03.03.2022 11:00 Alter: 3 yrs
Kategorie: LEGAL NEWS

Google Analytics

Datenschutzbehörde stellt unzureichenden Datenschutz fest


Philipp Scheuba und Stefan Humer haben die jüngste Entscheidung der österreichischen Datenschutzbehörde (DSB) zu Google Analytics in Bezug auf die Übermittlung von Daten analysiert. Der Beitrag wurde für einen Daten- und Cybernewsletter von DAC Beachcroft verfasst, in dem Experten aus verschiedenen Partnerkanzleien zu aktuellen Themen Stellung beziehen.

Einleitung
Die österreichische Datenschutzbehörde (DSB) hat vor kurzem eine Entscheidung getroffen, die nicht nur wegen ihrer voraussichtlichen praktischen Auswirkungen bemerkenswert ist, sondern auch, weil zu erwarten ist, dass bald entsprechende Entscheidungen von anderen Datenschutzbehörden in verschiedenen EU-Mitgliedstaaten ergehen werden. Die Entscheidung betrifft die Verwendung von Google Analytics, dem bekannten Tool von Google LLC zur Messung und Verfolgung der Nutzung von Websites.

Hintergrund
Die Übermittlung personenbezogener Daten aus der EU in die Vereinigten Staaten basierte traditionell auf Rechtsrahmen, die von der EU und den USA zur Regelung des transatlantischen Austauschs personenbezogener Daten geschaffen wurden, zuletzt auf dem sogenannten Privacy Shield. Im Juli 2020 wurde es vom Gerichtshof der Europäischen Union (EuGH) nach einer Klage des österreichischen Datenschutzaktivisten Max Schrems gekippt. Der EuGH entschied, dass die Übermittlung personenbezogener Daten an US-Unternehmen auf der Grundlage des Privacy Shield gegen die Datenschutz-Grundverordnung verstößt, weil das Privacy Shield EU-Bürger nicht angemessen vor der US-Regierung schützt, sobald sich die Daten in den USA befinden (vor allem vor der Überwachung durch US-Geheimdienste).

Daraufhin griffen EU-Unternehmen zur Übermittlung personenbezogener Daten in die USA auf Standardvertragsklauseln zurück, einem von der Datenschutz-Grundverordnung (Artikel 46 c) anerkannten Mechanismus zur rechtmäßigen Übermittlung personenbezogener Daten in einen Nicht-EU-Mitgliedstaat.

Diese Praxis wird nun von der Nichtregierungsorganisation noyb angefochten, über die DAC Beachcroft bereits in diesem Artikel berichtet hat. Sie reichte 101 Beschwerden ein im Zusammenhang mit der Übermittlung personenbezogener Daten durch in der EU ansässige Verantwortliche an Google LLC und Facebook Inc. Die österreichische Entscheidung scheint die erste zu sein, die sich mit einer dieser Beschwerden befasst.

Der Fall
Der Beschwerdeführer (die betroffene Person) besuchte eine von einem österreichischen Unternehmen betriebene Website. Aufgrund dieses Besuchs verarbeitete das österreichische Unternehmen personenbezogene Daten des Beschwerdeführers (vor allem die IP-Adresse, die als personenbezogene Information zu betrachten ist, da sie die Identifizierung der betroffenen Person ermöglicht). Die Website verwendete Google Analytics. Daher wurden personenbezogene Daten des Beschwerdeführers an Google in den Vereinigten Staaten übermittelt.

Vor der DSB argumentierte der von noyb vertretene Beschwerdeführer, dass diese Übermittlung ohne Rechtsgrundlage erfolgt sei - das Privacy Shield sei nicht mehr als solches geeignet (siehe oben) und die von Google eingesetzten Standardvertragsklauseln böten keinen angemessenen Schutz gegen die Überwachung durch die USA und könnten daher auch keine Option darstellen. Daher sei die Übermittlung seiner Daten an die USA als rechtswidrig zu betrachten. Der Beschwerdeführer richtete seine Beschwerde sowohl gegen das österreichische Unternehmen als auch gegen Google LLC.

Die DSB qualifizierte das österreichische Unternehmen als Verantwortlichen und Google als Auftragsverarbeiter.

In Bezug auf Google wies die Datenschutzbehörde die Beschwerde ab. Es entschied, dass die einschlägigen Bestimmungen der Datenschutz-Grundverordnung (DSGVO), die die Datenübermittlung in Drittländer regeln, nur dem Datenexporteur (hier: dem österreichischen Unternehmen) rechtliche Pflichten auferlegen, nicht aber dem Datenempfänger (hier: Google).

In Bezug auf das österreichische Unternehmen entschied die Datenschutzbehörde zugunsten des Beschwerdeführers. Eine Übermittlung personenbezogener Daten in einen Nicht-EU-Mitgliedstaat ist nur dann rechtmäßig, wenn die in der Datenschutz-Grundverordnung festgelegten Übermittlungsmechanismen eingehalten werden. Andernfalls sind die übermittelten personenbezogenen Daten nicht angemessen geschützt. Ohne einen solchen angemessenen Schutz ist die Übermittlung unrechtmäßig. Im vorliegenden Fall war die Datenschutzbehörde der Ansicht, dass dies der Fall war: Google unterliegt als "Anbieter elektronischer Kommunikationsdienste" der Überwachung durch US-Geheimdienste. Die Standardvertragsklauseln von Google waren unzureichend, da sie den Zugriff der US-Geheimdienste auf die personenbezogenen Daten nicht verhindern konnten.

Auch die anderen von Google getroffenen Vorkehrungen gegen Überwachung, wie ergänzende Maßnahmen sowie technische und organisatorische Maßnahmen, führten nach Ansicht der DSB nicht zu einem ausreichenden Schutz - die Daten seien weder ausreichend pseudonymisiert, da sie identifizierbar blieben, noch ausreichend verschlüsselt, da Google auch Zugriff auf die Verschlüsselung habe.

Zusammenfassend lässt sich sagen, dass die Übermittlung der personenbezogenen Daten des Beschwerdeführers an die USA durch Google Analytics gegen die Datenschutz-Grundverordnung verstieß.

Ausblick
Es ist darauf hinzuweisen, dass i) die Entscheidung noch nicht rechtskräftig ist und dass ii) die von der DSB geprüften Standardvertragsklauseln in der Zwischenzeit von Google aktualisiert worden sind. Obwohl es also noch keine Entscheidung über die aktuellen Standardvertragsklauseln von Google gibt, ist die Entscheidung der DSB immer noch von großer Bedeutung. Vor allem, weil sie sich auch mit den ergänzenden, technischen und organisatorischen Maßnahmen von Google befasst hat. Da die DSB auch hier Mängel feststellte, scheint es unwahrscheinlich, dass eine neue Version der Standardvertragsklauseln, die von Google (oder einem anderen US-Anbieter, der einen ähnlichen Dienst anbietet) erstellt werden, um die Folgen der Entscheidung abzumildern, das eigentliche Problem lösen würde, nämlich den unzureichenden Schutz der europäischen Betroffenen vor US-Behörden, wenn ihre personenbezogenen Daten dorthin übermittelt werden. Zwar werden die US-Anbieter wahrscheinlich versuchen, ihren europäischen Geschäftspartnern überarbeitete Standardvertragsklauseln und Schutzmaßnahmen anzubieten, doch ist ihr Handlungsspielraum aufgrund des US-Rechts begrenzt. Es bleibt daher zu hoffen, dass ein erneutes Abkommen zwischen der EU und den USA eine längerfristige Lösung bringen wird.

03.03.2022