Zur Nutzung von Google Analytics in der EU – unsere Nachbarn nehmen Stellung

Die österreichische und die französische Datenschutzbehörde haben sich aufgrund von Beschwerden der österreichischen Datenschutzorganisation noyb mit der Webanalyse-Software Google Analytics auseinandergesetzt. Beide Behörden stuften im jeweiligen Fall die Nutzung von Google Analytics als Verstoß gegen die DSGVO ein. Dabei ist Google Analytics für die meisten Unternehmen ein beliebtes Tool zur Verbesserung der Marketingstrategie und der Auswertung des Erfolges einer Marketingkampagne. In diesem Beitrag geben wir Ihnen einen Überblick über die beiden Behördenentscheidungen und zu den geltenden Regelungen in Deutschland.

Gegenstand der Entscheidungen

Die österreichische Aufsichtsbehörde betrachtete in ihrem Fall eine österreichische Webseite, die Google Analytics ohne Einwilligung des Nutzenden und auf Grundlage der vormals geltenden Standardvertragsklauseln (SCC) nutzte. Ebenso verhielt es sich im Fall, den die französische Datenschutzaufsicht prüfte.

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf „Abonnieren“ stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.

Rechtlicher Hintergrund der Entscheidungen

Hintergrund der Entscheidungen der Behörden ist die Unwirksamkeit des US-EU Privacy Shields nach dem Schrems II-Urteil des EuGH. Ausführliche Informationen zum Schrems II-Urteil finden Sie hier auf unserem Blog. Mit Kippen des Privacy Shields, das vormals Datenübermittlungen in die USA ermöglichte, besteht seither nur noch die Möglichkeit, die Datenübermittlung in die USA auf die Garantien nach Art. 46 DSGVO, etwa durch den Abschluss von SCC, oder auf die Ausnahmen nach Art. 49 DSGVO zu stützen. Eine Datenübermittlung kann jedoch nur dann auf die SCC gestützt werden, wenn das Bestimmungsdrittland nach Maßgabe des Unionsrechts einen angemessenen Schutz der übermittelten personenbezogenen Daten gewährleistet. Der EuGH forderte dafür im Schrems II-Urteil zusätzliche „effektive Maßnahmen“. Die Google Analytics verwendenden Webseiten schlossen in der Folge mit Google LLC in den USA SCC ab.

Als technische und organisatorische Maßnahmen seitens Googles wurden die Anonymisierung der IP-Adressen, die Erstellung und Veröffentlichung von Transparenzberichten und die Verschlüsselung ruhender und transportierter Daten implementiert. Jedoch seien, so die beiden Datenschutzbehörden, diese zusätzlichen Schutzmaßnahmen nicht ausreichend gewesen, um die Nutzerdaten angemessen zu sichern und ein vergleichbares Schutzniveau zu dem innerhalb der Europäischen Union zu wahren. Die Maßnahmen seien nämlich gerade nicht dazu geeignet gewesen, den Zugriff durch US-Geheimdienste auf die Daten zu unterbinden. Dies veranlasste die Behörden dazu, die Nutzung von Google Analytics in diesem Kontext als unvereinbar mit der DSGVO anzusehen.

Inzwischen verabschiedete die Europäische Kommission neue Standardvertragsklauseln (SCC), die Unternehmen abschließen müssen, sollten sie den Datentransfer in ein Drittland, wie die USA, beabsichtigen. Detaillierte Hintergrundinformationen zu den neuen SCC finden Sie hier.

Auswirkungen auf Deutschland

Die Entscheidungen der Datenschutzbehörden in Frankreich und in Österreich gelten nicht für Deutschland. Jedoch hat die noyb bereits in Deutschland Beschwerde eingelegt. Wie die deutsche Behörde dabei entscheiden wird, bleibt abzuwarten. Die Entscheidungen der anderen Länder sind jedenfalls hierzulande nicht bindend. Jedoch zeichnet sich bereits eine Richtung innerhalb der Union ab, wie Behörden mit dem Thema Google Analytics auf Webseiten umgehen. Aktuell prüft auch die niederländische Datenschutzbehörde die Verwendung von Google Analytics auf einer niederländischen Webseite.

Dennoch gilt zu beachten, dass die Entscheidungen jeweils gegenüber solchen Webseiten ergangen sind, die keine Einwilligung der Nutzenden für die Verwendung von Google Analytics eingeholt haben.

Rechtliche Grundlagen in Deutschland

In Deutschland ist eine ausdrückliche Einwilligungspflicht für die Verwendung von nicht unbedingt erforderlichen Cookies und ähnlichen Technologien, also gerade solche, die auch Google Analytics nutzt, gesetzlich im Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG) festgelegt. Mehr Informationen zum TTDSG finden Sie in unserem Blogartikel auf unserer Webseite.

Für nachgelagerte Datenverarbeitungen, wie z.B. die Auswertung der erhobenen Nutzungsinformationen und das Retargeting, gilt dann wieder die DSGVO. Auch für Drittlandübermittlungen der Daten ist die DSGVO anzuwenden. Problematisch ist bei der Verwendung von Google Analytics insbesondere, dass die Daten für deren Auswertung und Analyse auf einen Google-Server in die USA übertragen werden. Diese Übertragung ist ein Drittlandtransfer, der nur unter den in Art. 44 ff. DSGVO normierten Voraussetzungen zulässig ist. Diese rechtlichen Grundlagen decken sich mit den Ausgangspunkten, auf welchen die französische und österreichische Behöre jeweils entschieden hat. Grundsätzlich muss daher für den Drittlandtransfer ein Angemessenheitsbeschluss (vgl. Art. 45 DSGVO) oder geeignete Garantieren (vgl. Art. 46 DSGVO) vorliegen. Als geeignete Garantien gelten insbesondere weiterhin die SCC, solange sie mit zusätzlichen Maßnahmen verbunden werden. In der Vergangenheit wurden die SCC zwischen dem Google Analytics nutzenden Unternehmen und der Google LLC abgeschlossen. Inzwischen werden die SCC zwischen der europäischen Google-Tochter Google Ireland Limited und der Google LLC in den USA geschlossen. Vertragspartner des Unternehmens ist nun Google Ireland Limited.

Art. 49 Abs. 1 lit. a DSGVO regelt insbesondere für die Fälle, in denen kein Angemessenheitsbeschluss oder keine geeigneten Garantien vorliegen, dass die Datenübermittlung ausnahmsweise auch durch ausdrückliche Einwilligung der betroffenen Person erfolgen kann. Auch der Drittlandtransfer für Daten, die zum Zwecke der Nutzung von Google Analytics übermittelt werden sollen, kann darauf gestützt werden. Zwar hat die Datenschutzkonferenz in ihrer Orientierungshilfe Telemedien 2021 hier bereits eine andere Ansicht vertreten, dies kann aber unter Umständen mit entsprechender Begründung auch anders gesehen werden.

Webseitenbetreiber, die Google Analytics nutzen möchten, sollten daher unbedingt eine entsprechende ausdrückliche Einwilligung einholen und im Einwilligungsbanner und in der Datenschutzerklärung über den Einsatz von Google Analytics sowie die Datenübermittlung in die USA und die damit verbundenen Risiken im Drittland informieren.

Weitere Informationen zu rechtssicheren Einwilligungsbannern finden Sie hier auf unserem Blog.


Das könnte Sie auch interessieren:


Fazit

Die Zukunft der Nutzung von Google Analytics in Deutschland und der restlichen EU wird vor allem von den (bisherigen und künftigen) Behördenentscheidungen beeinflusst und könnte durch mögliche Gerichtsentscheidungen geregelt werden. Bis dahin können Unternehmen mit Einholung einer entsprechenden Einwilligung Google Analytics weiterhin grundsätzlich ohne größere Bedenken nutzen, solange es mit den richtigen Datenschutzeinstellungen betrieben wird.

Unsere erfahrenen Expertinnen und Experten stehen Ihnen bei Fragen zum Datenschutz zur Seite. Kontaktieren Sie uns gerne!

Erfolg im digitalen Zeitalter: Der Data Act 2024 und seine Chancen für Ihr Unternehmen

Jetzt lesen

KG Berlin: Immaterielle Schadensersatzansprüche aus Art. 82 DSGVO müssen konkret dargelegt werden

Jetzt lesen

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf "Abonnieren" stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.