Zu Google-Analytics gab es bisher eine ganze Reihe von Urteilen u.a. aus Österreich, Italien, Frankreich, Liechtenstein und den Niederlanden. In der 4/2022-Ausgabe hat die Zeitschrift „ZD“ (juristische Fachzeitschrift für Datenschutz) eine sehr detaillierte Betrachtung anhand eines konkreten Falls zu Google Analytics durchgeführt und hierbei insbesondere den Mehrwert (?!) der Standarddatenschutzklauseln (SDK) betrachtet.
Der Artikel bezieht sich auf einen konkreten Fall, bei dem ein Webseitenbesucher beim Aufruf einer Internetseite noch in seinem Google-Konto eingeloggt war. Auf der besuchten Internetseite war ein HTML-Code von Google Analytics eingebunden, sodass automatisch die IP-Adresse und Cookiedaten übertragen und verarbeitet wurden.
Dabei fehlte grundsätzlich schon einmal eine Einwilligungsabfrage nach Art. 6 Abs. 1 lit a). Aber auch diese wäre keine vollumfängliche Absicherung für den Webseitenbetreiber, da eine Übertragung in Drittländer ausschließlich auf Grundlage der Artikel 44 ff. DSGVO erfolgen sollte.
Was steht in den Art. 44 ff DSGVO?
Die Art. 44 – 50 DSGVO beschäftigen sich mit Übermittlungen personenbezogener Daten an Drittländer oder an internationale Organisationen. Grundsätzlich sind alle Übertragungen, die über den EU-(Datenschutz)-Raum hinausgehen erst einmal kritisch zu betrachten.
In welchen Fällen eine solche Übertragung dennoch möglich ist findet sich in den Artikeln 44 – 50 DSGVO. Sehr bekannt war der Angemessenheitsbeschluss gemäß Art. 45 DSGVO, der einigen Ländern (z.B. Kanada) ein angemessenes Datenschutzniveau bescheinigt. Dazu gehörte bis 07/2020 auch das Privacy Shield für US-Unternehmen.
Standarddatenschutzklauseln: Ein Lichtblick am Ende des Tunnels?
Seitdem Art. 45 DSGVO für die USA aufgrund der Ungültigkeitserklärung des Privacy Shields nicht mehr greift, sind viele EU- und US-Unternehmen auf der Suche nach einer alternativen Grundlage. Dies ist der Moment, an dem Standarddatenschutzklauseln (SDK) in den Ring geworfen werden.
Wichtig ist hier allerdings, dass nicht pauschal einfach auf die SDK abgestellt werden kann, wenn das Bestimmungsland nach Maßgabe des Unionsrechts keinen angemessenen Schutz, der auf der Grundlage von SDK übermittelten personenbezogenen Daten gewährleisten kann.
Genau dieser Fall liegt bei den USA vor, da jeder Anbieter von elektronischer Kommunikation (Google, Facebook und Co.) aufgrund von Section 720 (FISA) der Überwachung der US-Geheimdienste unterliegt. Aufgrund der Gesetzgebung ist es in den USA für die Geheimdienste legal bei einem Unternehmen Daten über Privatpersonen anzufordern. Die Unternehmen sind gesetzlich dazu verpflichtet der Anfrage nachzukommen. Aufgrund dessen ist es faktisch nicht möglich in den USA über Standarddatenschutzklauseln einen Schutz für personenbezogene Daten herzustellen. Die US-Behörden können auf diesem Wege nicht vertraglich gebunden werden!!
Aus Googles Transparenzbericht geht hervor, dass das Unternehmen regelmäßig Anfragen von den Behörden bekommt. Es ist also gelebte Praxis der Geheimdienste.
Da laut EuGH das Privacy Shield hinsichtlich dieser Thematik keine Abhilfe schaffen konnte, ist nicht davon auszugehen, dass die SDK dazu in der Lage sind. Dies soll allerdings nicht generell heißen, das SDK keine geeigneten Garantien darstellen können.
In einem anderen Drittland, in dem Geheimdienste nicht dieselben Rechte wie die USA eingeräumt bekommen haben, kann dies durchaus der Fall sein. Es ist immer eine detaillierte Einzelfallbetrachtung durchzuführen.
Wie verhält es sich nun mit den „weiterführenden Maßnahmen?“
Um es einmal abzukürzen: Auch weiterführende Maßnahmen werden in Bezug auf die USA nichts an der Situation ändern. Häufiger kommen in diesem Zusammenhang die Stichworte der Anonymisierung, Pseudonymisierung und Verschlüsselung auf:
1) Bei der von Google angebotenen Anonymisierung („IP-Anonymisierung“) werden die personenbezogenen Daten zunächst in Klartext an die Server von Google übertragen und dann dort anonymisiert. Da die Daten aber bereits einmal an Google übertragen wurden, bringt die nachträgliche Anonymisierung auch keinen Mehrwert.
2) Eine Pseudonymisierung ist an sich schon darauf ausgerichtet, den Personenbezug wiederherstellen zu können, in dem z.B. Listen mit IDs gepflegt werden, die den Bezug zu den Personen enthalten. Bei der Pseudonymisierung ist es folglich nicht das Ziel die Personen grundsätzlich unkenntlich zu machen. Natürlich ist eine Pseudonymisierung einer Klartext-Liste vorzuziehen, aber eine wirkliche Sicherheit kann damit auch nicht erreicht werden.
3) Auch mit einer Verschlüsselung ist es schwierig, da bei einer Anfrage der US-Geheimdienste das angefragte Unternehmen (z.B. Google) in der Pflicht ist die Daten lesbar zur Verfügung zu stellen. Dies umfasst auch die Herausgabe des kryptografischen Schlüssels. Somit kann auch über eine Verschlüsselung keine Sicherheit erreicht werden, insofern die Daten nicht vorab auf den eigenen Strukturen verschlüsselt werden und der Schlüssel bei einem selber verbleibt (was allerdings für die Nutzung von Google Analytics faktisch nicht möglich ist).
Was können Unternehmen denn nun tun?
Das Stichwort an dieser Stelle heißt „Risiko(/Nutzen)bewertung“. Dass die Übertragung in die USA unrechtmäßig bleibt, lässt sich (zumindest bis zum nächsten Angemessenheitsbeschluss) nicht ändern. Es liegt nun an jedem Unternehmen selbst zu entscheiden, ob der Einsatz der US-Dienste ein eventuelles Bußgeld wert ist oder ob ggf. auch eine EU-Alternative für den US-Dienst denkbar wäre.
In jedem Fall ist es ratsam eine Risikobewertung durchzuführen, um gemäß der Rechenschaftspflicht des Verantwortlichen einer Behörde darlegen zu können, dass man sich Gedanken um das Thema gemacht hat. Auch können abgeschlossene AV-Verträge, Standarddatenschutzklauseln, eine Einwilligungsabfrage im Cookiemanager und eine transparente Datenschutzerklärung ein Bußgeld ggf. zumindest abmildern.
Quellenangaben:
- ZD 4/2022, Seite 215 – 220, Artikel „ÖDSB: Einsatz von Google Analytics auf Basis von Standarddatenschutzklauseln unzulässig„