Österreichische Datenschutzbehörde hält den Einsatz von Google Analytics für unzulässig
Gibt es weiterhin die Möglichkeit, Google Analytics rechtssicher einzusetzen? Welche Handlungsoptionen gibt es für Unternehmen? Und welche Effekte ergeben sich für die Zusammenarbeit mit anderen Dienstleistern in den USA? Aus einer aktuellen Entscheidung der österreichische Datenschutzbehörde („DSB“) zu Google Analytics ergeben sich einige Fragestellungen.
Datenübermittlung in die USA verstößt laut DSB gegen Art. 44 DSGVO
Nach Auffassung der Behörde handelt es sich bei den Daten, die bei der Nutzung von Google Analytics an Google übermittelt werden um personenbezogene Daten nach Art. 4 Nr. 1 DSGVO. Dazu zählen eine einzigartige Online-Kennung („unique identifier“), die URL und der HTML-Titel der Website sowie die Unterseiten, die der Nutzer besucht hat, Informationen zum Browser, Betriebssystem, Bildschirmauflösung, Sprachauswahl sowie Datum und Uhrzeit des Website-Besuchs und letztlich die IP-Adresse des Geräts. Die Datenübermittlung an Google LLC in den USA verstößt laut DSB gegen Art. 44 DSGVO, da kein angemessenes Schutzniveau für die Verarbeitung personenbezogener Daten in den USA gewährleistet ist. Die zwischen dem Website-Betreiber und Google geschlossenen Standardvertragsklauseln und getroffenen Schutzmaßnahmen von Google bieten keinen angemessenen Schutz.
Das sind die Handlungsoptionen für Unternehmen
Unternehmen sind nun gefordert zu handeln. Zunächst sollte geprüft werden, ob Google Analytics tatsächlich benötigt wird. Sofern nur ein Zugriff auf die Webseite erfasst werden soll, kann dies durch andere, teilweise kostenfreie Analysetools von europäischen Anbietern geschehen.
Wenn Unternehmen weiterhin Google Analytics nutzen möchten, sollte in der Consent Management Plattform eine ausdrückliche Einwilligung für die Übermittlung von Daten in die USA eingeholt werden. Diese Einwilligung erfordert den Hinweis, dass in den USA kein dem europäischen Datenschutzniveau entsprechender Datenschutz gewährleistet ist und vielmehr ein Risiko besteht, dass US-Behörden zu Kontroll- und Überwachungszwecken auf Nutzerdaten zugreifen, ohne dass dem Betroffenen Rechtsbehelfsmöglichkeiten zustehen. Es ist unklar, ob die Einwilligung des Betroffenen aus Sicht der Aufsichtsbehörden ausreichend ist. Gleiches gilt für die Funktion anonymize_IP, die allerdings in jedem Fall aktiviert sein sollte.
Auch andere US-Dienstanbieter könnten künftig betroffen sein
Die Entscheidung in Sachen Google Analytics ist ein typisches Beispiel für Verfahren, die künftig häufiger zu beobachten sein werden. US-Diensteanbieter behelfen sich oft nur mit eher „kosmetischen Maßnahmen“ im Umgang mit der Bereitstellung von Daten an US-Behörden, ohne substanzielle Änderungen an den Prozessen vorzunehmen. In derartigen Fällen dürften die Aufsichtsbehörden zu vergleichbaren Ergebnissen kommen, wie in der Entscheidung der österreichischen DSB. Da Unternehmen häufig keinen oder nur einen sehr geringen Einfluss auf die Ausgestaltung der Datenverarbeitungsprozesse bei derartigen US-Diensteanbieter haben, besteht das latente Risiko, dass die Aufsichtsbehörde diesen Datentransfer als unzulässig bewertet und möglicherweise sanktioniert. Daher sollte Unternehmen aus der EU prüfen, ob nicht Diensteanbieter eine Datenlokalisierung in der EU anbieten oder aber, ob die gewünschte Leistung nicht gleich von einem Unternehmen mit Sitz in der EU angeboten wird. Auch zu Google Analytics gibt es Alternativen.
Data Transfer Impact Assessment ist für Unternehmen unerlässlich
Unternehmen sollten nochmals prüfen, ob sie sämtliche Prozesse mit einem internationalen Datentransfer erfasst und die Zulässigkeit des Datentransfers bewertet haben. Nach der Rechtsprechung des Europäischen Gerichtshofs (EuGH) bzw. nach den Vorgaben der Standardvertragsklauseln ist ein Data Transfer Impact Assessment erforderlich, was sich Aufsichtsbehörden bei Prüfungen auch vorlegen lassen können. Zudem ist in den Datenschutzhinweisen auf den internationalen Datentransfer einzugehen.
Politische Entscheidung geboten
Eine Einigung zwischen EU und USA zur Zulässigkeit des transatlantischen Datentransfers ist geboten und könnte diesen ganzen unternehmensinternen Aufwand überflüssig machen. Die Verhandlungen über ein Privacy Shield 2.0 finden statt – das Ende ist leider nicht absehbar.