Datenübermittlung durch Google Analytics rechtswidrig

von Nadja-Maria Becke

Der Einsatz von Google Analytics in der EU ist rechtswidrig. Dies geht auf eine Entscheidung der österreichischen Datenschutzaufsichtsbehörde sowie auf eine Stellungnahme der französischen Datenschutzaufsichtsbehörde CNIL zurück.

Österreichische Aufsichtsbehörde bestätigt Einschätzung

Das Thema Google Analytics verliert in der datenschutzrechtlichen Welt nicht an Bedeutung und Aktualität. Hintergrund hierfür ist natürlich die Wichtigkeit dieses Werkzeugs für fast alle betrieblichen Marketingvorhaben. Aber auch, dass Max Schrems mit seiner NGO Noyb Google Analytics und dessen Einsatz durch Unternehmen gezielt in den Blick genommen und daher europaweit über hundert Beschwerden bei Aufsichtsbehörden eingelegt hat.

Beschwerdegegner im hier dargestellten und durch Noyb ausgelösten Verfahren waren dabei zum einen der Betreiber der streitgegenständlichen Homepage. Ebenso war auch Google LLC als Empfänger der Daten genannt.

Bei der Beurteilung dieser Entscheidung ist besonders zu berücksichtigen, dass der Webseitenbetreiber keine datenschutzrechtliche Einwilligung nach Art. 49 Abs.1 lit. a DSGVO eingeholt hatte und daher keine Aussagen über die Rechtfertigungsmöglichkeit des Datenexports auf Grund der Einwilligung des Nutzers getroffen wurden.

Google Analytics verarbeitete personenbezogene Daten

Zuallererst befasste sich die Aufsichtsbehörde mit der Frage, ob überhaupt personenbezogene Daten verarbeitet werden. In diesem Zusammenhang wurde der Anwendungsbereich der Datenschutzgrundverordnung eröffnet.

Im Zuge dessen stellt die Aufsichtsbehörde ausführlich die Funktionsweise von Google Analytics unter besonderer Berücksichtigung der durch das Tool erhobenen und an Google weitergegebenen Informationen dar. Nach Ansicht der Aufsichtsbehörden wird das System mehrere verschiedene Informationen verarbeiten. Diese sind spätestens bei der Zusammenführung einer Person identifizierbar. Dies betreffe unter anderem die individuelle Google Analytics Kennnummer aber auch die IP-Adresse. Ob auch die IP-Adresse im konkreten Fall alleine ausreichend wäre, um einen Personenbezug herzustellen, ist im Rahmen der Entscheidung nach Ansicht der Aufsichtsbehörde nicht zu entscheiden.

Anonymisierungsfunktion

Bezüglich der IP-Adresse hatte sich die Beschwerdegegnerin noch auf die durch Google angebotene Anonymisierungsfunktion berufen. Dieser Einwand kann aber nach Ansicht der Aufsichtsbehörden den Tatbestand der rechtswidrigen Datenübermittlung nicht ausschließen. Die Anonymisierung der IP-Adressen werde auf den Servern von Google durchgeführt. Diese Tätigkeit sei als Datenverarbeitung (wenn auch sehr kurze) einzustufen. Selbst wenn man diese Datenverarbeitung, wie von dem Beschwerdegegner ausführend, auf europäischen Servern durchführen wird, bestehen doch die entscheidenden Zugriffsmöglichkeiten für US-Amerikanische Geheimdienste.

Rechtsgrundlage des Datenexports

Im weiteren Verlauf legte die Aufsichtsbehörde noch ausführlich dar, warum aus ihrer Sicht im konkreten Fall keine Rechtsgrundlage für den Datenexport vorläge. So seien insbesondere die EU-Standardvertragsklauseln nicht geeignet vor dem Hintergrund der US-Amerikanischen Eingriffsbefugnisse ein angemessenes Datenschutzniveau zu gewährleiten. Vor allem müsste man durch Google keine, nach dem Schrems II Urteil erforderlichen, zusätzlichen und wirksamen Sicherheitsmaßnahmen treffen.

Kein risikobasierter Ansatz im Rahmen des Datenexports

Neben den Einschätzungen zur Funktionsweise von Google Analytics bietet die Entscheidung der Aufsichtsbehörde noch Anhaltspunkte zur Lösung allgemeinerer Fragestellungen im Rahmen des Drittstaatenexportes. So berief sich der Beschwerdegegner unter anderem darauf, dass für die übermittelten Daten nur ein geringes Basisrisiko vorliege, da die US-Aufsichtsbehörden voraussichtlich gar kein Interesse an den Daten aus Google Analytics hätten. Diesbezüglich führt die Aufsichtsbehörde aus, dass in den Vorgaben des Kapitel V der DSGVO kein risikobasierter Ansatz zu finden sei.  Sofern in einzelnen Artikeln der DSGVO ein risikobasierter Ansatz vorgesehen sei, so die Einschätzung der Aufsichtsbehörde, dann sei dies im Wortlaut der Norm ausdrücklich erwähnt. Demzufolge müsse bei jedem Datenexport ein gewisses Sicherheitsniveau vorliegen. Hingegen kann man nicht prüfen, ob die exportierten Daten besonders sensibel oder weniger sensibel sind.

Außerdem stellte die Aufsichtsbehörde deutlich heraus, dass „Ein Aufweichen im Sinne einer „wirtschaftsfreundlichen Interpretation“ der Vorgaben von Kapitel V zugunsten des freien Datenverkehrs“ nicht vorgesehen sei.

Fazit für die unternehmerische Praxis

Bezüglich der Einschätzungen zur Verarbeitung von personenbezogenen Daten und deren Export in die USA bietet die Entscheidung der Aufsichtsbehörde wenig neue Anhaltspunkte. Liegt sie doch gänzlich auf der Linie anderer, auch deutscher Aufsichtsbehörden zum betrieblichen Einsatz von Google Analytics. Darüber hinaus sind der Entscheidung jedoch einige interessante, über den konkreten Einzelfall hinausgehende, Aspekte zu entnehmen. Gerade die Einschätzungen bezüglich des risikobasierten Ansatzes bei Fragen der Drittstaatenübermittlung sollten auch bei anderen (US-Amerikanischen) Softwaretools berücksichtigt werden.

Stellungnahme der CNIL zu Google Analytics

Einige in der Entscheidung angesprochene Punkte werden auch in der im Juni veröffentlichten Stellungnahme der französischen Aufsichtsbehörde CNIL zum Thema Google Analytics aufgegriffen. Insbesondere verdeutlichen diese dort den Export personenbezogener Daten an Google. Aus datenschutzrechtlicher Sicht ist diese nicht durch die Standardvertragsklauseln gerechtfertigt. Das bedeutet, dass kein Weg an einer datenschutzrechtlichen Einwilligung in das Nutzertracking vorbeiführt.

Über eine Möglichkeit zum datenschutzkonformen Einsatz von Google Analytics werden wir Sie in einem weiteren Beitrag informieren.

Wenn Sie Fragen rund um das Thema Datenschutz haben, wenden Sie sich jederzeit gerne an unsere Experten:

Zentrale Hutthurm - Tel.: +49 (0) 8505 91927 – 0

Niederlassung München - Tel.: +49 (0) 89 413 2943 – 0

Oder nutzen Sie unser Kontaktformular.

assets/images/e/Nadja-Maria-Becke-1-e4dcbac5.jpg
Nadja-Maria Becke

Nadja-Maria Becke leitet unser Inhouse-Juristen-Team. Sie studierte an der Universität Passau Rechtswissenschaften mit anschließendem Referendariat sowie erstem und zweitem Staatsexamen. Ihr Spezialgebiet ist Datenschutzrecht. Ihr fundiertes Wissen hält sie jederzeit aktuell. Für unsere Kunden und unser Team hat sie so immer einen Rat für eine passgenaue Lösung parat.