Die österreichische Datenschutzbehörde DSB hat kürzlich in einer langen Reihe von Streitigkeiten über die Übermittlung personenbezogener Daten aus Europa in die Vereinigten Staaten festgestellt, dass die Verwendung von Google Analytics auf einer österreichischen Website gegen europäisches Datenschutzrecht verstößt.

Das DSB traf diese Entscheidung auf der Grundlage der Tatsache, dass die Verwendung von Google Analytics die Übermittlung personenbezogener Daten in die Vereinigten Staaten beinhaltet, wo es seiner Ansicht nach keinen angemessenen Schutz vor US-Geheimdienstüberwachung genießen würde.

Der DSB kam zu dem Schluss, dass die zum Schutz dieser personenbezogenen Daten ergriffenen Maßnahmen, wie etwa die Verschlüsselung, nicht ausreichten, um diesem Risiko zu begegnen.

Die Entscheidung ist die erste auf der Grundlage von 101 Beschwerden, die die Wiener Non-Profit-Gruppe NOYB bei verschiedenen europäischen Datenschutzbehörden, darunter der irischen Datenschutzkommission, eingereicht hat.

In diesen Beschwerden wird behauptet, dass die Übermittlung personenbezogener Daten an Google und Facebook in den Vereinigten Staaten gegen europäisches Datenschutzrecht verstößt, wie es im weithin bekannt gewordenen Fall Schrems II heißt.

Was ist Google Analytics?

Google Analytics ist ein Tool, mit dem Website-Betreiber verfolgen können, wie Besucher ihre Websites nutzen. Beispielsweise kann es verwendet werden, um Berichte über die Anzahl der Besucher, die Browsereinstellungen der Besucher, das von ihnen verwendete Gerät und mehr zu erstellen. Dazu wird ein Cookie – ein kleiner Code – auf dem Gerät des Benutzers platziert, der ihm eine eindeutige Identifikationsnummer zuweist.

Google Analytics kann diese eindeutige Kennung auch mit anderen Informationen wie der IP-Adresse des Besuchers kombinieren, um den Besucher weiterzuverfolgen. Ist der Besucher beispielsweise in seinem Google-Konto eingeloggt, wird sein Besuch diesem Konto zugeordnet.

Der ORD stellte fest, dass dadurch ein „digitaler Fingerabdruck“ entsteht, der zur Identifizierung von Personen verwendet werden kann. Dieser digitale Fingerabdruck wird nicht nur vom Webseitenbetreiber verwendet. Auch Google sammelt diese Informationen und überträgt sie an seine Server in den USA.

Internationale Datenübertragungen

Die europäische Datenschutzgesetzgebung, einschließlich der DSGVO, erlaubt den freien Fluss personenbezogener Daten innerhalb des EWR sowie zwischen dem EWR und bestimmten anderen Ländern, die als angemessener Schutz personenbezogener Daten gelten, wie Kanada und Japan.

Andernfalls kann eine Übermittlung personenbezogener Daten außerhalb des EWR (einschließlich der Vereinigten Staaten) nur unter Verwendung bestimmter Mechanismen erfolgen, die in der DSGVO definiert sind.

Einer dieser Mechanismen ist die Verwendung von Standardvertragsklauseln. Dieser Mechanismus verpflichtet den Exporteur und den Importeur von Daten, einen Vertrag abzuschließen, der den Importeur verpflichtet sicherzustellen, dass die personenbezogenen Daten außerhalb des EWR ausreichend geschützt sind.

Standardvertragsklauseln allein reichen jedoch nach dem Urteil des EuGH in der Rechtssache Schrems II nicht aus.

Datenexporteure müssen auch das Schutzniveau bewerten, das personenbezogene Daten im Zielland genießen werden, und, falls dieses niedriger ist als das im EWR angebotene Niveau, zusätzliche Maßnahmen ergreifen, um diese Mängel zu beheben.

Die DSB-Entscheidung

Das DSB-Urteil folgte einer Beschwerde eines Besuchers einer österreichischen Website namens NetDoktor. Da diese Website Google Analytics verwendet, werden die personenbezogenen Daten des Besuchers, einschließlich einer eindeutigen Benutzeridentifikationsnummer, IP-Adresse und Browsereinstellungen, erfasst und an von Google betriebene Server in den USA gesendet.

Der Websitebetreiber und Google hatten die Standardvertragsklauseln abgeschlossen, und Google hatte bestimmte zusätzliche vertragliche, technische und organisatorische Maßnahmen ergriffen, um ein angemessenes Schutzniveau für personenbezogene Daten aus der EU zu gewährleisten, die in die Vereinigten Staaten exportiert werden. Dazu gehörte die Datenverschlüsselung.

Der DSB stellte jedoch fest, dass die ergriffenen Maßnahmen nicht ausreichten, um die Einhaltung der DSGVO-Vorschriften für die Übermittlung personenbezogener Daten außerhalb des EWR sicherzustellen.

Als Anbieter von elektronischen Kommunikationsdiensten, die dem US-Recht unterliegen, unterliegt Google der Einhaltung von Überwachungsanfragen der US-Geheimdienste. Google gab bekannt, solche Anfragen von US-Behörden erhalten zu haben.

In Ermangelung weiterer Maßnahmen hat das DSB daher festgestellt, dass die Gefahr besteht, dass Geheimdienste der Vereinigten Staaten auf personenbezogene Daten, die in die Vereinigten Staaten übermittelt werden, auf eine Weise zugreifen könnten, die die Rechte der betroffenen Personen verletzen würde.

Dann untersuchte der DSB die zusätzlichen Maßnahmen, die vorhanden waren, wie z. B. Verschlüsselung, stellte jedoch fest, dass sie nicht ausreichten, um das Risiko anzugehen.

So verwies der DSB beispielsweise auf die Empfehlungen des European Data Protection Board (EDPB), wonach eine Verschlüsselung keine ausreichende Maßnahme ist, wenn der Empfänger der personenbezogenen Daten über den Verschlüsselungsschlüssel verfügt und möglicherweise aufgefordert wird, diesen Schlüssel an das zu übergeben Behörden.

Der DSB entschied daher, dass der Websitebetreiber die DSGVO-Vorschriften zur Übermittlung personenbezogener Daten außerhalb des EWR nicht eingehalten hat.

Antwort von Google

Es sei darauf hingewiesen, dass das DSB kein Fehlverhalten von Google festgestellt hat – die primäre rechtliche Verantwortung für die Datenübertragung liegt beim Verantwortlichen; in diesem Fall der Betreiber der Website.

Dennoch äußerte Google seine Besorgnis über die Entscheidung. Sein Präsident für globale Angelegenheiten und Chief Legal Officer, Kent Walker, bemerkte in einem Blogeintrag, dass Google in den 15 Jahren, in denen es das Tool Google Analytics anbietet, „noch nie eine Anfrage dieser Art erhalten hat [from the US authorities] der [DSB] spekuliert“.

„Wenn ein theoretisches Datenzugriffsrisiko ausreichen würde, um den Datenfluss zu blockieren, würde dies ein Risiko für viele Verlage und kleine Unternehmen darstellen, die das Internet nutzen, und die mangelnde Rechtsstabilität des internationalen Datenflusses aufzeigen, mit der das gesamte europäische und amerikanische Geschäftsökosystem konfrontiert ist ,“ er sagte.

Quelle: https://www.presseraum.at/das-problem-der-oesterreichischen-datenaufsicht-mit-google-analytics/