Im Januar 2022 gab es eine Entscheidung der österreichischen Datenschutzbehörde gegen die Zulässigkeit der Nutzung von Google Analytics, obwohl Standardvertragsklauseln (SVK) mit Google vereinbart worden waren. Das betroffene Unternehmen war der Betreiber der Webseite netdoktor.at. Diese Webseite veröffentlicht gesundheitliche Beiträge und bietet ihren Patienten darüber hinaus den Online-Service einer virtuellen Sprechstunde inklusive des sogenannten „Symptomcheckers“ an, um damit ein wahrscheinliches Krankheitsbild der jeweiligen Person zu identifizieren.
Die Webseite war in einem Rundumschlag der Organisation noyb (abgekürzt für „none of your business“) an die Datenschutzbehörde gemeldet worden. Es handelt sich bei dieser um eine NGO rund um den Datenschutz-Aktivisten Max Schrems, der auch das Schrems II-Urteil in Bezug auf die Nutzung von US-Diensten beim EuGH voranbrachte. Die Organisation reichte seit der Schrems II-Rechtsprechung rund 101 Musterbeschwerden gegen Unternehmen in 30 EU- und EWR-Mitgliedsstaaten bei den Datenschutzbehörden ein, die z.B. Google Analytics auf ihrer Webseite nutzen. Dies ist auch bei netdoktor.at der Fall gewesen. Der Betreiber stützte sich bei der Google Analytics-Nutzung dabei auf die Standardvertragsklauseln.
Bei der Implementierung von Google Analytics auf einer Webseite findet stets eine Datenübermittlung an Google statt, auf die ein Unternehmen kaum einen Einfluss nehmen kann. Hierbei werden vor allem die nachfolgenden Daten übertragen:
- eine einzigartige Online-Kennungen („unique identifier“), die u.a. das Gerät des Benutzers identifiziert
- die Webseite, auf der sich der Besucher bewegt, inklusive Unterseiten
- Informationen zum Browser, Betriebssystem, Sprachauswahl, Datum und Uhrzeit des Webseiten-Besuchs
- die IP-Adresse des Geräts
Die Datenschutzbehörde in Österreich kam zum Ergebnis, dass es sich bei diesen Daten um personenbezogene Daten gemäß Art. 4 Nr. 1 DSGVO handelt, da es durch die persönliche Kennung möglich ist, einen Nutzer wiederzuerkennen. Auch der Einwand von netdoktor.at, dass das Unternehmen die IP-Adressen-Anonymisierung von Google nutzen würde, machte für die Behörde keinen Unterschied, da auch hier die „unique identifier“ mit weiteren Elementen verknüpft wird und einen Personenbezug ermöglichen würde.
In diesem Zusammenhang stellt für die Behörde auch der Verweis auf die Standardvertragsklauseln von Google kein geeignetes Instrument im Sinne des Kapitel V der DSGVO dar, um ein angemessenes Schutzniveau der Daten sicherzustellen. Da eine Verletzung des Art. 44 DSGVO (Allgemeine Grundsätze der Datenübermittlung) hier nicht verhindert werden kann, hat die österreichische Datenschutzbehörde festgestellt, dass die Nutzung von Google Analytics gegen die DSGVO verstößt (auch dann, wenn Standardvertragsklauseln vereinbart sind!). Gemäß des Sprichworts Papier ist geduldig, kann nach Ansicht der Datenschutzbehörde vieles niedergeschrieben werden. Tatsächlich kommt es in der Praxis aber auf die Umsetzung dieser Maßnahmen an. Daher hat die Behörde trotz abgeschlossener Standardvertragsklauseln festgestellt, dass Google durch die amerikanischen Gesetze (z.B. FISA) der Überwachung durch US-Geheimdienste unterliegt und die vorhandenen zusätzlichen getroffenen Maßnahmen nicht ausreichen, um die Überwachungs- und Zugriffsmöglichkeiten der Geheimdienste auszuschließen.
Auch der EDSA (Europäischer Datenschutzausschuss) äußerte sich in dessen Feststellung dazu, dass zusätzliche Maßnahmen nur dann als effektiv i.S.d. Schrems-II-Urteils zu betrachten seien, sofern die Maßnahmen genau die Rechtslücken schließen würden, die der Datenexporteur (hier netdoktor.at) bei seiner Prüfung der Rechtslage im Drittland festgestellt hat. Sollte es dem Datenexporteur letztendlich nicht möglich sein, ein im Wesentlichen gleichwertiges Schutzniveau zu erzielen, darf er die personenbezogenen Daten laut dem EDSA nicht übermitteln.
Ein klassisches Beispiel hierfür ist das Thema Verschlüsselung. Oftmals werben US-Anbieter damit, dass Daten nur verschlüsselt auf ihre Server übertragen und dort gespeichert werden. Dies ist allerdings nur solange für den Datenexporteur von Vorteil, wie der Schlüssel auch in seiner Hand bleibt und beim US-Anbieter nur unlesbarer „Datenmüll“ vorliegt. Liegt der Schlüssel für die Daten hingegen ebenfalls bei dem US-Unternehmen, ist auch hier ein behördlicher Zugriff möglich, sodass die Verschlüsselung keinen Mehrwert hat.
Die Entscheidung der österreichischen Datenschutzbehörde richtet sich gegen den Webseitenbetreiber netdoktor.at und nicht gegen die Google LLC (USA), da die Vorschriften des Kapitel V der DSGVO vorwiegend vom Datenexporteur einzuhalten sind. Auch die niederländische Aufsichtsbehörde hat zwei ähnliche Entscheidungen für Anfang 2022 angekündigt. Wenn weitere Behörden und auch Gerichte auf diesen Zug aufspringen, gehen die Folgen weit über die Nutzung des Dienstes „Google Analytics“ hinaus. Dies könnte im Zweifelsfall bedeuten, dass Unternehmen in Europa künftig gar keine US-Clouddienste mehr nutzen dürfen (auch nicht mit SVK).
Quellenabgabe:
- Artikel „Google Analytics und das Datenübermittlungsproblem“, abegrufen am 25.01.2021 unter https://www.dr-datenschutz.de/google-analytics-und-das-datenuebermittlungsproblem/