Im heutigen Blog-Beitrag beschäftigen wir uns mit Datenschutzrecht – und zwar mit dem einen Thema, das uns alle nun schon seit geraumer Zeit verfolgt: Die Übermittlung personenbezogener Daten in Drittländer, denen aus Sicht der EU-Datenschutz-Grundverordnung ("DSGVO") kein adäquates Datenschutzniveau zu bescheinigen ist. Konkret im Fokus stehen abermals die USA oder genauer gesagt einer ihrer bedeutendsten Tech-Konzerne: Die Google-Gruppe, welche unter der Konzernmutter Alphabet Inc. mit diversen digitalen Angeboten für Websitebetreiber nicht mehr wegzudenken ist. Viele Dienstleistungen werden grundsätzlich kostenlos erbracht und durch die Verarbeitung von Daten finanziert. Eines der meistgenutzten Produkte in diesem Zusammenhang ist sicherlich "Google Analytics", eine Webanalyse-Lösung zur Generierung informativer Statistiken, welche unter anderem eine Erfolgsmessung von Werbeschaltungen erlaubt. In der Implementierung von Google Analytics auf einer Website hat die Datenschutzbehörde ("DSB") nun einen Verstoß gegen die DSGVO erkannt, obwohl wir kürzlich noch von mehr Rechtssicherheit beim Einsatz des Software-Tools gesprochen haben (vgl. unser Legal Update #21 auf retail.at). Warum dies dennoch keinen Widerspruch bedeutet und ein weiterer Einsatz praktisch möglich bleibt, erläutern die nachfolgenden Zeilen.
1. 101 Musterbeschwerden – erste Entscheidung ergeht in Österreich
Die DSB, Österreichs Aufsichtsbehörde, welche die Einhaltung der DSGVO überwacht, hat in einer kürzlich ergangenen Entscheidung[i] das ausgesprochen, was schon lange im Raum stand: Google Analytics kann personenbezogene Daten in die USA übermitteln, für die nach Aufhebung des EU-US Privacy Shields im Rahmen der allseits bekannten Schrems II-Entscheidung[ii] des Gerichtshofs der Europäischen Union ("EuGH") kein Angemessenheitsbeschluss besteht. Das heißt, Daten können nicht so einfach dorthin übermittelt werden, ohne gleichzeitig einen Rechtsverstoß zu setzen.
Zu bedenken bleibt, dass diese Entscheidung auf die 101 Musterbeschwerden zurückgeht, welche die von Max Schrems ins Leben gerufene Organisation "NOYB" kurz nach der Entscheidung des EuGH gegen Unternehmen in 30 EU- und EWR-Mitgliedstaaten eingereicht hat.[iii] Als erste dieser Beschwerden, die nun zu einer konkreten Entscheidung führte, ist ihr eine breite Aufmerksamkeit sicher. Der zugrundeliegende Sachverhalt spielt dennoch Mitte 2020; in der Zwischenzeit ist einiges passiert – noch dazu wurden Fehler bei der Implementierung gemacht. Aus juristischer Sicht lässt sich demnach tatsächlich festhalten, dass die Aussagen der DSB weder überraschen noch viel Neues mit sich bringen.
2. Die wesentlichen Aussagen der Datenschutzbehörde
Die extensiven Befugnisse von US-Behörden, welche erst die Aufhebung des EU-US Privacy Shields bedingten, stehen auch hier im Mittelpunkt. Google sei als Anbieter elektronischer Kommunikationsdienste von der Überwachung durch US-Behörden erfasst und der regelmäßig veröffentlichte Transparenzbericht des Unternehmens belege, dass es auch tatsächlich zu Datenanfragen komme. Folglich müsse eine DSGVO-konforme Übermittlung personenbezogener Daten an Google von Maßnahmen begleitet sein, welche die aufgeworfenen Probleme effektiv eindämmen, was im konkreten Fall deutlich leichter gesagt als getan ist …
Jedenfalls bedarf es einer Übermittlungsgrundlage. Da kein Angemessenheitsbeschluss (Art 45 DSGVO) im Hinblick auf die USA besteht, müssen geeignete Garantien (Art 46 DSGVO) oder Ausnahmen für bestimmte Fälle (Art 49 DSGVO) fruchtbar gemacht werden.
Als geeignete Garantien kommen vor allem Standarddatenschutzklauseln (auch: Standardvertragsklausen, "SCC") in Betracht, die nicht zuletzt aufgrund der erheblichen Auswirkungen der Schrems II-Entscheidung[iv] neu gefasst wurden und den vom EuGH geäußerten Bedenken nunmehr ausdrücklich Rechnung tragen. Damit haben wir uns ausführlich in unserem Legal Update #18 auf retail.at auseinandergesetzt. Für die Entscheidung der DSB waren die neuen SCC nicht relevant, weswegen keinerlei Aussagen zu deren Eignung für die in Frage stehende Drittlandübermittlung getätigt wurden.
Im Rahmen der Ausnahmen für bestimmte Fälle wiederum wäre es denkbar, von den Nutzern eine Einwilligung für die Übermittlung personenbezogener Daten in ein unsicheres Drittland einzuholen. Anders als die jedenfalls erforderliche Einwilligung für den Einsatz von Cookies muss eine Einwilligung nach Art 49 DSGVO von einer umfassenden Risikoaufklärung begleitet sein. Auch bleibt zu bedenken, dass diese Ausnahmen – wie der Name schon sagt – auf spezifische Fälle (im Sinne von Einzelfällen) abstellt und fraglich ist, ob pauschale, regelmäßige Übermittlungsvorgänge damit gerechtfertigt werden können. Letztlich sind mit den neuen SCC geeignete Garantien verfügbar, die nach dem Wortlaut der DSGVO Vorrang gegenüber dieser Ausnahmebestimmung genießen. Über die Eignung einer Art-49-Einwilligung hat die DSB konkret leider nicht abgesprochen. Zusätzliche Schutzvorkehrungen werden Websitebetreibern allerdings schwerlich zum Nachteil gereichen.
Was die DSB gesagt hat:
- Subjektive Rechte betroffener Personen können sich aus diversen Stellen der DSGVO ergeben und müssen nicht zwingend als Rechte formuliert sein. Das sei z.B. bei den Informationspflichten gemäß Art 13–14 DSGVO unstrittig und gelte auch für die Regeln zu Drittlandübermittlungen im V. Kapitel der DSGVO. Die Feststellungskompetenz der DSB sei auch bei in der Vergangenheit liegenden Rechtsverletzungen gegeben, da das Beschwerderecht allgemein an einen Verstoß gegen die DSGVO anknüpft.
- Die im Rahmen von Google Analytics gesetzten Cookies enthalten einzigartige Kennnummern, welche den Browser bzw. das Endgerät von Nutzern identifizieren und mit weiteren erhobenen Daten wie IP-Adresse und Browserparametern kombiniert werden können ("digitaler Fußabdruck"). Allein die Kennnummern ermöglichen allerdings bereits eine Aussonderung und seien als personenbezogene Daten zu betrachten, weswegen die fehlerhafte Implementierung der IP-Anonymisierungsfunktion keinen Unterschied für die grundsätzliche Entscheidung der Behörde macht (die IP-Adresse sei ohnehin nur eines von vielen "Puzzleteilen"). Eine Kombination solcher Daten macht die Identifizierbarkeit allerdings noch wahrscheinlicher. Noch dazu konnten Websitebesuche konkret dem betroffenen Nutzer zugeordnet werden, da er in seinem Google-Konto eingeloggt war.
- US-Behörden könnten die genannten Daten nutzen, um Überwachungsmaßnahmen gegenüber Betroffenen zu setzen. Die alten SCC sowie die von Google in diesem Zusammenhang getroffenen Begleitmaßnahmen seien allesamt unzureichend. Z.B. seien Verschlüsselungstechnologien und Pseudonymisierung nicht effektiv, solange Google selbst die Möglichkeit habe, die Maßnahmen umzukehren (also auf Daten im Klartext zuzugreifen).
- Der Websitebetreiber, der Google Analytics implementiert, ist als Verantwortlicher vorrangig für den Einsatz verantwortlich. Die Rolle von Google als Auftragsverarbeiter wurde im Ansatz anerkannt, obwohl hier die Erforderlichkeit weiterer Untersuchungen bezüglich etwaiger zusätzlicher Datenverarbeitungen durch Google in den Raum gestellt wurde.
Und was die DSB nicht gesagt hat:
- Es bleibt offen, inwieweit die von Google etablierten Gesellschaftsstrukturen im Detail zu würdigen sind. Die im zugrundeliegenden Sachverhalt genutzte kostenlose Version von Google Analytics wurde noch von der Google LLC und nicht – wie nunmehr – von der Google Ireland Limited angeboten. Diesfalls wären potentielle Datenübermittlungen durch die Google Ireland Limited an die Google LLC als Unterauftragsverarbeiterin zu analysieren. Außerdem wäre interessant, inwieweit Datenanfragen von US-Behörden auf Basis des sog. US-CLOUD-Acts in diesem Zusammenhang eine Rolle spielen.
- Nicht abgesprochen wurde über die Eignung der neuen SCC für die Rechtfertigung der Drittlandübermittlung und inwieweit eine Einwilligung gemäß Art 49 DSGVO herangezogen werden könnte (siehe dazu schon oben).
- Auch wurde nicht über die Implementierung von Google Analytics mit den datenschutzfreundlichsten Voreinstellungen abgesprochen (hier müsste man im Vergleich zumindest einen Milderungsgrund im Rahmen einer etwaigen Sanktionierung erkennen).
- Offen bleibt auch, ob gerade kleineren Unternehmen bei einem Erstverstoß tatsächlich Geldbußen drohen würden oder die DSB vielmehr generell stärker auf Verwarnungen und lediglich eine Untersagung der weiteren Nutzung von Google Analytics setzen würde. In der konkreten Entscheidung wurde über keine Strafe abgesprochen.
3. Ausblick & Handlungsempfehlungen
Letzten Endes lässt sich schwer sagen, wie die DSB geurteilt hätte, wenn der Sachverhalt bereits unter den neuen SCC zu beurteilen gewesen wäre – im besten Fall flankiert von weiteren Schutzmaßnahmen. Wenn auch grundsätzlich immer die datenschutzfreundlichere Auslegung Recht behalten wird, lässt sich doch bezweifeln, dass Websitebetreibern tatsächlich harte Sanktionen drohen würden, wenn sie nachweisen können, Risiken nach bestem Wissen und Gewissen minimiert zu haben. Um die Effektivität des Datenschutzrechts zu gewährleisten, ist es essentiell, dass Maßnahmen praktisch für den einzelnen Verantwortlichen auch umsetzbar sind – das ist auch der DSB bewusst. Außerdem muss eine Relation zu DSGVO-Verstößen hergestellt werden, welche die Rechte und Grundfreiheiten betroffener Personen unmittelbar und in wesentlich kritischerem Ausmaß beeinträchtigen. Folglich gehen wir davon aus, dass man gerade an kleineren Unternehmen kein Exempel statuieren möchte, sondern ihnen – so unsere Einschätzung – zunächst mit Verwarnungen begegnen wird.
Möchte man Google Analytics weiterhin verwenden oder ist sogar darauf angewiesen, ist daher also vor allem zu empfehlen, sich entsprechend mit der Problematik auseinanderzusetzen und getroffene Vorkehrungen ausreichend zu dokumentieren. Im Weiteren verweisen wir auf unsere abgestuften Handlungsempfehlungen zur Risikominimierung, die wir schon in Legal Update #21 auf retail.at bereitgestellt haben. Die dortigen Empfehlungen gelten weiterhin.
Arthur Stadler / Tamino Chochola
[i] DSB D155.027 2021-0.586.257, abrufbar unter https://noyb.eu/sites/default/files/2022-01/E-DSB%20-%20Google%20Analytics_DE_bk_0.pdf [20.1.2022].
[ii] EuGH C-311/18, Facebook Irleland und Schrems, ECLI:EU:C:2020:559.
[iii]NOYB - Europäisches Zentrum für digitale Rechte, 101 Beschwerden zu EU-US-Transfers eingereicht, https://noyb.eu/de/101-beschwerden-zu-eu-us-transfers-eingereicht [20.1.2022].
[iv] EuGH C-311/18, Facebook Irleland und Schrems, ECLI:EU:C:2020:559.