Die finnische Datenschutzbehörde (Data Protection Ombudsman) hat gegen die Verwendung von Google Analytics durch vier Bibliotheken im Großraum Helsinki entschieden. Sie haben vielleicht schon davon gehört, denn die Behörden in Österreich, Frankreich, Italien und Dänemark haben alle festgestellt, dass die Verwendung von Google Analytics nicht mit der DSGVO vereinbar ist. _
Sie können die Pressemitteilung hier lesen.
Wir werden zunächst den Fall kurz erörtern und dann einen Blick auf das Gesamtbild hinter der Entscheidung werfen. Lassen Sie uns eintauchen!
(Update: Die norwegische Behörde folgte kurz darauf, obwohl ihre Entscheidung noch vorläufig ist. Zwei Monate später verlor Meta einen weitaus größeren Fall, bei dem es um dieselben Rechtsfragen ging wie bei den Urteilen gegen Google Analytics. Dies führte zu einer Rekordstrafe von 1,2 Milliarden Euro und der sehr realen Möglichkeit einer EU-weiten Sperrung von Facebook)
Die Mumins rennen weg. Fertigstellung im Comic-Stil von Tove Jansson
Die Entscheidung
Die Behörde stellte mehrere Verstöße in Bezug auf Einwilligung und Transparenz fest, aber wir lassen diese beiseite und konzentrieren uns auf die Übermittlung personenbezogener Daten.
Die Behörde hat in dieser Hinsicht nichts Neues gesagt. Sie stellte klar, dass die USA im Einklang mit dem Schrems-II-Urteil des EU-Gerichtshofs kein sicheres Ziel für Datenübermittlungen sind. Sie stellte außerdem fest, dass die Bibliotheken keine ausreichenden Sicherheitsvorkehrungen für die von Google Analytics geforderten Datenübertragungen getroffen haben, was einen Verstoß gegen die GDPR-Vorschriften für Datenübertragungen darstellt. Dies ist genau das, was andere europäische Behörden in ähnlichen Fällen gesagt haben, und es wird einen Präzedenzfall gegen Google Analytics in einem weiteren EU-Mitgliedstaat schaffen.
Technisch gesehen handelt es sich um eine Entscheidung über einen bestimmten für die Datenverarbeitung Verantwortlichen (die Bibliotheken), aber sie hat allgemeine Auswirkungen auf Finnland. Theoretisch könnte ein anderer für die Verarbeitung Verantwortlicher bessere Sicherheitsvorkehrungen treffen und Google Analytics rechtmäßig einsetzen. Aber Theorie ist hier das Schlüsselwort, denn in der Praxis ist dies einfach unmöglich.
Alle für die Datenverarbeitung Verantwortlichen stimmen denselben standardisierten Bedingungen von Google zu, einschließlich derselben Datenschutzklauseln. Sie haben keinen Spielraum, andere Bedingungen auszuhandeln. Und sie können selbst keine ausreichenden technischen Sicherheitsvorkehrungen treffen, weil es diese für Google Analytics nicht gibt.
Die Ende-zu-Ende-Verschlüsselung funktioniert nicht, weil Google Analytics die Cookie-IDs im Klartext verarbeiten muss. Eine Nicht-zu-Ende-Verschlüsselung ist unzureichend, da die US-Regierung von Google die Herausgabe des Entschlüsselungsschlüssels verlangen kann. Eine serverseitige Implementierung von Google Analytics könnte theoretisch funktionieren, ist aber sehr aufwändig und würde die Leistung des Tools stark beeinträchtigen.
Kurz gesagt: Bleibt die finnische Behörde bei ihrem Standpunkt, ist Google Analytics in Finnland praktisch verboten.
Das Gesamtbild
Schrems I und II
Google Analytics ist bereits in der Vergangenheit in EU-Mitgliedstaaten praktisch verboten worden. Aber die Geschichte mit den Datenübertragungen ist eine noch längere, und ein kleiner Rückblick kann den Hintergrund der finnischen Entscheidung verdeutlichen.
Alles begann im Jahr 2012, als die Snowden-Akten die Existenz umfangreicher und wahlloser Überwachungsprogramme für ausländische Daten in den USA enthüllten. Ein Jahr später reichte der österreichische Bürger Max Schrems (heute ein bekannter Datenschutzaktivist) eine Klage gegen Facebook Irland ein. Er argumentierte, dass die Übermittlung seiner persönlichen Daten an die US-Muttergesellschaft Facebook diese der Überwachung durch die USA aussetze und daher nach dem EU-Datenschutzrecht illegal sei. Dies war der Beginn eines langen Rechtsstreits: Der Fall wurde zweimal an den EU-Gerichtshof verwiesen, was dazu führte, dass zwei Datenübermittlungsabkommen zwischen der EU und den USA in den wegweisenden Urteilen Schrems I und II für ungültig erklärt wurden.
Schrems II wurde im Jahr 2020 entschieden und hatte aus zwei Gründen enorme Auswirkungen auf die Datenübermittlung. Erstens erklärte der Gerichtshof das Privacy-Shield-Rahmenwerk für ungültig, das zuvor problemlose Datenübermittlungen aus der EU in die USA ermöglichte. Zweitens befasste sich der Gerichtshof mit Standardvertragsklauseln, einem gängigen Compliance-Mechanismus für Unternehmen, die Daten übertragen wollen.
Wir müssen ein paar Worte über Standardvertragsklauseln (SCC) verlieren. Bei den Standardvertragsklauseln handelt es sich um eine Reihe von standardisierten Klauseln, die von der Kommission ausgearbeitet wurden und die in eine verbindliche Vereinbarung mit einem Empfänger aufgenommen werden sollen. Mit anderen Worten: Wenn Sie Daten in Länder außerhalb der EU übermitteln wollen, können Sie die Standardvertragsklauseln in einen Vertrag aufnehmen, und die Klauseln sagen der anderen Partei, was sie mit den Daten tun darf und was nicht. Auf diese Weise wird sichergestellt, dass personenbezogene Daten sicher und vertraulich in Länder außerhalb der Union übermittelt werden. Aber es gibt ein Problem: Diese Klauseln binden nur die Vertragsparteien und verhindern nicht die staatliche Überwachung.
Mit Schrems II hat der Gerichtshof SCCs als Datenübermittlungsmechanismus nicht für ungültig erklärt, sondern entschieden, dass sie bei Bedarf durch zusätzliche Garantien ergänzt werden müssen - wie es in den USA der Fall ist. Man kann sie also nicht einfach kopieren, den Vertrag unterschreiben lassen und dann Feierabend machen. Sie müssen sicherstellen, dass die SCC für Ihren Datentransfer tatsächlich funktionieren, und wenn das nicht der Fall ist, müssen Sie diesen Mangel an Schutz auf andere Weise ausgleichen. Das Problem ist, dass dies schwierig und manchmal unmöglich ist, wenn es um staatliche Überwachung geht.
Die 101 Beschwerden
Unmittelbar nach dem Urteil in der Rechtssache Schrems II reichte die Datenschutz-NGO noyb (unter dem Vorsitz von Schrems) eine Reihe von 101 strategischen Beschwerden gegen Google Analytics und Facebook Connect ein, um die europäischen Behörden zu einer rigorosen Durchsetzung des Urteils in der Rechtssache Schrems II zu bewegen.
DieBehörden koordinierten ihr Vorgehen gegen die Beschwerden auf europäischer Ebene. So entschieden die österreichischen, französischen** und** italienischen Datenschutzbeauftragten bei der Entscheidung über die Beschwerden von noyb gegen Google Analytics, und die dänische Behörde vertrat in einer Pressemitteilung eine ähnliche Position. Die Entscheidungen sind alle gleich, und die finnische Entscheidung ist nicht anders. Alle diese Behörden sagen genau das Gleiche: Google Analytics kann personenbezogene Daten nicht sicher halten.
Mit der Koordinierung auf europäischer Ebene und den einflussreichen französischen und italienischen Behörden als Vorreiter werden wahrscheinlich weitere Behörden folgen.
Und was nun?
Das Problem der Datenübermittlung geht über Google Analytics hinaus: Die strikte Durchsetzung der Schrems-II-Grundsätze wird es schwierig oder unmöglich machen, sich auf viele US-Dienstleister zu verlassen. Aus diesem Grund versuchen die EU und die USA, eine politische Lösung zu finden.
Die Europäische Union und die USA haben ein neues Datenübertragungsabkommen namens Trans Atlantic Privacy Framework ausgehandelt. US-Präsident Joe Biden unterzeichnete eine Durchführungsverordnung, um den Rahmen zu ermöglichen. Die EU-Kommission hat einen Angemessenheitsbeschluss ausgearbeitet - ein Rechtsakt, der die Datenübermittlung erleichtert. Die Mitgliedstaaten müssen den Beschlussentwurf noch genehmigen, bevor er in Kraft tritt.
Also ist alles gut? Nicht ganz: Die anstehende Entscheidung wird mit Sicherheit vor dem Gerichtshof der EU angefochten werden.
Gemäß der Datenschutz-Grundverordnung kann die Europäische Kommission keine Angemessenheitsentscheidung für ein Land erlassen, nur weil es ihr gefällt. Die Entscheidung ist eine Bewertung des Rechtssystems eines Staates und muss bestimmte Kriterien erfüllen. Aus diesem Grund hat der Gerichtshof in der Vergangenheit bereits zwei Datenübermittlungsabkommen für ungültig erklärt (Schrems I und II-Urteile). Ein Schrems-III-Urteil ist also absehbar, und es ist schwer zu sagen, wie es ausfallen wird.
Der neue Rahmen ist recht komplex. Er stellt einen Fortschritt gegenüber der Vergangenheit dar, ist aber in mancher Hinsicht potenziell problematisch und hält einer rechtlichen Prüfung durch den Gerichtshof möglicherweise nicht stand. Vorerst bleibt die Zukunft der Datenübermittlung ungewiss.
Schlussfolgerungen
Nach diesem langen Umweg können wir einige abschließende Überlegungen zu diesem Fall anstellen. Erstens: Die Entscheidung der finnischen Behörde hat nichts mit den 101 Beschwerden zu tun. Die Beschwerden wirken sich also darauf aus, wie andere Fälle von Datenübermittlung behandelt werden - was genau das ist, was die noyb mit ihren Beschwerden erreichen wollte. Zweitens kommt die Entscheidung lange nachdem US-Präsident Joe Biden seine Durchführungsverordnung erlassen hat. Dies lässt darauf schließen, dass die Durchsetzung von Schrems II nicht durch die politischen Verhandlungen über die Angemessenheitsentscheidung aufgeschoben wird.
Ich kann mir vorstellen, dass Sie es leid sind, den Sinn dieser Gesetzesänderungen zu verstehen, aber aus Sicht des Datenschutzes sind sie notwendig. Wenn Sie sich von all dem fernhalten wollen, bieten Ihnen datenschutzfreundliche Analyseoptionen immer noch die nötigen Einblicke in die Leistung Ihrer Website. Simple Analytics ist eine davon. Wir sind der Meinung, dass das Internet unabhängig und ein Ort sein sollte, der freundlich zu den Website-Besuchern ist. Wenn Sie das auch so sehen, sollten Sie Simple Analytics ausprobieren. Es ist der einfache Weg, die Privatsphäre Ihrer Kunden zu respektieren".