DSB zur Unzulässigkeit von Google Analytics - eine kurze Analyse

Die öDSB hat am 22.12.2021 (D155.027, 2021-0.586.257) in einem Verfahren, in dem NOYB den Beschwerdeführer vertreten hat, entschieden, dass der Datentransfer beim Einsatz von Google Analytics in die USA unzulässig ist, wenn keine (ausreichenden) zusätzlichen Maßnahmen iSd Schrems II Entscheidung getroffen werden

 

 

Folgende Bereiche der Entscheidung sind besonders relevant bzw. interessant.

 

 

1. Website-Betreiber, der Google Analytics einsetzt = Verantwortlicher (siehe S. 32 der Entscheidung)

 

Die DSB hat eindeutig klargestellt, dass ein Unternehmen, dass sich entscheidet, die Messung der Besucher der Website mit Google Analytics durchzuführen (auch ohne Google Signals) als "Verantwortlicher" iSd DSGVO gilt. Der Websitebetreiber trifft die Entscheidung, das Tool einzusetzen und implementiert das JavaScript ("tag"), das von Google zur Verfügung gestellt wird auf der Website, um statistische Auswertungen über das Verhalten der Websitebesucher durchzuführen

 

 

2. IP-Adressen, mit der Möglichkeit für Google, die Nutzer zu identifizieren, sind personenbezogene Daten iSd DSGVO

 

Im konkreten Verfahren war ANONYMIZE-IP (nach Angaben des Verantwortlichen) nicht korrekt umgesetzt. Unabhängig davon ist mE davon auszugehen, dass durch den Einsatz von Google Analytics personenbezogene Daten (IP-Adresse etc ...) erhoben werden. Es wird dem Verantwortlichen ermöglicht, bestimmte Nutzer der Website "auszusondern" und damit gewissermaßen zu klassifizieren. Dies ist nach Ansicht der DSB (unter Verweis auf ErwG 26), und ausreichend um eine Identifizierbarkeit iSd DSGVO zu begründen. 

 

"Soweit die Beschwerdegegner ins Treffen führen, dass keine „Mittel“ verwendet würden, um die hier gegenständlichen Kennnummern mit der Person des Beschwerdeführers in Verbindung zu bringen, ist ihnen neuerlich entgegenzuhalten, dass die Implementierung von Google Analytics auf www .at eine Aussonderung iSd ErwGr 26 DSGVO zur Folge hat. Mit anderen Worten: Wer ein Tool verwendet, welches eine solche Aussonderung gerade erst ermöglicht, kann sich nicht auf den Standpunkt stellen, nach „allgemeinem Ermessen“ keine Mittel zu verwenden, um natürliche Personen identifizierbar zu machen."  (Auszug aus dem Bescheid, S. 28)

 

Es ist nicht notwendig, dass der Verantwortliche jedem Nutzer auch ein "Gesicht" einer bestimmten natürlichen Person zuordnen kann.

 

 

3. Identifizierbarkeit durch Dritte

 

Die DSB weist (siehe S. 29 unten) auch darauf hin, dass es ausreichend ist, dass irgendjemand die Möglichkeit hat, mit rechtlich zulässigen Mitteln und vertretbarem Aufwand, aus den erhobenen Daten auf eine Person zu schließen (Rückführbarkeit auf eine bestimmte Person). 

 

Diese Identifizierbarkeit beschränkt sich auf bestimmte Akteure, die mit Spezialwissen über die erhobenen Daten, einen Bezug zur natürlichen Person herstellen können. Dies ist im konkreten Fall (mE auch beim Einsatz von ANONYMIZE-IP) in jedem Fall Google selbst, insbes. wenn der Websitebesucher in einem Google Account eingeloggt ist, wenn er / sie die Website des Verantwortlichen aufruft. 

 

Wenn daher ein Dritter die Möglichkeit hat, den Website-Nutzer zu identifizieren, dann ist jedenfalls der Personenbezug gegeben.

 

 

4. Beurteilung der zusätzlichen Maßnahmen iSd der Schrems II Entscheidung

 

Nach der Entscheidung des EuGH vom 16.7.2020 (C-11/18, Schrems II) ist klargestellt, dass für Datentransfers in (unsichere) Drittländer (USA ist seit 16.7.2020 ein derartiges Drittland), vorab eine Prüfung der Angemessenheit des Datenschutzniveaus erforderlich ist.

 

Nur "Standarddatenschutzklauseln" iSd Art 46 Abs 2 c DSGVO, die zwischen den Parteien vereinbart werden, bieten kein angemessenes Schutzniveau, da diese den Zugriff der Behörden nicht verhindern können.

 

Durch Schrems II ist eindeutig geklärt, dass in den USA aufgrund der Zugriffsmöglichkeiten durch Behörden jedenfalls bei Anbietern von elektronischen Kommunikationsdiensten aufgrund von FISA 702 ein Datentransfer neben des Abschlusses von Standarddatenschutzklauseln mit dem Datenimporteur zusätzlicher vertraglicher, organisatorischer oder technischer Maßnahmen bedarf. Es ist auch klargestellt, dass vertragliche Maßnahmen nicht ausreichend sind, da diese den Staat, in dem der Datenimporteur seinen Sitz hat, nicht binden (können).

 

Die DSB setzt sich mit den getroffenen Maßnahmen auseinander und beurteilt diese sämtliche als unzureichend.

 

Es sind folgende organisatorische Maßnahmen:

  • Benachrichtigung der betroffenen Personen über Datenanfragen (sofern dies im Einzelfall zulässig ist)
  • Veröffentlichung eines Transparenzberichtes
  • die sorgfältige Prüfung jeder Datenzugriffsanfrage

 

Es sind folgende technischen Maßnahmen:

 

  • Schutz der Kommunikation zwischen Google-Diensten
  • Schutz von Daten im Transit zwischen Rechenzentren
  • Schutz der Kommunikation zwischen Nutzern und Websites
  • On-Site-Security

 

"Die Verschlüsselung (zB von Daten im Ruhezustand) selbst wird auf Seite 38 der Entscheidung erwähnt, und klargestellt, dass eine Verschlüsselung, bei der der Datenimporteur über den Schlüssel verfügt, nicht ausreichend ist

Sofern der Zweitbeschwerdegegner in Folge auf Verschlüsselungstechnologien – etwa auf die Verschlüsselung von „Daten im Ruhezustand“ in den Datenzentren – verweist, sind ihm erneut die Empfehlungen 01/2020 des EDSA entgegenzuhalten. Dort wird nämlich ausgeführt, dass ein Datenimporteur (wie der Zweitbeschwerdegegner), der 50 U.S. Code § 1881a („FISA 702”) unterliegt, hinsichtlich der importierten Daten, die sich in seinem Besitz oder Gewahrsam oder unter seiner Kontrolle befinden, eine direkte Verpflichtung hat, den Zugriff darauf zu gewähren oder diese herauszugeben. Diese Verpflichtung kann sich ausdrücklich auch auf die kryptografischen Schlüssel erstrecken, ohne die die Daten nicht lesbar sind (ebd. Rz 76).

 

Solange der Zweitbeschwerdegegner sohin selbst die Möglichkeit hat, auf Daten im Klartext zuzugreifen, können die ins Treffen geführten technischen Maßnahmen nicht als effektiv im Sinne der obigen Überlegungen betrachtet werden."

 

 

5. Einwilligung (iSd Art 49 Abs 1 lit a DSGVO - mit Risikohinweis) war kein Thema.

 

Die Frage, ob eine Einwilligung iSd Art 49 Abs 1 lit a DSGVO (mit einer ausreichende Aufklärung darüber, dass die Daten in ein unsicheres Drittland übermittelt werden, und dort eben kein angemessenes Datenschutzniveau herrscht) war in der Entscheidung der DSB vom 22.12.2022 kein Thema. 

 

Für mich stellt sich daher nach wie vor, die Frage, ob es möglich (zulässig) ist, von einem Website-Nutzer eine Einwilligung zu "verlangen" (zu erhalten), bevor die Cookies gesetzt werden, wenn damit ein Risikohinweis verbunden ist. Siehe dazu bereits einen Blogbeitrag aus dem Jahr 2020.

 

 

 

FAZIT: 

Die Frage der (zulässigen) Datenübermittlung in die USA bleibt spannend; im Verfahren ist sicherlich nicht das letzte Wort gesprochen, und die Website-Betreiber sind diejenigen, die als Verantwortliche in der (datenschutzrechtlichen) Auslage stehen.


Download
Ens der DSB vom 22.12.2022 im Volltext mit Anm von dataprotect
E-DSB - GA Anm dataprotect.pdf
Adobe Acrobat Dokument 1.0 MB

Kommentar schreiben

Kommentare: 0