Datenübermittlungen in Drittländer im Rahmen von Google Analytics verstoßen gegen Artikel 44 DSGVO.
„Google Analytics“ zählt zu den am weitesten verbreiteten Drittdiensten, die auf Webseiten eingesetzt werden. Dementsprechend häufig erreichten uns im Berichtszeitraum auch Beschwerden und – seitens von Unternehmen – Anfragen zu diesem Tool. Webseitenbetreiber setzen Google Analytics in aller Regel ein, um Informationen über die Nutzung ihrer Webseite zu gewinnen, etwa über die Zusammensetzung des Kreises von Webseitenbesuchern und deren Verhalten auf der Webseite. In der herkömmlichen Einsatzvariante von Google Analytics werden dem Nutzerrechner, der die Webseite aufsucht, einzigartige Kennungen (ID) zugeteilt. Die IDs befinden sich in Cookies, die beim Aufsuchen der Webseite in den Browser des Nutzerrechners gesetzt werden. Mit Hilfe der IDs wird der einzelne Nutzerrechner von anderen Rechnern unterschieden, die die Webseite aufsuchen. Das Tracking des Nutzers selbst beruht auf einem JavaScript-Code, der in den Quelltext der Webseite eingebaut wird und das Herunterladen einer JavaScript-Datei auf den Rechner des Nutzers veranlasst, die es dann ihrerseits veranlasst, dass beim Aufsuchen der Webseite eine Reihe von Daten über die Webseiten-Benutzung vom Nutzerrechner abgerufen und an Google-Server übermittelt werden. Zu diesen Daten zählen Informationen über die HTTP-Anfrage des Nutzers, Informationen über den vom Nutzer eingesetzten Browser und das eingesetzte System (darunter Host-Name, Typ des Browsers, Referrer, genutzte Sprache) sowie ferner etwaige im Browser vorhandene First-PartyCookies, die es ermöglichen, den Webseitenbesuch (Sitzung) und weitere Informationen zu messen. Auch die IP-Adresse des Nutzerrechners wird an Google-Server übertragen, wobei Google eine Möglichkeit zur Kürzung der IP-Adresse anbietet, nachdem das Google-Analytics Datenpaket an einem Google Server angekommen ist. Die dem Nutzerrechner zugewiesene einzigartige ID kann mit weiteren der o.g. gewonnenen und an Google übermittelten Informationen kombiniert werden, etwa mit der IPAdresse oder mit Browser- und anderen der oben genannten Daten. Ist ein Besucher während des Besuchs einer solchen Webseite zudem in sein Google-Konto eingeloggt, kann die Information über den Besuch der Webseite zudem von Google direkt dem jeweiligen GoogleKonto zugeordnet werden.
Die Datenschutzaufsichtsbehörden mehrerer Mitgliedstaaten haben sich anlässlich einer Beschwerdeserie, die sich gegen Webseitenbetreibern in mehreren EU-Mitgliedstaaten richtete, in einer gemeinsamen Arbeitsgruppe mit Google Analytics beschäftigt. An dieser Arbeitsgruppe hat sich auch das LDA beteiligt. Im Rahmen dieser Befassung wurde von Google gegenüber den Aufsichtsbehörden im April 2021 bestätigt, dass es in der oben beschriebenen Einsatzvariante von Google Analytics zu einer Übermittlung der oben beschriebenen Daten an Google-Server (auch) in Staaten außerhalb des Europäischen Wirtschaftsraums (u.a. in den USA) kommt. Die übermittelten Daten stellen personenbezogene Daten im Sinne der DSGVO dar. Dies gilt jedenfalls für die o.g. eindeutigen Google-Analytics-Kennungen (IDs), die in den Browser des Nutzers gesetzt werden, denn mit Hilfe dieser IDs wird der einzelne Nutzerrechner von anderen Rechnern unterschieden. Eine solche Nutzerindividualisierung reicht aus, um das entsprechende Datum als personenbezogenes Datum einzustufen, denn von Personenbezug ist nicht erforderlich, dass einzelne Nutzer:innen mit ihrem bürgerlichen Namen identifiziert werden können, vielmehr genügt die so herbeigeführte Unterscheidbarkeit der Nutzer voneinander (so bereits die Orientierungshilfe der DSK für die Anbieter von Telemedien vom Dezember 2021). Personenbezug besteht daher auch mit Blick auf solche Nutzer:innen, die beim Besuch der betreffenden Webseite nicht in ein Google-Konto eingeloggt sind (und die vielleicht auch gar kein Google-Konto besitzen).
In der Konsequenz daraus sind auch alle weiteren Daten, die zusammen mit der jeweiligen ID an Google-Server übermittelt werden, als personenbezogene Daten einzustufen, da sie durch die gemeinsam mit der ID stattfindende Übermittlung mit der ID verknüpft und damit ebenfalls vom Personenbezug umfasst sind.
In der o.g. Stellungnahme vom April 2021 hat Google mitgeteilt, dass beim Einsatz von Google Analytics personenbezogene Daten auf der Basis der EU-Standardvertragsklauseln gemäß Kommissionsbeschluss 2010/87/EU in Drittländer übermittelt werden. Die Standardvertragsklauseln wurden nach den damals von Google angebotenen Vertragsbedingungen zwischen dem Webseitenbetreiber (Datenexporteur) und Google LLC (Datenimporteur) abgeschlossen. Aufgrund des sog. Schrems-II-Urteils des EuGH vom 16.07.2020 (C-311/18) genügen Standarddatenschutzklauseln jedoch nicht in jedem Fall schon für sich alleine, um bei einer Drittlandsübermittlung den von der DSGVO geforderten mit dem EU-Schutzniveau gleichwertigen Schutz für die Daten zu gewährleisten; vielmehr muss bei Übermittlungen auf Grundlage vertraglicher Garantien nach Art. 46 DSGVO stets geprüft werden, ob die Vertragsparteien aufgrund etwa geltenden Rechts ihres Heimatstaats überhaupt in der Lage sind, die in den Garantien eingegangenen Verpflichtungen einzuhalten – hieran fehlt es z.B. dann, wenn Behörden des Drittlands Zugriffe auf die Daten in einem Umfang nehmen können, der nach EURecht nicht zulässig wäre, etwa weil er den Grundsatz der Verhältnismäßigkeit nicht wahrt. In solchen Fällen muss der Datenexporteur prüfen, ob es gelingt, sog. zusätzliche Maßnahmen zu ergreifen, um solche nach EU-Recht unzulässige Datenzugänge durch Behörden des Drittlandes zu verhindern. Sind keine effektiven zusätzlichen Maßnahmen möglich, ist die Übermittlung auf Grundlage von Artikel 46 DSGVO unzulässig.
Google ist – auch nach Überzeugung des LDA – als sog. Electronic Communications Service Provider im Sinne des US-amerikanischen Rechts einzustufen, unterfällt daher der Regelung in 50 U.S. Code § 1881 a („FISA 702“) und kann somit von US-Behörden zur Datenherausgabe nach dieser Regelung verpflichtet werden. Der Europäische Gerichtshof hat in seinem Schrems-IIUrteil (C-311/18, Rn. 180, 181) entschieden, dass FISA 702 den US-Behörden Datenzugriffe in einem Umfang ermöglich, der dem Grundsatz der Verhältnismäßigkeit nicht entspricht, das nach europäischem Recht zu wahren wäre. Infolgedessen ist eine Übermittlung personenbezogener Daten an Empfänger, die unter FISA 702 fallen, auf Grundlage etwa von Standarddatenschutzklauseln nicht zulässig, wenn es nicht gelingt, die Datenzugriffe der US-Behörden mittels „zusätzlicher Maßnahmen“ zu verhindern (oder ineffektiv zu machen).
Mit Blick auf „zusätzliche Maßnahmen“ verwies Google im April 2021 gegenüber den Aufsichtsbehörden unter anderem darauf, dass mit Blick auf „Daten im Ruhezustand“ (data at rest) eine mehrschichtige AES256-Verschlüsselung zum Einsatz komme; auch für die Kommunikation zwischen den Google-Datenzentren komme Verschlüsselung zum Einsatz.
Eine vom Datenempfänger im Drittland angebotene Verschlüsselung der Daten genügt jedoch, – wie der Europäische Datenschutzausschuss betont hat – nicht, wenn der Empfänger zumindest zeitweilig die Möglichkeit hat, auf die Daten im Klartext zuzugreifen, etwa weil die angebotenen kryptografischen Schlüssel vom Datenempfänger gehalten werden (EDSA, Empfehlungen 1/2020, Rn. 72, 76). Im Falle von Google Analytics in der oben beschriebenen herkömmlichen Einsatzvariante – wie etwa die österreichische oder die französische Datenschutzbehörde in entsprechenden Entscheidungen Anfang 2022 festgestellt haben, – war es daher nicht möglich, solche Zugriffe auszuschließen.
Der Europäische Datenschutzausschuss hat in seinen Empfehlungen 1/2020 (Rn. 43.3) betont, dass dann, wenn die übermittelten Daten in den Anwendungsbereich eines Gesetzes eines Drittlands fallen, das seinem Wortlaut nach den dortigen Behörden Datenzugang in einem nach EUDatenschutzrecht nicht akzeptablen Umfang grundsätzlich ermöglicht, nicht darauf ankommt, wie „wahrscheinlich“ solche Zugriffe erscheinen; vielmehr ist die Übermittlung in solchen Fällen in aller Regel schon deshalb unzulässig, weil das „problematische“ Gesetz seinem Wortlaut nach auf die Daten anwendbar erscheint. Allenfalls dann, wenn die Beteiligten in einem solchen Fall überzeugend darlegen können, dass ein nach seinem Wortlaut an sich auf die Daten anwendbares Gesetz in der Praxis auf Fälle der in Rede stehenden Art schlicht von den Behörden des Drittlands nicht angewendet wird (und somit Zugriffe in der Praxis entgegen dem Anschein des Gesetzeswortlauts nicht stattfinden werden), kann die Übermittlung in solchen Fällen doch noch als zulässig gelten.
Die von Google – jedenfalls nach den bis September 2021 angebotenen Vertragsbedingungen – ins Feld geführten Verschlüsselungsmaßnahmen stellen daher keine hinreichend effektiven „zusätzliche Maßnahmen“ im Sinne des Schrems-II-Urteils dar, da. Daher verstößt die Übermittlung gegen Artikel 44 DSGVO, da für die Daten kein mit dem EU-Schutzniveau gleichwertiger Schutz gewährleistet ist. Dieser Auffassung schließt sich das LDA an, jedenfalls in der nach den bis zum September 2021 von Google angebotenen vertraglichen Bedingungen an. Diese Position hat das LDA gegenüber den der Aufsicht unterliegenden Stellen im Rahmen der Fallbearbeitung – etwa anlässlich von Beschwerden gegen den Einsatz von Google Analytics auf Webseiten, die beim LDA eingegangen sind – entsprechend kommuniziert und darauf hingewirkt, dass die rechtswidrigen Übermittlungen beendet wurden. Förmliche Anordnungen sind dabei nicht notwendig geworden. Ob dieser Mangel durch die von Google im September 2021 durchgeführte Überarbeitung der Vertragsbedingungen behoben wurde, bleibt einer gesonderten Analyse überlassen.
Quelle: BayLDA
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Ombudsstelle und Hinweisgebersystem für Hinweisgeber:innen (Whistleblower)
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
- Aufsichtsbehörde empfiehlt Buch: DSGVO /ePrivacy auf Websites umsetzen
- Recht im Online-Marketing: So schützen Sie sich vor Fallstricken zur DSGVO
Dieser Absatz enthält Affiliatelinks/Werbelinks