Die österreichische Datenschutzbehörde (ÖDSB) hat am 12.1.‌2022 in einem Urteil den Einsatz von Google Analytics für unzulässig erklärt.[1]

Höchste Zeit also, dass wir uns dem genauer widmen: Warum ist das Urteil so ergangen, was steckt dahinter und was hat das für eine Bedeutung für Websitenbetreiber*innen?

I Worum geht es?

Der Beschwerdeführer rief eine Website eines österreichischen Unternehmens, der Beschwerdegegnerin, auf. Er war während der Zeit des Zugriffs in deinem Google-Konto, das mit seiner E-Mail-Adresse verknüpft ist, in seinem Browser eingeloggt.

Die Website der Beschwerdegegnerin U verwendete das Tool Google Analytics, welches auf ihrer Website eingebunden war. Dabei handelt es um ein Trackingtool von Google LLC zur Analyse des Datenverkehrs von Webseiten.

Im Urteil wird die Funktionsweise von Google Analytics wie folgt beschrieben:

„Wenn Besucher die Website ansehen, verweist der im Quelltext der Website eingefügte JavaScript-Code auf eine zuvor auf das Gerät des Benutzers heruntergeladene JavaScript-Datei, die dann den Tracking-Betrieb für Google Analytics ausführt. Die Tracking-Operation ruft Daten über die Seitenanfrage mit verschiedenen Mitteln ab und sendet diese Informationen über eine Liste von Parametern an den Analytics-Server, die an eine einzelne Pixel-GIF-Bildanfrage angeschlossen ist.

Die Daten, die mithilfe von Google Analytics im Auftrag des Website-Betreibers erhoben werden, stammen aus folgenden Quellen:

  • die HTTP-Anfrage des Benutzers;
  • Browser-/Systeminformationen;
  • (First-Party-)Cookies.

Eine HTTP-Anfrage für jede Website enthält Details über den Browser und den Computer, der die Anfrage stellt, wie etwa Host-Name, Browser-Typ, Referrer und Sprache. Darüber hinaus bietet die DOM-Schnittstelle der Browser (die Schnittstelle zwischen HTML und dynamischem JavaScript) Zugriff auf detailliertere Browser- und Systeminformationen, wie Java- und Flash-Unterstützung und Bildschirmauflösung. Google Analytics nutzt diese Informationen. Google Analytics setzt und liest auch First-Party-Cookies auf Browsern eines Benutzers, die die Messung der Benutzersitzung und anderer Informationen aus der Seitenanfrage ermöglichen.

Wenn alle diese Informationen gesammelt werden, werden diese an die Analytics-Server in Form einer langen Liste von Parametern gesendet, die an eine einzelne GIF-Bildanfrage (die Bedeutung der GIF-Anfrageparameter wird hier beschrieben) an die Domain google-analytics.com gesendet werden. Die in der GIF-Anfrage enthaltenen Daten sind jene, die an die Analytics-Server gesendet und dann weiterverarbeitet werden und in den Berichten des Website-Betreibers enden.“[2]

Zwischen der Websitenbetreiberin und Google gab es zudem ein Standardvertragsklauselvertrag sowie weitere vertragliche, organisatorische und technische Maßnahmen. Die angebotene Möglichkeit, eine IP-„Anonymisierungsfunktion“ zu verwenden, wurde bis zum relevanten Zeitpunkt nicht wahrgenommen.

Der ÖDSB gab dem Beschwerdeführer insofern Recht, als das es den von dem Beschwerdeführer erfolgten Einsatz von Google Analytics auf der Basis von Standarddatenschutzklauseln für unzulässig erklärte.

II Was steckt dahinter?

Da personenbezogene Daten in den Nicht-EU-Staat USA (Sitz von Google LLC) übermittelt werden, ist dies nach Art.44 DSGVO nur zulässig, wenn mindestens einer der Art. 45 ff. DSGVO einschlägig ist. Dies war hier fraglich.

II.1. Angemessenheitsbeschluss

Der EU-USA Angemessenheitsbeschluss gem. Art. 45 DSGVO ist durch Schrems II[3] gekippt worden, sodass aktuell kein Angemessenheitsbeschluss besteht.

II.2. Geeignete Garantien

Eine Grundlage für die Übermittlung von Daten an Drittstaaten könnten geeignete Garantien i.S.d. Art. 46 DSGVO sein. Hier wurden Standardvertragsklauseln (SCCs) i.S.d. Art. 46 Abs. 2 lit. c DSGVO geschlossen.

Wie das Schrems II-Urteil[4] jedoch deutlich gemacht hat, sind SCCs sind ein Vertrag, mit Wirkung nur inter partes, binden also nicht den Drittstaat. Wenn dieser Behörden Eingriffe in die Rechte der betroffenen Personen bezüglich der entsprechenden Daten erlaubt, werden weitere zusätzliche Maßnahmen benötigt, um die Einhaltung des Schutzniveaus zu gewährleisten.

Für die USA hat der EuGH ebenfalls im Schrems II-Urteil[5] herausgearbeitet, dass Anbieter elektronischer Kommunikationsdienste der Überwachung durch US-Nachrichtendienste unterliegen (siehe FISA 702). Somit bedarf es weiterer zusätzlicher Maßnahmen vertraglicher, technischer und/oder organisatorischer Art, um das Schutzniveau zu garantieren.

Hier hat der ÖDSB folgende Maßnahmen im Einzelnen analysiert (Die Analyse ist auch im Hinblick auf vergleichbare Fälle lesens- und beachtenswert):

Vertragliche und organisatorische Maßnahmen:

Benachrichtigung der betroffenen Person über Datenanfragen:

Hier ist erstens unklar, ob dies im Einzelfall überhaupt zulässig sei und zweitens war nicht ersichtlich, inwiefern eine Benachrichtigung der Betroffenen Person das Schutzniveau garantieren können soll.

Veröffentlichung eines Transparenzberichts, eine „RL für den Umgang mit Regierungsanfragen“ sowie eine „sorgfältige Prüfung einer jeder Datenzugriffsanfrage“:

Auch hier war nicht ersichtlich, inwiefern eine Benachrichtigung der Betroffenen Person das Schutzniveau garantieren können soll.

technischen Maßnahmen

Bei allen technischen Maßnahmen ist unklar, „inwiefern der Schutz der Kommunikation zwischen Google-Diensten, der Schutz von Daten im Transit zwischen Rechenzentren, der Schutz der Kommunikation zwischen Nutzern und Websites oder eine „On-Site-Security“ die Zugriffsmöglichkeiten von US-Nachrichtendiensten auf der Grundlage des US-Rechts tatsächlich verhindern oder einschränken“[6]

Verschlüsselungen:

  • Laut FISA 702 haben Unternehmen wie Google die Pflicht, bei importierten Daten den Zugriff darauf zu gewähren oder diese, inkl. kryptografischen Schlüssel herauszugeben.
  • Wenn Google selbst in der Lage ist, auf Daten im Klartext zuzugreifen, sind die Maßnahmen nicht effektiv

Pseudonymisierung

  • Wenn Nutzer etwa über IDs oder Kennungen bestimmbar gemacht werden, handelt es sich um keine Pseudonymisierungsmaßnahme
  • Die Google-Analytics-Kennung wird mit weiteren Elementen kombiniert und kann mit Google-Account in Verbindung gebracht werden, ist also auch keine Pseudonymisierung
  • Anonymisierungsfunktion der IP-Adresse wurde hier nicht genauer untersucht, da nicht verwendet[7], darüber hinaus davon sei „die IP-Adresse ohnedies nur eines von vielen „Puzzleteilen“ des digitalen Fußabdrucks des Bf“[8]

Somit wurden keine zusätzlichen Maßnahmen wirksam getroffen, geeignete Garantien i.S.d. Art. 46 DSGVO lagen somit nicht vor.

II.3. Einwilligung

Da eine Einwilligung gem. Art. 49 Abs. 1 lit. a DSGVO hier von der Websitenbetreiberin nicht eingeholt wurde, kam auch dies nicht in Betracht.

II.4. Ergebnis

Da keiner der Art. 45 ff. DSGVO einschlägig war, war eine Verwendung von Google Analytics durch den Beschwerdegegner und damit eine Übermittlung personenbezogener Daten in den Nicht-EU-Staat USA (Sitz von Google LLC) nach Art. 44 DSGVO unzulässig.

III Fazit & Ausblick

Da sowohl die niederländische Behörde die Warnung, dass Google Analytics bald rechtswidrig sein könnte, aussprach und weitere Untersuchungen ankündigte als auch die französische Datenschutzbehörde im Februar 2022 zu dem Ergebnis kam, dass Google Analytics nicht mit der DSGVO vereinbar sei[9], dürfte es nur eine Frage der Zeit sein, bis weitere Datenschutzbehörden dem folgen.

Für den Anwender gilt daher die dringende Empfehlung, allein schon, um kein Bußgeld zu riskieren, vorerst kein Google Analytics mehr zu verwenden und stattdessen unproblematische Alternativen wie ‚Matomo‘ zu nutzen.

[1] ÖDSB, Teilbescheid vom 22.12.2021 – D155.027, 2021-0.586.257.

[2] Ebenda.

[3] EuGH, Urt. v. 16.7.2020 – C-311/18.

[4] Ebenda.

[5] Ebenda.

[6] ÖDSB, Teilbescheid vom 22.12.2021 – D155.027, 2021-0.586.257.

[7] Stellt aber auch bei korrekter Anwendung keine wirksame Pseudonymisierung dar, da die Anonymisierung erst nach der Übermittlung erfolgt, siehe https://noyb.eu/en/update-noybs-101-complaints-austrian-dpa-rejects-risk-based-approach-data-transfers-third-countries.

[8] ÖDSB, Teilbescheid vom 22.12.2021 – D155.027, 2021-0.586.257.

[9] Deiwick. Droht das Aus für Google Analytics in der EU? In ZD-Aktuell 2022, 01125.