22.03.2022
Zur Nutzung von Google Analytics in der EU – unsere Nachbarn nehmen Stellung
Die österreichische und die französische Datenschutzbehörde haben sich aufgrund von Beschwerden der österreichischen Datenschutzorganisation noyb mit der Webanalyse-Software Google Analytics auseinandergesetzt.
Beide Behörden stuften im jeweiligen Fall die Nutzung von Google Analytics als Verstoß gegen die DSGVO ein. Dabei ist Google Analytics für die meisten Unternehmen ein beliebtes Tool zur Verbesserung der Marketingstrategie und der Auswertung des Erfolges einer Marketingkampagne. In diesem Beitrag geben wir Ihnen einen Überblick über die beiden Behördenentscheidungen und zu den geltenden Regelungen in Deutschland.
Gegenstand der Entscheidungen
Die österreichische Aufsichtsbehörde betrachtete in ihrem Fall eine österreichische Webseite, die Google Analytics ohne Einwilligung des Nutzenden und auf Grundlage der vormals geltenden Standardvertragsklauseln (SCC) nutzte. Ebenso verhielt es sich im Fall, den die französische Datenschutzaufsicht prüfte.
Newsletter
Alle wichtigen Neuigkeiten zu Themen wie Datenschutz, Künstliche Intelligenz, IT-Recht und vielen mehr – einmal monatlich in Ihr Postfach.
Rechtlicher Hintergrund der Entscheidungen
Hintergrund der Entscheidungen der Behörden ist die Unwirksamkeit des US-EU Privacy Shields nach dem Schrems II-Urteil des EuGH. Ausführliche Informationen zum Schrems II-Urteil finden Sie hier auf unserem Blog. Mit Kippen des Privacy Shields, das vormals Datenübermittlungen in die USA ermöglichte, besteht seither nur noch die Möglichkeit, die Datenübermittlung in die USA auf die Garantien nach Art. 46 DSGVO, etwa durch den Abschluss von SCC, oder auf die Ausnahmen nach Art. 49 DSGVO zu stützen. Eine Datenübermittlung kann jedoch nur dann auf die SCC gestützt werden, wenn das Bestimmungsdrittland nach Maßgabe des Unionsrechts einen angemessenen Schutz der übermittelten personenbezogenen Daten gewährleistet. Der EuGH forderte dafür im Schrems II-Urteil zusätzliche „effektive Maßnahmen“. Die Google Analytics verwendenden Webseiten schlossen in der Folge mit Google LLC in den USA SCC ab.
Als technische und organisatorische Maßnahmen seitens Googles wurden die Anonymisierung der IP-Adressen, die Erstellung und Veröffentlichung von Transparenzberichten und die Verschlüsselung ruhender und transportierter Daten implementiert. Jedoch seien, so die beiden Datenschutzbehörden, diese zusätzlichen Schutzmaßnahmen nicht ausreichend gewesen, um die Nutzerdaten angemessen zu sichern und ein vergleichbares Schutzniveau zu dem innerhalb der Europäischen Union zu wahren. Die Maßnahmen seien nämlich gerade nicht dazu geeignet gewesen, den Zugriff durch US-Geheimdienste auf die Daten zu unterbinden. Dies veranlasste die Behörden dazu, die Nutzung von Google Analytics in diesem Kontext als unvereinbar mit der DSGVO anzusehen.
Inzwischen verabschiedete die Europäische Kommission neue Standardvertragsklauseln (SCC), die Unternehmen abschließen müssen, sollten sie den Datentransfer in ein Drittland, wie die USA, beabsichtigen. Detaillierte Hintergrundinformationen zu den neuen SCC finden Sie hier.
Auswirkungen auf Deutschland
Die Entscheidungen der Datenschutzbehörden in Frankreich und in Österreich gelten nicht für Deutschland. Jedoch hat die noyb bereits in Deutschland Beschwerde eingelegt. Wie die deutsche Behörde dabei entscheiden wird, bleibt abzuwarten. Die Entscheidungen der anderen Länder sind jedenfalls hierzulande nicht bindend. Jedoch zeichnet sich bereits eine Richtung innerhalb der Union ab, wie Behörden mit dem Thema Google Analytics auf Webseiten umgehen. Aktuell prüft auch die niederländische Datenschutzbehörde die Verwendung von Google Analytics auf einer niederländischen Webseite.
Dennoch gilt zu beachten, dass die Entscheidungen jeweils gegenüber solchen Webseiten ergangen sind, die keine Einwilligung der Nutzenden für die Verwendung von Google Analytics eingeholt haben.
Rechtliche Grundlagen in Deutschland
In Deutschland ist eine ausdrückliche Einwilligungspflicht für die Verwendung von nicht unbedingt erforderlichen Cookies und ähnlichen Technologien, also gerade solche, die auch Google Analytics nutzt, gesetzlich im Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG) festgelegt. Mehr Informationen zum TTDSG finden Sie in unserem Blogartikel auf unserer Webseite.
Für nachgelagerte Datenverarbeitungen, wie z.B. die Auswertung der erhobenen Nutzungsinformationen und das Retargeting, gilt dann wieder die DSGVO. Auch für Drittlandübermittlungen der Daten ist die DSGVO anzuwenden. Problematisch ist bei der Verwendung von Google Analytics insbesondere, dass die Daten für deren Auswertung und Analyse auf einen Google-Server in die USA übertragen werden. Diese Übertragung ist ein Drittlandtransfer, der nur unter den in Art. 44 ff. DSGVO normierten Voraussetzungen zulässig ist. Diese rechtlichen Grundlagen decken sich mit den Ausgangspunkten, auf welchen die französische und österreichische Behöre jeweils entschieden hat. Grundsätzlich muss daher für den Drittlandtransfer ein Angemessenheitsbeschluss (vgl. Art. 45 DSGVO) oder geeignete Garantieren (vgl. Art. 46 DSGVO) vorliegen. Als geeignete Garantien gelten insbesondere weiterhin die SCC, solange sie mit zusätzlichen Maßnahmen verbunden werden. In der Vergangenheit wurden die SCC zwischen dem Google Analytics nutzenden Unternehmen und der Google LLC abgeschlossen. Inzwischen werden die SCC zwischen der europäischen Google-Tochter Google Ireland Limited und der Google LLC in den USA geschlossen. Vertragspartner des Unternehmens ist nun Google Ireland Limited.
Art. 49 Abs. 1 lit. a DSGVO regelt insbesondere für die Fälle, in denen kein Angemessenheitsbeschluss oder keine geeigneten Garantien vorliegen, dass die Datenübermittlung ausnahmsweise auch durch ausdrückliche Einwilligung der betroffenen Person erfolgen kann. Auch der Drittlandtransfer für Daten, die zum Zwecke der Nutzung von Google Analytics übermittelt werden sollen, kann darauf gestützt werden. Zwar hat die Datenschutzkonferenz in ihrer Orientierungshilfe Telemedien 2021 hier bereits eine andere Ansicht vertreten, dies kann aber unter Umständen mit entsprechender Begründung auch anders gesehen werden.
Webseitenbetreiber, die Google Analytics nutzen möchten, sollten daher unbedingt eine entsprechende ausdrückliche Einwilligung einholen und im Einwilligungsbanner und in der Datenschutzerklärung über den Einsatz von Google Analytics sowie die Datenübermittlung in die USA und die damit verbundenen Risiken im Drittland informieren.
Weitere Informationen zu rechtssicheren Einwilligungsbannern finden Sie hier auf unserem Blog.
Fazit
Die Zukunft der Nutzung von Google Analytics in Deutschland und der restlichen EU wird vor allem von den (bisherigen und künftigen) Behördenentscheidungen beeinflusst und könnte durch mögliche Gerichtsentscheidungen geregelt werden. Bis dahin können Unternehmen mit Einholung einer entsprechenden Einwilligung Google Analytics weiterhin grundsätzlich ohne größere Bedenken nutzen, solange es mit den richtigen Datenschutzeinstellungen betrieben wird.
Unsere erfahrenen Expertinnen und Experten stehen Ihnen bei Fragen zum Datenschutz zur Seite. Kontaktieren Sie uns gerne!
Vereinbaren Sie jetzt ein
unverbindliches Erstgespräch!
Lassen Sie uns über Ihre Herausforderungen sprechen und vereinbaren Sie ein unverbindliches Erstgespräch mit unseren spezialisierten Anwält:innen.
Unsere Experten zum Thema
Weitere Neuigkeiten
30.09.2024
Künstliche Intelligenz (KI) – wer haftet, wenn ein Roboter versagt?
20.09.2024
Datenschutz und M&A: Data Due Diligence und der Schlüssel zur rechtssicheren Datennutzung
12.09.2024