Im Januar urteilte die österreichische Datenschutzbehörde nach einer Beschwerde von Max Schrems NOYB, dass die Einbindung von Google Analytics im vorgebrachten Musterfall gegen die Datenschutzgrundverordnung verstoße.
Seitdem herrscht unter Websitebetreibern in Österreich wieder einmal große Verunsicherung darüber, ob man den Analyse-Dienst, der auf einem Großteil aller österreichischen Webseiten im Einsatz ist, nun überhaupt noch einsetzen darf.
Zunächst vielleicht zum Hintergrund der Entscheidung. Stattgegeben wurde in dem Bescheid der DSB „einer Verletzung der allgemeinen Grundsätze der Datenübermittlung gemäß Art. 44 DSGVO“.
Laut Bescheid der österreichischen Datenschutzbehörde wurde im Musterfall festgestellt, dass dort Google Analytics ohne die nötige vorhergehende Einwilligung der User eingesetzt wurde und dabei personenbezogene Daten wie IP-Adresse (diese dazu ohne Pseudonymisierung) auf US-amerikanische Server übertragen wurde.
Der Übertragung auf US-amerikanische Server lagen dabei mit Google abgeschlossene „Standardvertragsklauseln“ zugrunde.
Der zentrale Punkt in dem Bescheid ist die Datenübertragung personenbezogener Daten in die USA. Die DSGVO stellt fest, dass bei einer Übertragung oder einer Verarbeitung personenbezogener Daten in einem Drittland ein gewisses Schutzniveau gewährleistet werden muss.
EU-Kommission und US-Regierung hatten in den vergangenen Jahren versucht, das in der DSGVO geforderte Schutzniveau auch amerikanischen Unternehmen zu ermöglichen, die sich nach dem Safe Harbour bzw. dem Privacy Shield zertifizieren lassen.
Da aber amerikanische Unternehmen, bzw. deren Server in den USA, unter 50 U.S. Code §1881 a fallen und damit personenbezogene Daten von Nicht-US-Bürgern nicht vor dem Zugriff von US- Geheimdiensten geschützt sind (und Nicht-US-Bürger keine Einspruchsmöglichkeiten haben), wurden sowohl Safe Harbour, als auch Privacy Shield (“Schrems II”-Urteil) vom Europäischen Gerichtshof für unzulässig erklärt.
Als Rechtsgrundlage für einen Datentransfer in die USA müssen daher Standardvertragsklauseln herhalten. Mit solchen Standardvertragsklauseln lassen sich die nach DSGVO nötigen europäischen Datenschutzstandards vertraglich zwischen Datenexporteuren in Drittstaaten vereinbaren. Als „Standardvertragsklauseln“ werden sie bezeichnet, weil sie von der Europäischen Kommission als Vorlage ausgegeben werden.
Diese zum Zeitpunkt der NOYB-Beschwerde von Google zur Verfügung gestellten Standardvertragsklauseln stammten jedoch aus Zeiten vor der DSGVO. Denn Google bzw. auch die EU-Kommission hatte sich im Grunde auf Safe Harbour bzw. Privacy Shield verlassen.
Seit Juni 2021 gibt es neue Standardvertragsklauseln, also vorgegebene Vertragstexte, die auch Google in Analytics als Rechtsgrundlage heranzieht und auf deren Basis man mit Google einen Vertrag abschließt.
Zu der Verwendung von Google Analytics mit den neuen, aktuellen Standard-Vertragsklauseln gibt es noch keine Entscheidung. Daher ist laut Datenschutzanwalt Mag. Markus Dörfler von der Wiener Rechtsanwaltskanzlei H-I-P der Einsatz von Google Analytics in Österreich nach wie vor eine Grauzone.
„Momentan lässt sich nicht abschließend sagen, dass der Einsatz von Google rechtskonform ist, derzeit steht aber auch nicht das Gegenteil fest“ – Mag. Markus Dörfler
Fest steht aber, dass Google Analytics nur eingesetzt werden darf, wenn der User zuvor seine Einwilligung gegeben hat. Auch die Aktivierung der angebotenen „anonymizeIP“ Funktion sollte aktiviert sein.
Jedenfalls müssen die aktuellen Standardvertragsklauseln akzeptiert werden. Die notwendige Checkbox findet man in den Google Analytics Kontoeinstellungen unter dem Punkt „Datenverarbeitungsbedingungen“ .
Momentan gibt es wie gesagt, keine konkrete Entscheidung einer Datenschutzbehörde bzw. eines Gerichts zum Einsatz von Google Analytics unter den neuen Standardvertragsklauseln. Der Einsatz bleibt ein abzuwägendes Risiko. Datenschutzanwalt Mag. Markus Dörfler sagt dazu:
„Ich gehe davon aus, dass auch die neuen Standardvertragsklauseln irgendwann vom Europäischen Gerichtshof als unzulässig eingestuft werden. Solange es dazu aber kein Urteil gibt, kann man diese als Rechtsgrundlage durchaus nutzen.“
Wir raten unseren Kunden wie bisher, Google Analytics nur mit einer Einwilligung des Nutzers einzusetzen und ohne diese Zustimmung keine Daten an Google Server zu schicken.
Weil Google Analytics auf so vielen Websites weltweit im Einsatz ist, kann man davon auszugehen, dass Google Interesse daran hat, dass das auch so bleibt. Zumindest mittelfristig dürfte also auch Google versuchen seinen Dienst DSGVO konform zu machen.
Als Alternative zu Google Analytics haben sich mittlerweile auch mehrere Tools am Markt etabliert, die mit der Datenverarbeitung auf europäischen Servern werben. Tracking Programme wie Matomo (ehemals Piwik) lassen sich auch selbst hosten, so dass Daten überhaupt nicht an Dritte weitergegeben werden müssen.
Disclaimer: Achtung! Für detaillierte und rechtsichere Informationen zum Thema DSGVO, ePrivacy oder zu allgemeinen datenschutzrechtlichen Fragen sollten Sie einen fachkundigen Rechtsanwalt für Datenschutz aufsuchen. Wir übernehmen keinerlei Haftung für eventuell resultierende Schäden aus der Nutzung bzw. Nichtnutzung der Informationen dieses Blogs. Die mit * gekennzeichneten Links sind Affiliate Links.
