelnen Individuen unterscheidbar und adressierbar zu machen. Eine Schutzwirkung stellt sich folglich nicht ein. Es handelt sich daher nicht um Pseudonymisierung i. S. d. ErwGr 28, die die Risiken für die betroffenen Personen senken und die Verantwortlichen und die Auftragsverarbeiter bei der Einhaltung ihrer Datenschutzpflichten unterstützen“.
Vereinfacht gesagt stellt die Datenschutzbehörde fest, dass die Daten nicht anonym sein können, weil der Sinn von Google Analytics darin besteht, dass man eindeutig identifizierbare Nutzerprofile mit Google Analytics erstellt.
Möglicherweise habe diese 2 Kernaussagen im Urteil der Datenschutzbehörde Max Schrems bewogen, auch vor den ebenso häufig genutzten US-Cloud-Diensten zu warnen.
Wörtlich schreibt Max Schrems: „Die DSB hat eine sehr detaillierte und fundierte Entscheidung erlassen. Die Quintessenz ist: EU-Unternehmen können keine US-Cloud-Dienste mehr nutzen. Es ist jetzt 1,5 Jahre her, dass der EuGH das ein zweites Mal bestätigt hat – es ist also mehr als an der Zeit, dass das Gesetz auch durchgesetzt wird.“
Google weist Schuld von sich
Google scheint laut Pressemeldungen keine Schuld bei sich zu sehen und schiebt die Verantwortung auf die Unternehmen ab, die Analytics einsetzen.
„Diese Organisationen, nicht Google, kontrollieren, welche Daten mit unseren Tools gesammelt und wie diese ausgewertet werden“, teilte ein Google-Sprecher dem STANDARD mit.
„Diese Organisationen, nicht Google, kontrollieren, welche Daten mit unseren Tools gesammelt und wie diese ausgewertet werden“, teilte ein Google-Sprecher dem STANDARD mit.
Schrems sieht durch die stattgegebenen Beschwerden nicht nur die Unternehmen und Organisationen gefordert, sondern vor allem auch die US-Anbieter wie Google. „Natürlich kann man jetzt den Ball an die zehntausenden teilweise auch kleineren Unternehmen zurückspielen. Für uns ist es aber entscheidend, dass die US-Anbieter das Problem nicht einfach auf die EU-Unternehmen abwälzen können – noch dazu, wenn sie behaupten, ihre Services seien DSGVO-konform“, sagt Schrems zum STANDARD.
Quellen, bzw. weitere Links zum Nachlesen:
https://www.derstandard.at/story/2000132495447/behoerde-google-analytics-verstoesst-gegen-die-datenschutzverordnung
https://www.derstandard.at/story/2000132495447/behoerde-google-analytics-verstoesst-gegen-die-datenschutzverordnung
Alle bisherigen IDD und DSGVO-Praxisbeiträge von Mag. Novotny können Sie als PDF anfordern. Dazu einfach ein E-mail an g.wagner@b2b-projekte.at mit Betreff "Ja zu Infos".
Für Rückfragen:
RA Mag. Stephan Novotny, Foto: Stephan Huger
RA Mag. Stephan Novotny
1010 Wien, Weihburggasse 4/2/22