DA+

Aufsatz : Google Analytics auf dem Prüfstand der DS-GVO – Grenzen, Risiken und Möglichkeiten : aus der RDV 5/2022, Seite 253 bis 258

Anfang 2022 veröffentlichten sowohl die österreichische als auch die französische Datenschutzaufsicht Bewertungen zum Webanalysetool Google Analytics als Antworten auf die Beschwerden der gemeinnützigen Organisation noyb von Max Schrems und lassen darin kaum Platz für einen DS-GVO-konformen Einsatz von Google Analytics. Da sich die deutsche Datenschutzaufsicht nach den Beschwerden von noyb noch nicht offiziell zum Einsatz von Google Analytics geäußert hat, befasst sich dieser Beitrag mit den Lücken in der Bewertung der Behörden und legt dar, warum diese zu Undurchsichtigkeit für Verantwortliche in der EU führen. Die Einwilligung als Rechtsgrundlage bleibt als einzige Möglichkeit, die Datenverarbeitung in die USA als Drittland zu legitimieren.

Lesezeit 20 Min.

I. Google Analytics als breit gefächertes Webanalysetool

Google Analytics ist ein Webanalysetool, welches verschiedene Funktionen für Webseitenbetreiber anbietet. Nicht nur die reine Reichweitenmessung, sondern auch tiefergehende Analysen und Auswertungen zu Webseitenbesuchern und ihrem Verhalten sind möglich.[1] Dies führt nicht nur dazu, dass das Verhalten von Webseitenbesuchern nachverfolgt werden kann. Webseitenbetreiber können auch die Wirksamkeit von Werbeanzeigen analysieren und optimieren.

II. Auswirkungen aus § 25 TTDSG

Google Analytics greift also auf Informationen aus dem Browser oder des Geräts des Webseitenbesuchers zu und verarbeitet diese weiter. An dieser Stelle findet das am 01.12.2021 in Kraft getretene Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG) Anwendung. Das neue Stammgesetz regelt die Verarbeitung von Informationen auf Endeinrichtungen, bspw. von Cookies, und setzt damit die Richtlinie 2009/136/EG in nationales deutsches Recht um.[2] Nach § 25 Abs. 1 TTDSG ist ein Zugriff auf Informationen auf der Endeinrichtung des Endnutzers nur dann rechtmäßig, wenn der Endnutzer seine Einwilligung erteilt hat.[3] Für die Verwendung von Google Analytics durch Webseitenbetreiber bedeutet das, dass eine Einwilligung nach § 25 Abs. 1 TTDSG erforderlich ist, da Google Analytics entweder mit Tracking-Cookies arbeitet oder andere Tracking-Methoden wie das Device Fingerprinting verwendet.

III. Personenbezug unabhängig von der „Anonymisierung“ der IP-Adresse

Während § 25 TTDSG nicht auf personenbezogene Daten begrenzt ist, ist für die Frage der Relevanz nach der DS-GVO relevant, inwieweit personenbezogene oder -beziehbare Daten durch Google Analytics verarbeitet werden.

Google bietet zwar eine Möglichkeit der IP-Anonymisierung, doch die IP-Adresse der Nutzer kommt erst in Klarform bei Google an, bevor sie dort alsbald anonymisiert wird.[4]Außerdem verarbeitet Google nicht nur die IP-Adresse des Webseitenbesuchers, sondern bspw. auch technische Daten zum Browser, Betriebssystem oder der genauen Zeiten des Besuchs, sodass ein Personenbezug unabhängig von der Aktivierung der IP-Anonymisierungsfunktion anzunehmen ist.

IV. Bisherige Bewertung in Deutschland

Dadurch, dass Google Analytics sehr viele, teilweise tiefgreifende Analysemöglichkeiten bietet, stand das Tool schon seit jeher im Fokus der Datenschutz Aufsichtsbehörden in Deutschland. Schon weitaus vor Inkrafttreten der DSGVO wurde das Tool durch die Aufsichtsbehörden in Deutschland geprüft und bewertet.[5] In Deutschland wurde seit Inkrafttreten der DS-GVO sowohl durch eine Gerichtsentscheidung als auch durch die Stellungnahme einer Datenschutzaufsichtsbehörde die Ansicht vertreten, dass die Nutzung von Google Analytics auf Webseiten mit einer Einwilligung der Webseitenbesucher legitimierbar ist.

1. Rechtsprechung und Datenschutzbehörden bisher für Einwilligungslösung

Die ausschlaggebende Rechtsprechung nach Inkrafttreten der DS-GVO legte das Landgericht Dresden im Januar 2019.[6] Das Gericht entschied zugunsten des Klägers, dass die Weitergabe der IP-Adresse durch den Webseitenbetreiber an einen Dritten (Google) einen „unzulässige[n] Eingriff in das allgemeine Persönlichkeitsrecht des Klägers“[7] darstellte. Das LG Dresden stellt in seinem Urteil vor allem auf eine mögliche Einwilligung ab, die – nach damaliger Rechtslage – im Rahmen des § 13 Abs. 2 TMG eingeholt werden konnte. § 13 TMG wurde mittlerweile durch den bereits erwähnten § 25 TTDSG ersetzt, womit das LG Dresden im Ergebnis aber dennoch auf die Einwilligung nach dem Telemedienrecht verweist.

Das Bayrische Landesamt für Datenschutzaufsicht (BayLDA) folgte im Tenor der Entscheidung des LG Dresden und veröffentliche im November 2019 eine Pressemitteilung zur Nutzung von Google Analytics.[8] Das BayLDA geht in dieser Pressemitteilung zwar davon aus, dass jede über die reine Reichweitenmessung hinausgehende Verarbeitung zur Erstellung eines Profils als Tracking verstanden wird und ein solches nur mit einer Einwilligung der Webseitenbesucher möglich ist. Im jüngsten von der Datenschutzkonferenz (DSK) veröffentlichten Papier aus Dezember 2021 wird jedoch darauf hingewiesen, dass selbst die „klassische“ Reichweitenmessung nicht ohne Einwilligung funktioniere.[9] Dem Tenor der DSK folgend ist für Webanalysetools wie Google Analytics, die deutlich mehr als nur die reine Reichweitenmessung als Funktion anbieten, eine Einwilligung nach § 25 TTDSG erforderlich. Die DSK weicht nun also von der Richtung des BayLDA ab, nach der die Reichweitenmessung als solche nicht direkt einwilligungsbedürftig war.

V. Schrems II als neuer Maßstab der Bewertung von Transfer in Drittstaaten

Die datenschutzrechtliche Kritikalität von Tools wie Google Analytics, die von Unternehmen angeboten werden deren Mutterkonzern in Drittländern wie den USA sitzen, wurde im Juni 2020 durch den EuGH in der als „Schrems II“ bekannten Entscheidung noch einmal in den Fokus gestellt.[10] Der EuGH kam in seiner Entscheidung zu dem Schluss, dass kein angemessenes Datenschutzniveau beim Transfer personenbezogener Daten in die USA gewährleistet werden könne, wenn Verantwortliche sich auf die Verarbeitungsgrundsätze des Privacy Shield beruhten. Insgesamt erklärte der EuGH den Privacy Shield-Beschluss der EU-Kommission für ungültig, da er unvereinbar mit Art. 45 Abs. 1 DS-GVO war.[11] Der EuGH bewertete auch die Standardvertragsklauseln (SVK) in ihrem damaligen Stand und kam zu dem Schluss, dass sie vertragliche Garantien darstellen, die den Vertragsparteien ermöglichen, durch einen vorgeschriebenen Vertrag ein angemessenes Schutzniveau herzustellen, das dann zumindest zwischen den vereinbarenden Parteien herrscht.[12]

VI. Nyob und die auf Schrems II folgenden Beschwerden

Wenige Monate nach der Entscheidung des EuGH zum Privacy Shield wurden durch die von Maximilian Schrems gegründete gemeinnützige Organisation NYOB 101 Beschwerden gegen europäische Unternehmen eingereicht.[13] Google Analytics spielt bei diesen Beschwerden eine zentrale Rolle, da es aus Sicht von NYOB eines der Tools ist, welches von einem der größten US-Unternehmen sehr stark bei europäischen Webseiten eingesetzt wird. Der Europäische Datenschutzausschuss richtete daraufhin zusammen mit dem BfDi in Deutschland eine Task Force ein, um die Beschwerden durch NYOB schnell und möglichst einheitlich zu bearbeiten.[14]

Obwohl die zahlreichen Beschwerden einen Stand widerspiegeln, der sich im Laufe des Jahres 2021 maßgeblich geändert hat – allen voran nämlich durch die Veröffentlichung der neuen Standardvertragsklauseln – sorgte sowohl die österreichische als auch die französische Datenschutzaufsichtsbehörde Anfang des Jahres für großes Aufsehen mit ihren Bewertungen von Google Analytics.

VII. Aktuelle Bewertungen europäischer Datenschutzaufsichtsbehörden

Die Beschwerden durch nyob führen seit Januar 2022 schon zu mehreren Bewertungen von Google Analytics durch die Aufsichtsbehörden. Bedingt durch eben diese zahlreichen Beschwerden ist abzusehen, dass weitere Bewertungen durch nationale Aufsichtsbehörden folgen werden. Zwar haben einige Aufsichtsbehörden wie die spanische oder luxemburgische die Beschwerden fallen gelassen, weil die entsprechenden Webseiten Google Analytics nicht mehr einsetzen.[15] Jedoch müssen die Bewertungen durch die österreichische Datenschutzbehörde sowie der französischen CNIL an dieser Stelle detaillierter betrachtet werden, um die Argumentationslogik und die Lücken darin zu verstehen.

1. Österreichische Datenschutzbehörde

Am 22.12.2021 veröffentlichte die österreichische Datenschutzbehörde einen Bescheid als Antwort auf eine der Beschwerden durch NYOB. Die Behörde kam zu dem Ergebnis, dass der Einsatz von Google Analytics nach dem Schrems II-Urteil des EuGH nur mit den Standardvertragsklauseln als Basis nicht zulässig ist.[16] Die Entscheidung des EuGH zum Privacy Shield und die Zugriffsmöglichkeiten durch US-amerikanische Behörden wurden den Überlegungen zum generellen Einsatz von Google Analytics zugrunde gelegt. Die österreichische Behörde bewertete für ihren Bescheid die Standardvertragsklauseln in ihrem damals gültigen Stand und stellte fest, dass der alleinige Abschluss der SVK nicht ausreichend ist, um ein angemessenes Datenschutzniveau nach Art. 44 DS-GVO herzustellen. Sie betont zwar, dass der EuGH in der Rs. Schrems II die SVK für gültig erklärt hat, aber gleichzeitig auch, dass diese dennoch nur Verträge sind und damit Behörden in Drittländer nicht binden können. Zwar geht die österreichische Behörde davon aus, dass der EuGH zusätzliche Maßnahmen zu den SVK als Option darstellt, ein angemessenes Datenschutzniveau herzustellen. Jedoch werden die zusätzlichen Maßnahmen durch Google als unzureichend bewertet. Selbst die Aussage von Google, dass jede Datenzugriffsanfrage durch US-Behörden geprüft werde, stelle keine effektive Maßnahme dar, da die Zugriffe auf personenbezogene Daten durch Drittstaaten dennoch gegen Art. 8 GRCh verstoßen.

Eine andere Rechtsgrundlage als die SVK, wie bspw. die Einwilligung nach Art. 49 DS-GVO, wurde durch die österreichische Datenschutzbehörde nicht geprüft, da in dem ihr vorliegenden Fall auch keine Einwilligung auf der Webseite eingeholt wurde.

2. Französische Aufsichtsbehörde CNIL

Die französische Aufsichtsbehörde CNIL folgte am 10.02.2022 mit einer Stellungnahme, die ebenfalls zum Ergebnis hatte, dass der Einsatz von Google Analytics nicht datenschutzkonform sei, und forderte Webseitenbetreiber in Frankreich dazu auf, die Nutzung des Google AnalyticsDienstes unter den gegebenen Umständen einzustellen.[17] Laut der CNIL ist der Datentransfer in die USA nicht ausreichend geregelt und könnte nur dann erfolgen, wenn Google geeignete Maßnahmen ergreift, um ein sicheres Datenschutzniveau herzustellen. Google habe laut der CNIL zwar zusätzliche Maßnahmen zu den SVK getroffen, diese seien aber unzureichend. Sie folgen dem Tenor der österreichischen Datenschutzbehörde und weisen darauf hin, dass der Zugriff US-amerikanischer Geheimdienste auf die übermittelten Daten nicht ausgeschlossen werden kann. Damit sei die Einhaltung der Art. 44 ff. DS-GVO nicht sichergestellt.

3. Europäische Datenschutzbehörde – EDSB

Nicht nur die Datenschutzaufsichtsbehörden der Länder erhielten Beschwerden durch NOYB, auch auf EU-Ebene wurden Beschwerden platziert. Im Fall der EDSB gab es schon im Oktober 2020 Beschwerden von Betroffenen aus dem EUParlament an die EDSB, die dann im Januar 2021 von NOYB wiederholt und mit neuen Argumenten hinterlegt wurden.

Das EU-Parlament bot aufgrund der COVID-19 Pandemie eine Webseite an, über der sich Parlamentsmitglieder und Mitarbeiter für PCR-Tests anmelden konnten. Einige Betroffene führten einen Scan durch und stellten fest, dass Cookies von u.a. Google Analytics verwendet wurden, ohne dass hierüber informiert wurde.[18] In seiner Bewertung kam die EDSB zu dem Ergebnis, dass das EU-Parlament in seinem Cookie-Banner auf der Webseite nicht ausreichend über die Datenverarbeitung durch Google Analytics informiert hatte und demnach die Betroffenen nicht gem. der Richtlinie 2009/136/EG zur Verarbeitung ihrer personenbezogenen Daten einwilligen konnten.

VIII. Kritische Auseinandersetzung mit bisherigen Entscheidungen der Datenschutzbehörden in Europa

Die bisherigen Bewertungen der Datenschutzaufsichtsbehörden in der EU schaffen keine Rechtssicherheit in mehreren Aspekten, begonnen bei Google Analytics als spezifisches Tool, bis hin zum Datentransfer in Drittstaaten nach Art. 44 ff. DS-GVO. Betrachtet man die Bewertungen inhaltlich, entstehen einige Kritikpunkte, die näher aufgegriffen werden müssen.

1. Zu eng gefasste Betrachtung der österreichischen Datenschutzbehörde

Die Bewertung der österreichischen Datenschutzbehörde bezieht sich auf einen speziellen Fall und stellt gar nicht auf eine allgemeine Bewertung des Tools ab. Dies könnte man aufgrund der üblichen juristischen Strahlkraft rechtlicher Einschätzungen durch Behörden außer Acht lassen, wenn die gegebenen Umstände des österreichischen Falles nicht ausschlaggebend dafür wären, dass die Bewertung als solche hinterfragt werden muss. Obwohl die österreichische Bewertung viele Kritikfelder öffnet, sollen an dieser Stelle zwei prägnante genannt werden. Die österreichische Datenschutzbehörde legt fest, dass der Einsatz der Anonymisierungsfunktion von Google Analytics keine Rolle spielt, weil der Zugriff von Google auf die Daten des Webseitenbesuchers sowieso anzunehmen ist, da er einen Account bei Google hat. Es ist also darauf hinzuweisen, dass Österreich einen zu hohen Eingriff in die Persönlichkeitsrechte des Betroffenen sieht, wenn auf einer von ihm besuchten Webseite personenbeziehbare Daten zum Gerät, Browser usw. in die USA transferiert werden. Dass der betroffene Webseitenbesucher ein freiwillig erstelltes Google Konto besitzt (über das im Übrigen weitaus mehr und „interessantere“ Daten von Google verarbeitet werden) spielt bei der Bewertung des Gesamtrisikos keine Rolle. Fraglich ist daher eher, ob die Datenschutzbehörde in Österreich nicht hätte empfehlen sollen, überhaupt keine Benutzerkonten bei Google zu erstellen.

Zudem bewertete Österreich die Webseite und den Einsatz von Google Analytics zu einem Zeitpunkt, zu dem noch die Google Inc. Vertragspartner des Webseitenbetreibers war. Dies hat sich mittlerweile geändert, denn Google Ireland ist Vertragspartner und damit Datenexporteur an die Muttergesellschaft in den USA. Sollte es keine Rolle spielen, dass der Verantwortliche in der ersten Kette der Verarbeitung mit einem EU-ansässigen Unternehmen arbeitet, weil davon ausgegangen wird, dass ein Transfer von Daten durch diese Entität in der EU in die USA erfolgt, stellt sich die Frage, ob Verantwortliche sowieso immer von einem Drittstaatentransfer ausgehen müssen, wenn Subunternehmer (egal ob Muttergesellschaft oder nicht) des europäischen Vertragspartners in Drittländern sitzen. Hierbei geht Österreich davon aus, dass die US-behördlichen Gesetze es erlauben, unabhängig vom Standort auf personenbezogene Daten zuzugreifen. Jedoch führt eine solche Annahme auch dazu, dass fraglich ist, ob Verantwortliche in der EU überhaupt mit Unternehmen arbeiten können, die eine Muttergesellschaft in den USA haben.

2. Einzelne Tools statt das Große und Ganze im Fokus der Behörden

Doch auch wenn die Bewertungen der nationalen Datenschutzbehörden auf einzelnen Beschwerden durch NYOB beruhen, bleibt die Frage im Raum, weswegen eine Taskforce eingerichtet wurde, wenn diese nicht dazu führt, dass Google Analytics EU-weit, bspw. durch den EDSA, bewertet wird? Während also Unternehmen in Österreich nicht wissen, ob Google Analytics durch eine Einwilligung rechtskonform einsetzbar wäre, bejaht der EDSB dies in seiner Stellungnahme, während die dritte Datenschutzaufsicht in Frankreich eine technische Lösung anbietet.[19] Die nicht in letzter Konsequenz verfolgte Einheitlichkeit in der detaillierten Bewertung der Behörden wird dadurch verstärkt, dass viele Verantwortliche Webseitenbetreiber vor die Entscheidung gestellt werden, ob denn nun nur Google Analytics nicht erlaubt ist, oder nicht doch alle Produkte, die Google und andere große Cloud-Anbieter in Europa anbieten. Die Behörden verbindet bisher eine Ansicht: Google erlaubt den Datentransfer in die USA und (damit auch) Datenzugriff durch US-amerikanische Behörden und kann daher nicht DS-GVO-konform eingesetzt werden. Demnach müssten aber alle Tools der Google Cloud Plattform nicht datenschutzkonform einsetzbar sein, also auch bspw. Google Firebase, Google ReCaptcha oder Google Maps.

3. Ein hohes Risiko durch Zugriff von US-Sicherheitsbehörden?

Eines der einschlägigsten Argumente der bisherigen behördlichen Aussagen zu Google Analytics sind die potenziellen Zugriffe von Behörden und Geheimdiensten in den USA auf personenbezogene Daten von Europäern. Grundlage ist die Schrems II-Entscheidung des EuGH, die genau diesen Zugriff als Verstoß gegen Art. 8 GRCh sieht und das EU-USPrivacy Shield als nicht geeignet eingestuft hat, ein dennoch angemessenes Datenschutzniveau herzustellen. Doch welches Risiko ein möglicher Zugriff einer US-Behörde auf pseudonymisierte Daten zur Webseitennutzung birgt, ist fraglich. Die Bewertung aus Österreich weist auf einen nicht zu vernachlässigenden Fakt hin, nämlich dass viele private Nutzer einen Account bei Google haben und Webseiten besuchen, während sie in mit diesem Konto eingeloggt sind. Es fehlt eine stringente Logik in der Bewertung des Risikos für die informationelle Selbstbestimmung des Einzelnen, wenn man von registrierten Nutzern ausgeht, von denen es mehrere Millionen gibt. Da US-Gesetze wie FISA 702 für eine Mehrheit US-ansässiger Unternehmen gilt, kann angezweifelt werden, ob der Fokus von Behördenanfragen auf Geräteinformationen ist, die entschlüsselt werden müssten, oder der sonstige digitale Fingerabdruck eines Internetnutzers nicht interessanter ist.[20]

4. Abschwächung der neuen Standardvertragsklauseln

Zwar wurden die SVK im Schrems II-Urteil des EuGH nicht für nichtig erklärt, jedoch sah der EuGH zusätzliche, nicht weiter definierte Maßnahmen für notwendig an, um den Datentransfer tatsächlich legitim zu gestalten. Die SVK wurden dann rund ein Jahr später, im Juni 2021, in einer neuen Version von der EU-Kommission verabschiedet. In den neuen Klauseln 14 und 15 der SVK wird nun festgelegt, dass ein sogenanntes Transfer Impact Assessment (TIA), dem Grunde nach eine Bewertung des Risikos des Datentransfers, durchgeführt und dokumentiert werden muss. Bestimmte Aspekte der Bewertung des Schutzniveaus sind zwar in Klausel 14 lit. b genannt, jedoch sind sie in ihrem Detailgrad sehr grob gehalten. Der EDSA veröffentlichte zwar ein Papier zur weiteren Hilfe bei Erstellung des TIA,[21] doch im Ergebnis obliegt es einem gewissenhaften TIA durch den Datenexporteur, um zu entscheiden, dass der Datentransfer kein Risiko birgt. Österreich hatte für seinen Bescheid nur die alte Version der SVK geprüft, aber auch zu einem risikobasierten Ansatz äußerte sich die Behörde kritisch und verwarf diesen.[22]Die CNIL stellte auch in ihrer Bewertung fest, dass die zusätzlich von Google dokumentierten Maßnahmen für einen sicheren Datentransfer nicht ausreichend seien. Wenn aber der durch die neuen SVK versuchte Ansatz, auf Beanstandung des EuGH hin den Drittstaatentransfer mit zusätzlichen Maßnahmen zu legitimieren, offensichtlich nicht ausreicht, stellt sich mitunter die Frage, warum die neuen SVK überhaupt entwickelt wurden.

Datenexporteure müssen die neuen SCCs bis zum 28.12.2022 umgesetzt haben, inklusive der TIA für jeden Datentransfer. Die Frage ist aber, welche Sicherheiten überhaupt gegeben sind, dass die durchgeführten Risikobewertungen einer Prüfung der Behörden standhalten würden. Klausel 15 der SVK gibt zwar zusätzlich vor, dass sich der Datenimporteur an bestimmte Regelungen zu halten hat, wenn Behörden aus dem Drittstaat einen Zugriff anfragen.

Die Behörden halten aber das auch nicht für ausreichend, womit die neuen SVK keine Rechtssicherheit für Datenexporteure darstellen.

5. Politisch geprägter Konflikt

Der Blick auf die bisherigen Bewertungen der Datenschutzbehörden macht erkenntlich, dass die einzige Lösung, wie Google – genauso wie alle anderen Unternehmen in Drittländern, DS-GVO-konform werden kann – ein Verstoß gegen nationale Gesetze in den USA ist. Kann es dann überhaupt Fälle geben, in denen ein Datentransfer in die USA überhaupt DS-GVO-konform möglich ist? Folgerichtig müsste man dies hier verneinen. Denn wenn selbst die Einhaltung der neuen SVK sowie die weiteren von Google getroffenen Maßnahmen nicht ausreichend sind, ist anzuzweifeln, ob überhaupt ein anderes US-amerikanisch-ansässiges Unternehmen Lösungen anbieten könnte, die europäische Datenschutzbehörden als ausreichend bewerten würden.

Microsoft geht sogar so weit, jede behördliche Anfrage anzufechten – soweit juristisch möglich – und Betroffenen finanzielle Entschädigungen anzubieten.[23] Ob dies einer Prüfung durch europäische Datenschutzbehörden als ausreichend angesehen werden würde, ist allerdings nach aktueller Lage fraglich.

Es wird zwar aktuell an einem neuen Abkommen zwischen den USA und der EU gearbeitet.[24]Inwieweit dieses neue Abkommen jedoch die vom EuGH festgestellten Mängel des Schutzniveaus bei Datentransfer in die USA adressiert, ist zum aktuellen Zeitpunkt nicht abzusehen. Ebenso wenig, wie lange ein solches Abkommen Bestand haben wird, bevor der EuGH es wie schon Safe Harbor und Privacy Shield für ungültig erklärt.

IX. Einordnung von Google als Datenimporteur sowie eigene Verantwortliche

Die österreichische Datenschutzbehörde legte in ihrem Bescheid fest, dass Google nicht als Empfänger personenbezogener Daten zu qualifizieren sei, weil keine Daten offengelegt würden, sondern Google die Daten lediglich erhält. Aus Sicht der österreichischen Behörde geht damit einher, dass der Datenexporteur, und nicht etwa auch der Datenimporteur die Vorgaben der Art. 44 ff. DS-GVO einzuhalten hat. Damit folgt Österreich nicht der Ansicht des EDSA, der in einer Guideline Fälle wie den von Google Ireland und Google Inc. als klassischen Fall von Datenexporteur und Datenimporteur sehen würde.[25] Google Inc. ist sehr wohl Datenimporteur, wenn personenbezogene Daten durch Google Ireland als Datenexporteur bereitgestellt werden und damit auch an die Vorgaben aus der DS-GVO gebunden. Der österreichischen Einordnung von Google nicht nur als Auftragsverarbeiter, sondern auch als eigener Verantwortlicher kann leicht gefolgt werden. Zu berücksichtigen ist hierbei, dass Google selbst verschiedene Einstellungen anbietet, die unter anderem auch ermöglichen, dass der Geschäftskunde die Nutzung von Daten zu eigenen Zwecken (wie der Verbesserung der Produkte und Dienste) ausstellt.[26]

X. Deutsche Cloud von Google als Alternative zur Public Cloud

Google und die Tochtergesellschaft der Deutschen Telekom, T-Systems, kündigten an, eine souveräne Cloud für Unternehmen und Behörden aufzubauen.[27] Hierfür sollen die Rechenzentren von Google genutzt werden. Die Server sollen aber dennoch physisch getrennt von den Public Cloud Computing-Servern von Google stehen, und ein Zugriff durch Google Mitarbeiter soll nur dann erfolgen, wenn das Security Operations Center (SOC) von T-Systems diesen freigibt. Das Projekt wird aktuell jedoch erst noch daraufhin geprüft, ob es den Vorgaben des BSI entsprechen kann, sodass erst mit Inbetriebnahme eine nähere Bewertung möglich sein wird.

Betrachtet man dann die Kernproblematik des Zugriffs von US-Behörden auf personenbezogene Daten, bleibt dieses weiterhin bestehen. Mit einem Blick auf die Zugriffsrechte der US-amerikanischen Behörden, bspw. verankert durch den CLOUD Act, wird deutlich, dass die Anbieter von Cloud Computing-Diensten nur begrenzt Möglichkeiten haben, einen solchen Zugriff selbst ohne Transfer der Daten in die USA zu verhindern. Der CLOUD Act erlaubt den USamerikanischen Behörden einen weiten Zugriff auf in der EU ruhende Daten, soweit die Muttergesellschaft des Unternehmens in den USA sitzt. Theoretisch öffnet der CLOUD Act daher die Möglichkeit, dass selbst auf Rechenzentren in der EU zugegriffen werden kann, und macht damit das Potenzial einer deutschen Google-Cloud, ein sicheres Datenschutzniveau herzustellen, weitgehend obsolet.

XI. Einwilligung als „letzte“ mögliche Legitimierung des Datentransfers

Die deutschen Datenschutzaufsichtsbehörden haben nach den Beschwerden durch noyb noch keine offiziellen rechtlichen Meinungen zu Google Analytics veröffentlicht. Es bleibt allerdings nur eine Frage der Zeit, bis diese folgen werden. Auch wenn die Details der Bewertungen nicht im Detail deckungsgleich sind, stellen die bisherigen Beurteilungen durch Frankreich, Österreich und dem EDSB klar, dass ein möglichst einheitlicher Ansatz zur Bewertung EUweit angestrebt wird. Zumindest die Richtung wird klar. Die Einwilligung der Webseitenbesucher einzuholen, um so den Einsatz von Google Analytics zu legitimieren, bleibt als Möglichkeit, Google Analytics DS-GVO-konform einzusetzen. Wie schon beschrieben, ist beim Einsatz von Google Analytics nach § 25 TTDSG eine Einwilligung notwendig. Diese informierte Einwilligung könnte mit einer Art. 49 Abs. 1 lit. a DS-GVO entsprechenden Einwilligung gekoppelt werden, um dann gleichzeitig auch eine Einwilligung in den möglichen Datenzugriff durch Dritte zu erhalten. Die DSK legt in ihrer Orientierungshilfe für Telemedien zwar Art. 49 DS-GVO streng aus und folgt damit der Ansicht des EDSA.[28] Der EDSA legt Art. 49 Abs. 1 lit. a in Relation zu Abs. 2 so aus, dass eine Einwilligung in den Datentransfer nur bei nichtregelmäßiger Datenverarbeitung rechtmäßig ist. Es braucht keine tiefgehende teleologische Analyse des Artikels, um eine solche Auslegung mindestens als stark bedenklich einzustufen. Vor allem fällt eine solch strenge Auslegung der Einwilligung umso schwerer, wenn man bedenkt, dass nur dann, wenn die Voraussetzungen einer informierten Einwilligung nach Art. 7 DS-GVO gegeben sind, Betroffene eine informierte Entscheidung treffen könnten. Diese Möglichkeit pauschal abzusprechen, ist höchst kritisch zu bewerten, wenn dadurch die informationelle Selbstbestimmung des Einzelnen so weit eingeschränkt wird, dass nicht einmal die Entscheidung offen gestellt wird.

XII. Fazit

Die rechtlichen Aussagen der bisherigen Datenschutzbehörden zum Einsatz von Google Analytics bleiben lückenhaft und führen zu geringer Rechtssicherheit für Verantwortliche und Auftragsverarbeiter in der EU, die als Datenexporteur personenbezogene Daten in die USA transferieren oder zumindest die Möglichkeit für US-Sicherheitsbehörden herstellen, auf Daten zuzugreifen. Die Datenschutzbehörden lassen unberücksichtigt, dass es vier neue Sets an SVK gibt, die geeignete Garantien nach Art. 46 Abs. 2 c) DS-GVO darstellen können. Fraglich ist, in welcher Ausgestaltung der SVK, speziell des TIA und der damit einhergehenden Risikobewertung und zusätzlich ergriffenen Maßnahmen durch den Datenimporteur, diese von den Behörden als ausreichend bewertet werden würden. Es bleibt auch abzuwarten, ob die Einwilligung nach Art. 49 Abs. 1 lit. a) DS-GVO als mögliche Rechtsgrundlage Bestand haben wird, die enge Auslegung des Artikels müsste dafür aber in Frage gestellt und überdacht werden.

Dinya Berwari, LL.M. ist seit 2017 als Datenschutzkoordinatorin bei ALDI Süd beschäftigt. Der Fokus liegt dort auf den Bereichen Kundendatenschutz und Ecommerce, sowie auf Internationalem Datenschutz.

[1] Weitere Informationen zu den detaillierten Funktionalitäten unter: https://marketingplatform.google.com/about/analytics/, aufgerufen am 08.07.2022.

[2] Siehe hierzu: Taeger/Gabel/Ettig, 4. Aufl. 2022, TTDSG, Rn. 1-4.

[3] Siehe hierzu: Taeger/Gabel/Ettig, 4. Aufl. 2022, TTDSG § 25.

[4] Siehe hierzu: https://support.google.com/analytics/answer /2763052?hl=en, aufgerufen am 08.07.2022.

[5] Siehe hierzu u.A. ZD-Aktuell 2011, 19; MMR-Aktuell 2011, 323860; ZDAktuell 2014, 03935.

[6] LG Dresden, Urt. v. 11.01.2019 – 1a O 1582/18

[7] LG Dresden, Urt. v. 11.01.2019 – 1a O 1582/18, BeckRS 2019, 12930, Rn. 22.

[8] Vgl. Bayrisches Landesamt für Datenschutzaufsicht, „Google Analytics nur mit Einwilligung“, Pressemitteilung vom 15.11.2019.

[9] DSK, „OH Telemedien 2021“, S. 25.

[10] Vgl. EuGH (Große Kammer), Slg. 2020 – C-311/18.

[11] Vgl. EuGH (Große Kammer), Slg. 2020 – C-311/18, Rn. 199

[12] Vgl. EuGH (Große Kammer), Slg. 2020 – C-311/18, Rn. 132 ff.

[13] Vgl. https://noyb.eu/de/101-beschwerden-zu-eu-us-transfers-eingereicht, aufgerufen am 08.07.2022.

[14] Siehe hierzu: BfDI/EDSA: Task Force zu Beschwerden gegen Nutzung von Google- und Facebook-Services, ZD-Aktuell 2020, 07288.

[15] Vgl. https://noyb.eu/en/update-noybs-101-complaints-austrian-dparejects-risk-based-approach-data-transfers-third-countries, aufgerufen am 08.07.2022.

[16] Vgl. ÖDSB, Teilbescheid v. 22.12.2021 – D155.027, 2021-0.586.257.

[17] Vgl. https://www.cnil.fr/en/use-google-analytics-and-data-transfersunited-states-cnil-orders-website-manageroperator-comply, aufgerufen am 08.07.2022.

[18] Vgl. https://noyb.eu/sites/default/files/2022-01/Case%202020-1013%20-%20EDPS%20Decision_bk.pdf, aufgerufen am 08.07.2022.

[19] Vgl. dazu näher: Votteler, CNIL: Handreichung zur datenschutzkonformen Verwendung von Google Analytics und ähnlichen Analysetools, ZDAktuell 2022, 01217.

[20] Im Detail zu den Behördenzugriffen mit Fokus auf FISA 702 siehe: Vladeck, Stephen, Expert Opinion on the Current State of U.S. Surveillance Law and Authorities, DSK.

[21] Siehe https://edpb.europa.eu/sites/default/files/consultation/edpb_recommendations_202001_supplementarymeasurestransferstools_en.pdf, aufgerufen am 08.07.2022.

[22] Siehe https://noyb.eu/de/oesterreichische-behoerde-lehnt-risikobasierten-ansatz-fuer-datenuebermittlungen-drittlaender-ab, aufgerufen am 08.07.2022.

[23] Vgl. Microsoft, Unsere Antwort an Europa: Microsoft ermöglicht Speicherung und Verarbeitung von Daten ausschließlich in der EU, https://news.microsoft.com/de-de/unsere-antwort-an-europa-microsoft-ermoeglicht-speicherung-und-verarbeitung-von-daten-ausschliesslich-inder-eu/, aufgerufen am 08.07.2022.

[24] Vgl. Redaktion beck-aktuell, EU und USA einigen sich im Grundsatz auf neues DatenschutzabkommenVerlag C.H.BECK, 25. März 2022 (dpa)

[25] Vgl. dazu Europäischer Datenschutzausschuss (European Data Protection Board), Guidelines 05/2021 on the Interplay between the application of Article 3 and the provisions on international transfers as per Chapter V of the GDPR.

[26] Vgl. https://support.google.com/analytics/answer/9019185#zippy=%2Cin-this-article, aufgerufen am 08.07.2022.

[27] Vgl. https://www.telekom.com/de/konzern/details/impuls-fuer-souveraene-digitalisierung-643216, aufgerufen am 08.07.2022.

[28] Vgl. https://www.datenschutzkonferenz-online.de/media/dsgvo/edpb_guidelines_2_2018_derogations_de.pdf, aufgerufen am 08.07.2022.