Google Analytics verstößt gegen die DSGVO, die Nutzung dieses Tools ist rechtswidrig. Solche und ähnliche Schlagzeilen haben in den letzten Wochen eine ganz erhebliche Verbreitung in den Medien gefunden.
UPDATE: Am 10.2.2022 haben sich diese Schlagzeilen erneuert – die französische CNIL hat den Einsatz von Google Analytics im dort zu entscheidenden Fall ebenfalls für unzulässig erklärt.
Ist Google Analytics damit jetzt ein Compliance-Risiko und die Abschaltung dringend anzuraten? Wir haben die Hintergründe der verbreiteten Schlagzeilen einmal näher betrachtet.
Grund und Anlass für die umfassende Presse zu Google Analytics war zunächst eine Entscheidung der Datenschutzaufsichtsbehörde in Österreich. In dieser stellte die Behörde fest, dass der betroffene Websitebetreiber durch die Implementierung von Google Analytics auf seiner Website gegen die DSGVO verstoßen hat. Der konkrete Vorwurf: Es wurden personenbezogene Daten ohne hinreichende Schutzmaßnahmen in die USA übermittelt.
UPADTE: Am 10.2.2022 folgte dann die Untersagungsentscheidung der französischen CNIL, aus den Niederlanden wurde ebenfalls bereits eine Entscheidung zu Google Analytics angekündigt.
Hintergrund
Die Entscheidung aus Österreich war die erste öffentlich bekannt gewordene Entscheidung in einem der 101 von NOYB (der von dem Aktivisten Max Schrems initiierten NGO, die sich der Durchsetzung des Datenschutzes verschrieben hat) in der ganzen EU eingeleiteten Beschwerdeverfahren. Diese waren im Sommer 2020 in Reaktion auf das EuGH-Urteil in Sachen Schrems II eingereicht worden. Die CNIL hat nun als zweite Behörde in diesen Verfahren entschieden. Auch in Deutschland sind einige Beschwerden anhängig, soweit bekannt ist in diesen Verfahren aber noch von keiner Datenschutzaufsichtsbehörde ein Bescheid erlassen worden. NOYB richtet sich mit diesen Beschwerden gegen die Betreiber von Websites wegen dem Einsatz von Google Analytics und Facebook Connect.
Google Analytics im Kreuzfeuer
NOYB kritisiert im Wesentlichen, dass beim Einsatz von Google Analytics personenbezogene Daten ohne hinreichende Schutzmaßnahmen von EU-Websitebesuchern in die USA übermittelt werden. In Rede stehen hier als personenbezogene Daten die IP-Adresse, eine einzigartige Nutzer-Identifikationsnummer und Browserparameter. Genutzt werden diese zunächst, um Reichweiten- und Nutzungsanalysen für den Websitebetreiber zu erstellen, entweder nur für die eine Website oder auch übergreifend für verschiedene Angebote des Betreibers.
Bis zum Urteil des EuGH in Sachen Schrems II war der Datentransfer an Google Inc. in den USA auf Grundlage des EU-US-Privacy Shields mit den Art. 44 ff. DSGVO vereinbar. Dieser Angemessenheitsbeschluss für die USA ist mit dem Urteil des EuGH aber weggefallen. NOYB argumentierte, dass damit auch das angemessene Schutzniveau in den USA nicht mehr besteht und ein Transfer personenbezogener Daten somit gegen die Art. 44 ff. DSGVO verstößt. Denn über andere Instrumente der DSGVO, insbesondere die Standarddatenschutzklauseln, könne kein angemessenes Schutzniveau in den USA abgesichert werden.
Der Einsatz von Google Analytics steht auch unabhängig von der Problematik des US-Transfers von personenbezogenen Daten schon länger im Fokus der Datenschutzaufsichtsbehörden. Schon im Mai 2020 veröffentlichte die Datenschutzkonferenz einen Beschluss, in dem erhebliche Bedenken gegen die DSGVO-Konformität dieses Analysedienstes geäußert wurden. Bemängelt wurde u.a., dass Google Analytics als Auftragsverarbeitung i.S.d. Art. 28 DSGVO angeboten würde, obwohl sich Google die Verwendung der Daten zu eigenen Zwecken vorbehält. Angesichts dieses eigenen Interesses werde Google hier nicht als Auftragsverarbeiter tätig, sondern in gemeinsamer Verantwortlichkeit mit dem Websitebetreiber. Damit dies im Einklang mit der DSGVO steht, müsse ein Vertrag über die gemeinsame Verantwortlichkeit nach Art. 26 DSGVO abgeschlossen werden; einen solchen stellt Google aber (bis heute) nicht zur Verfügung.
Google Analytics als Compliance-Risiko?
Bedeutet dies nun, dass Unternehmen auf den Einsatz von Google Analytics verzichten müssen? Wie so oft in der Juristerei ist die Antwort wenig klar: Es kommt drauf an.
Sicher ist bei alledem: Google Analytics sollte nur nach umfassender Risikoanalyse eingesetzt werden und nur mit individueller Konfiguration.
Dafür ist entscheidend:
Die Entscheidung der Datenschutzaufsichtsbehörde in Österreich, die den Einsatz von Google Analytics als DSGVO-widrig eingeordnet hat, ist nicht ohne weiteres verallgemeinerbar. Google bietet diverse Konfigurationsmöglichkeiten für Google Analytics an und hat das Produkt seit dem für die Entscheidung maßgeblichen Zeitpunkt (14.08.2020) weiterentwickelt. Zudem hat der Websitebetreiber es in der Hand, einige Stellschrauben zu verändern.
Inwieweit dies auch für die Entscheidung der CNIL gilt, ist nicht sicher feststellbar. Die von der Behörde veröffentlichte Pressemitteilung ist knapp. Die Behörde hatte allerdings ebenfalls über eine Situation in 2020 zu entscheiden, als es die neuen Standardvertragsklauseln noch nicht gab. Zudem deutet der Hinweis, Analysedienste sollten nur anonyme Daten verarbeiten, darauf hin, dass womöglich ebenfalls mehr Daten verarbeitet wurden, als nötig. Dies zu verhindern, haben Websitebetreiber in gewissem Umfang in der Hand.
Wichtig ist daher, wenn Google Analytics weiter eingesetzt werden soll, zumindest das Folgende zu beachten:
1. Konfiguration
Die Ausgangskonfiguration von Google Analytics ist regelmäßig datenschutzunfreundlich. Hier liegt es am Webseitenbetreiber, diese datenschutzfreundlich anzupassen. In dem Fall, der in Österreich entschieden wurde, war dies allenfalls bedingt geschehen:
Die Funktion „IP-Anonymisierung“ war nicht aktiviert, wenn auch nur aufgrund eines Konfigurationsfehlers. Wenn diese Funktion aktiviert ist, wird die IP-Adresse frühestmöglich, regelmäßig noch vor einem Transfer in die USA anonymisiert. Dann aber werden insofern regelmäßig keine personenbezogenen Daten mehr in die USA übertragen. Ganz gelöst ist das Problem damit indes nicht, weil es in Ausnahmefällen eben doch zu einer Übermittlung der IP-Adresse in die USA und Kürzung erst dort kommen kann.
Google Analytics war mit Vergabe einer einzigartigen Kennnummer (UID) aktiviert. Dies ist standardmäßig der Fall, kann allerdings – wenn auch mit Funktionseinbußen – deaktiviert werden. Die UID wird von den Aufsichtsbehörden als personenbezogenes Datum qualifiziert (auf den dahinterstehenden Streit soll es hier nicht ankommen). Wird sie nicht vergeben, fällt ein weiteres Datum weg, welches in die USA unter Anwendung der Art. 44 ff. DSGVO übertragen werden könnte.
2. Opt In oder Opt Out
Es liegt in der Hand des Websitebetreibers, ob er Google Analytics als „Opt Out“ (Widerspruchslösung) oder nur nach Einwilligung („Opt In“) eines jeden einzelnen Nutzers aktiviert. Eine Aktivierung ohne Einwilligung begegnet deutlich weitergehenden rechtlichen Bedenken, die aus unserer subjektiven Sicht inzwischen überwiegende Zahl der Websites setzt Google Analytics nur nach Einwilligung ein. Hier liegt ein weiterer entscheidender Unterschied zur Entscheidung aus Österreich: Dort war Google Analytics ohne Einwilligung aktiviert.
Ob auch in einen sonst unsicheren US-Transfer eingewilligt werden kann (Art. 49 Abs. 1 lit. a DSGVO) ist nach wie vor umstritten. Die Datenschutzaufsichtsbehörden lehnen dies ab, zuletzt auch wieder in der Orientierungshilfe Telemedien 2021. Bei dogmatisch detaillierter Betrachtung indes finden sich auch eine Reihe von Argumenten, die für die Zulässigkeit einer Einwilligungslösung auch auf dieser zweiten Stufe sprechen.
3. Standardvertragsklauseln 2021
Seit Juni 2021 gibt es neue Standardvertragsklauseln, die den Drittstaatentransfer absichern können. Die Datenschutzaufsichtsbehörde in Österreich hat diese (völlig zutreffen) nicht geprüft, sondern zu den am 14.08.2020 geltenden und vereinbarten Standardvertragsklauseln 2010 entschieden.
Die Entscheidung in Österreich stellt fest, dass diese Standardvertragsklauseln 2010 nicht ausreichen, um ein angemessenes Schutzniveau für den Drittstaatentransfer zu schaffen. Die seit Juni 2021 verfügbaren neuen Standardvertragsklauseln greifen jedoch bereits einige der nach dem EuGH-Urteil in Sachen Schrems II diskutierten zusätzlichen Maßnahmen auf und verweisen zudem – anders, als dies bislang von den Aufsichtsbehörden vertreten wurde – auf die Zulässigkeit eines risikobasierten Ansatzes. Dies hat die Behörde in Österreich nicht thematisiert, da sie über einen möglichen Verstoß am 14.08.2020 zu entscheiden hatte.
Rechtssicherheit bleibt aus
Nach alledem zeigen die Entscheidung aus Österreich und Frankreich, mit welcher erheblichen Rechtsunsicherheit und welchen Risiken der Betrieb von Online-Angeboten derzeit belegt ist. Eine erfolgreiche Website, ein erfolgreiches Marketing gänzlich ohne den Einsatz von US-Tools erscheint schwer denkbar.
In diesem Zusammenhang ist denn auch interessant, dass die Aufsichtsbehörde in Österreich ausschließlich einen DSGVO-Verstoß festgestellt hat. Sie hat kein Bußgeld ausgesprochen. Und auch die CNIL hat kein Bußgeld verhängt, sondern eine Abstellung des Verstoßes angeordnet.
Für die Praxis bleibt insofern anzuraten, den Einsatz von Analysetools sehr genau zu untersuchen und eine ausgewogene und umfassende Risikoentscheidung zu treffen – und dies weitere Entwicklung zu monitoren. Auch in Deutschland werden die ersten Entscheidungen zu Google Analytics kommen, auf EU-Ebene wurde bereits über einen „Muster-Bescheid“ diskutiert, mit dem die NOYB-Beschwerden beschieden werden könnten, bislang allerdings ohne Einigung (dazu TOP 4 hier).
Zusatzrisiko: Schadensersatz
Und noch ein Thema sollte im Blickfeld bleiben: Zivilrechtlich Schadensersatzforderungen nehmen zu. Das LG München I hat einen Websitebetreiber zur Zahlung eines Schadensersatzes in Höhe von 100 Euro an einen Websitebesucher verurteilt. Der Grund: Für die Darstellung der Website war die Font-Library von Google Fonts eingebunden und um diese auszuspielen wurde die IP-Adresse von Websitebesuchern an Google übermittelt …