Google Analytics Einsatz nach DS-GVO für rechtswidrig erklärt: Drittlandübermittlung auf dem Prüfstand?

Den im Januar 2022 veröffentlichten Beschluss der österreichischen Aufsichtsbehörde zum Einsatz von Google Analytics kann man als „bahnbrechend“ bezeichnen. Die Aufsichtsbehörde ist dabei zu dem Ergebnis gekommen, dass der Einsatz von Google Analytics gegen die Datenschutz-Grundverordnung (DS-GVO) verstößt und damit rechtswidrig ist. Für Webseitenbetreiber, die das Analysetool auf ihrer Webseite einsetzen, kann diese Entscheidung weitreichende Folgen nach sich ziehen.

Einsatz von Google Analytics in der Kritik?

Die Entscheidung der österreichischen Aufsichtsbehörde basiert auf einer Beschwerde der vom Datenschutzaktivisten Max Schrems gegründeten Datenschutzorganisation noyb gegen einen österreichischen Verlag. Max Schrems hatte im Juli 2020 das sogenannte „Schrems II“-Urteil des EuGH erwirkt, in dem die USA aufgrund weitereichender Überwachungsbefugnisse für Sicherheitsbehörden im Kern als unsicheres Drittland eingestuft wurde. Daraufhin hatte noyb europaweit 101 Musterbeschwerden eingereicht. Diese richteten sich gegen Unternehmen, die auf ihrer Webseite Google Analytics oder Facebook Connect einsetzen und über diese Tools damit Daten von Webseitenbesucher in die USA übermitteln. Die österreichische Aufsichtsbehörde befasste sich in ihrer Entscheidung mit einer dieser Beschwerden.

Wieso ist Google Analytics nicht DS-GVO konform?

Wer Daten in Drittländer übermittelt, muss die Anforderungen an Drittlandübermittlungen aus Art. 44 DS-GVO erfüllen. Sofern für ein Drittland kein Angemessenheitsbeschluss der EU-Kommission besteht, ist eine Übermittlung nur dann zulässig, wenn ein angemessenes Schutzniveau herbeigeführt wurde.

Im konkreten Sachverhalt müsste Google mit geeigneten technischen und organisatorischen Maßnahmen sicherstellen, dass die per Google Analytics übermittelten Daten effektiv vor den Zugriffsmöglichkeiten der US-Sicherheitsbehörden geschützt sind. Da Google aufgrund gesetzlicher Vorgaben die Zugriffe auf Daten für US-Sicherheitsbehörden gewähren muss, wären die Daten konsequenterweise nur dann ausreichend geschützt, wenn die Daten so verschlüsselt wären, dass Google selbst nicht auf die Daten zugreifen kann. Dies gewährleistet Google jedoch nicht, sodass die österreichische Aufsichtsbehörde zu dem Schluss kommt, dass die Übermittlung der Daten an Google nicht auf Basis geeigneter Garantien erfolgt. Daraus folgt für Organisationen, dass sie Google Analytics nicht DS-GVO konform einsetzen können.

Eine Woche vor Veröffentlichung des Beschlusses der österreichischen Aufsichtsbehörde hatte bereits der Europäische Datenschutzbeauftragte Wojciech Wiewiórowski eine Entscheidung gegen das Europäische Parlament erlassen. Darin hatte er den Einsatz von Google Analytics auf einer Webseite zur Registrierung bei einem Corona-Testcenter für rechtswidrig erklärt. Zudem hat er eine Nachbesserung der Webseite angeordnet. Kürzlich hat zudem die französische Aufsichtsbehörde CNIL den Einsatz von Google Analytics durch einen französischen Webseitenbetreiber aus selbigem oben dargelegtem Grund untersagt – auch diese Entscheidung viel auf Basis einer der Beschwerden von noyb.  

Weitere Verfahren zum Einsatz von Google Analytics laufen noch

In drei unterschiedlichen Beschwerdeverfahren haben also drei voneinander unabhängige Prüfbehörden innerhalb kürzester Zeit den Einsatz von Google Analytics als nicht datenschutzkonform eingestuft. Zudem hat die niederländische Aufsichtsbehörde bereits angekündigt, dass sie aktuell selbst zwei Beschwerden untersuche und Google Analytics vielleicht bald verboten werden könne. Wie oben bereits erwähnt hat noyb 101 Beschwerden zum Einsatz von Google Analytics eingereicht. Es sind also noch einige weitere Entscheidungen zu erwarten.

Mit Spannung darf der Ausgang des Beschwerdeverfahrens der österreichischen Aufsichtsbehörde erwartet werden. Denn im Laufe des Beschwerdeverfahrens wurde der Betrieb der Webseite auf ein Unternehmen aus München übertragen. Deshalb hat die österreichische Aufsichtsbehörde die Zuständigkeit über die Entscheidung von Sanktionsmaßnahmen auf die bayerische Aufsichtsbehörde übertragen. Diese muss nun entscheiden, ob sie den Google Analytics Einsatz auf dieser Webseite untersagt oder sogar ein Bußgeld nach der DS-GVO verhängt.

Fazit – Es geht nicht nur um Google Analytics, sondern grundsätzlich um Übermittlungen in die USA

Die Entscheidungen der Aufsichtsbehörden sind, was den Einsatz von Google Analytics betrifft, wegweisend. Webseitenbetreiber sollten sich daher ernsthaft mit alternativen Lösungen auseinander setzen, bevor Behörden ihnen die Entscheidung abnehmen. Aber es geht nicht nur um Google Analytics.

Die Begründungen fußen auf der Tatsache, dass Google der US-amerikanischen Gesetzgebung unterliegt, welche weitreichende Zugriffsrechte für Sicherheitsbehörden ermöglicht. Dieser Gesetzgebung unterliegt ja logischerweise nicht nur Google, sondern alle Cloud-Dienste aus den USA. Konsequenterweise bedeutet das, dass von den verschiedenen Entscheidungen mittelbar sämtliche Datenübermittlungen an Unternehmen aus der USA betroffen sind.

Max Schrems bringt es schonungslos, aber ehrlich auf den Punkt:

„Die Quintessenz ist: EU-Unternehmen können keine US-Cloud-Dienste mehr nutzen.“

Es ist daher ratsam, dass sich EU-Unternehmen spätestens jetzt ernsthaft mit Alternativen aus der EU auseinander setzen. Dies gilt sowohl für Google Analytics, als auch für alle anderen Softwareanwendungen von US-amerikanischen Anbietern.

Sie nutzen in Ihrer Organisation Google Analytics? Das sollten Sie tun:

Die weitere Nutzung von Google Analytics ist vermutlich nicht DS-GVO konform möglich und bleibt wie oben dargelegt mit einem Risiko behaftet. Daher ist es empfehlenswert, dass Sie sich mit alternativen Analytics-Tools auseinandersetzen, welche entweder von europäischen Anbietern in der EU gehostet werden oder welche Sie selbst auf Ihren eigenen Servern betreiben.

Welche DS-GVO konforme Lösung gibt es?

Mit der Open-Source-Lösung Matomo konfigurieren Sie einerseits die Reichweitenmessung datenminimiert und verhindern, dass Sie Daten an Dritte übermitteln. Matomo können Sie so DS-GVO konform einsetzen. Selbstverständlich gibt es noch andere Lösungen neben Matomo, die sie verwenden können.

Wenn Sie spezielle Fragen zum Einsatz von Analysetools, Drittlandübermittlungen oder generell zum Einsatz von Cookies oder zu Ihrer Webseite haben, dann sprechen Sie uns gerne an!

Autor: Bastian Maute, 25.02.2022, zu letzt aktualisiert am 13.04.2022

Bildquelle: Bild von Pexels auf pixabay

Hilfreiche Links:

  • Link zur Mitteilung von noyb zum Beschluss der österreichischen Aufsichtsbehörde
  • Beschluss der österreichischen Aufsichtsbehörde zum Einsatz von Google Analytics
  • Entscheidung des Europäischen Datenschutzbeauftragten gegen das Europäische Parlament
  • Link zur Pressemitteilung der französischen Aufsichtsbehörde zur Entscheidung über den Einsatz von Google Analytics

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht.