Der juristische Ärger für Google Analytics reißt nicht ab. Am 10. Mai entschied das Landgericht Köln gegen die Verwendung von Google Analytics. Zwei Tage später kam das österreichische Bundesverwaltungsgericht zu demselben Schluss und bestätigte eine Entscheidung gegen eine Entscheidung der österreichischen Datenschutzbehörde gegen Google Analytics.
- Die deutsche Entscheidung
- Die österreichische Entscheidung
- Das Fazit
- Die wichtigsten rechtlichen Fragen
- Ergänzende Schutzmaßnahmen: ein allgemeines Problem
- Und was nun?
- Schlussfolgerungen
Tauchen wir ein!
Die deutsche Entscheidung
Der Fall wurde von der Verbraucherzentrale Nordrhein-Westfalen gegen die Deutsche Telekom, den größten Telekommunikationsanbieter auf dem deutschen Markt, angestrengt.
Die Website der Deutschen Telekom nutzte Google Analytics und leitete personenbezogene Daten zur Verarbeitung an die Server von Google in den USA weiter. Die Verbraucherzentrale argumentierte hier mit dem Offensichtlichen: Im Lichte des Schrems-II-Urteils war diese Datenübermittlung nicht mit der DSGVO vereinbar.
Es überrascht nicht, dass das Gericht dem zustimmte und der Deutschen Telekom auftrug, die Weitergabe personenbezogener Daten an die USA zu Marketing- und Webanalysezwecken zu stoppen. In der Praxis läuft dies auf eine Anordnung hinaus, die Verwendung von Google Analytics einzustellen.
Die Klage betraf auch andere Fragen des Datenschutzes, darunter die verwirrende Gestaltung des Cookie-Banners auf der Website und die Übermittlung personenbezogener Daten an Auskunfteien. Nur die Klagen in Bezug auf Google Analytics waren erfolgreich.
Angesichts der Ressourcen der Deutschen Telekom und der Menge an personenbezogenen Daten, die betroffen sind, erwarten wir, dass das Unternehmen gegen die Entscheidung Berufung einlegen wird.
Die österreichische Entscheidung
Die österreichische Entscheidung geht auf eine der 101 Beschwerden der NGO noyb zurück, die wir bereits ausführlich besprochen haben. Es handelt sich um eine Berufung gegen eine frühere Entscheidung der österreichischen Datenschutzbehörde (DSB) - die allererste Entscheidung einer europäischen Datenschutzbehörde gegen die Datenübermittlung durch Google Analytics.
Zum Sachverhalt: Eine von noyb vertretene Person beschwerte sich, dass eine ungenannte Website gegen die Bestimmungen der Datenschutz-Grundverordnung (DSGVO) zur Datenübermittlung verstoßen habe, indem sie ihre personenbezogenen Daten über Google Analytics ohne ausreichende Garantien in die USA übermittelt habe. Der Beschwerde wurde von der österreichischen Datenschutzbehörde stattgegeben, woraufhin der Eigentümer der Website gegen die Entscheidung Berufung einlegte.
Das österreichische Bundesverwaltungsgericht bestätigte die Entscheidung der DSB und wies die Einwände des Website-Betreibers zurück, einschließlich des umstrittenen** risikobasierten Ansatzes** für Datenübermittlungen.
Laut gdprhub beabsichtigt der Inhaber der Website, die Entscheidung erneut vor dem österreichischen Verwaltungsgerichtshof anzufechten.
Das Fazit
Die beiden Entscheidungen bringen rechtlich nichts Neues, zeigen aber, dass sich die Durchsetzung von Schrems II nicht auf die Datenschutzbehörden beschränkt, sondern dass auch die Gerichte aktiv werden.
Etwas Ähnliches geschah bereits vor einiger Zeit, als ein deutsches Verwaltungsgericht gegen die Verwendung von Google Analytics entschied. Die Entscheidung war jedoch schlampig begründet und wurde in der Berufung gekippt.
Diese beiden Urteile sind anders. Sie sind klar und gut begründet und haben unserer Meinung nach gute Chancen, im Falle einer Anfechtung bestätigt zu werden.
Und natürlich deutet die österreichische Entscheidung, bei der es sich um eine Berufung handelt, darauf hin, dass der Ansatz des Streitbeilegungsgremiums in der Frage der Datenübermittlung solide ist. Andererseits war dies auch schon vorher offensichtlich. Die italienischen, französischen, finnischen und norwegischen Behörden haben praktisch identische Entscheidungen getroffen, und die irische Behörde und der Europäische Datenschutzausschuss haben bei der Bewertung der Datenübermittlungen von Meta genau dieselben Kriterien angewandt.
Die wichtigsten rechtlichen Fragen
Die Entscheidungen sind in keiner Weise neu und wenden lediglich die Kriterien an, die bereits im berüchtigten Schrems-II-Urteil des EU-Gerichtshofs festgelegt wurden. Datenübermittlungen sind eine lange Geschichte, über die wir bereits ausführlich berichtet haben, daher werden wir uns hier kurz fassen.
DieDatenschutz-Grundverordnung schreibt vor, dass Extra-EU-Datenübermittlungen sicher sein müssen. Europäische Daten (wie auch alle ausländischen Daten), die in die USA übermittelt werden, unterliegen jedoch einer umfassenden staatlichen Überwachung, wie die von Edward Snowden veröffentlichten vertraulichen Dateien zeigen. Dieses Überwachungssystem macht es europäischen Organisationen schwer, Daten auf rechtmäßige und sichere Weise in die USA zu übertragen.
In den beiden vorliegenden Fällen fanden die Datenübermittlungen zwischen Google Irland und seiner in den USA ansässigen Muttergesellschaft Google LLC statt. Um diese Datenübermittlung sicher und rechtmäßig zu gestalten, verwendete Google eine spezielle Schutzmaßnahme, die sogenannten Standardvertragsklauseln (SCC).
SCCs sind ein Datenübertragungsmechanismus, der durch die Datenschutz-Grundverordnung eingeführt wurde. Kurz gesagt handelt es sich um Klauseln, die den Unternehmen vorschreiben, was sie mit den erhaltenen personenbezogenen Daten tun dürfen und was nicht. SCCs werden in einen Vertrag aufgenommen und sind für das Unternehmen, das die Daten erhält, verbindlich. Aufgrund ihres verbindlichen Charakters können SCCs das Fehlen von Datenschutzvorschriften für den privaten Sektor ausgleichen.
Das Urteil in der Rechtssache Schrems II hat jedoch ein zentrales Problem mit SCCs aufgezeigt: Sie sind weder für die USA noch für andere ausländische Staaten verbindlich. Für sich allein genommen können SCCs personenbezogene Daten nicht vor staatlicher Überwachung schützen.
Aus diesem Grund verlangt Schrems II von Organisationen, dass sie zusätzliche Maßnahmen ergreifen, wenn sie Daten in die USA und andere Länder mit umfassender elektronischer Überwachung übermitteln. Dies ist jedoch bei vielen Diensten schwierig und bei Google Analytics gänzlich unmöglich, da Google LLC zur Erbringung des Dienstes auf die Daten im Klartext zugreifen und diese analysieren muss.
Dieser Mangel an ergänzenden Maßnahmen ist der Kern jeder Entscheidung gegen die Datenübermittlung von Google Analytics. Wann immer die Frage der Datenübermittlung aufgeworfen wird, halten sich die Datenschutzbehörden an die Schrems-II-Vorschriften und prüfen die ergänzenden Maßnahmen. Und immer haben sie festgestellt, dass diese fehlen - weil es einfach keine Maßnahmen gibt, die die Datenübermittlung für Google Analytics vertraulich halten können.
Ergänzende Schutzmaßnahmen: ein allgemeines Problem
Datenübermittlungen und ergänzende Maßnahmen sind ein allgemeines Problem. Die Umsetzung angemessener Schutzmaßnahmen ist für einige Dienste schwierig und für andere völlig unmöglich.
Dies ist auch bei Google Analytics der Fall. Nach US-Gesetzgebung können Überwachungsbehörden von US-Kommunikationsanbietern (einschließlich Google) die Herausgabe aller ausländischen Daten verlangen, die sie kontrollieren.
Verschlüsselung kann helfen, aber nicht für Google Analytics. Damit der Dienst funktioniert, muss Google Zugang zu den Daten im Klartext haben, um sie analysieren zu können. Und nach US-amerikanischem Recht kann Google verpflichtet werden, der Regierung einen Verschlüsselungscode zur Verfügung zu stellen. Auf alle Daten, auf die Google im Klartext zugreifen kann, kann auch die Regierung im Klartext zugreifen - so einfach ist das.
Neben der Verschlüsselung gibt es noch weitere Maßnahmen, aber wenn es um Google geht, ist keine von ihnen wirklich geeignet - wie wir hier erklärt haben.
Kurz gesagt, keine Lösung funktioniert für Google Analytics. Wir haben das bei den Entscheidungen gegen Google Analytics immer wieder gesehen. Die Urteile der österreichischen, französischen, italienischen, norwegischen und finnischen Datenschutzbehörden sagen alle das Gleiche: Google Analytics kann keine Daten sicher übertragen.
Außerdem sind alle diese Entscheidungen das Ergebnis eines koordinierten Vorgehens auf europäischer Ebene. Und genau dieser Ansatz hat vor kurzem zu einer bahnbrechenden Entscheidung und einer Rekordstrafe gegen Meta geführt, und zwar wegen genau der gleichen rechtlichen Probleme, die Google Analytics plagen.
Die gegen Meta erlassene Anordnung ist ein Beweis dafür, dass es für einige Dienste einfach keine Lösung gibt, um die Datenübertragung sicher zu machen, solange sich die Rechtslage nicht ändert. Meta ist eines der größten und reichsten multinationalen Unternehmen der Welt und hat Zugang zu allen juristischen und technischen Experten, die es sich nur wünschen kann. Das Unternehmen hatte 1,2 Milliarden gute Gründe, seine Datenübertragungen zu sichern, und hat es dennoch nicht getan, so dass ihm nun ein EU-weiter Facebook-Blackout droht.
Es steht Ihnen natürlich frei, zu versuchen, es besser zu machen als Meta. Aber wie viele Millionen beträgt Ihr Compliance-Budget?
Und was nun?
Unabhängig vom Ausgang des Verfahrens beginnen die Gerichte, die harte Haltung der Datenschutzbehörden bei der Datenübermittlung aufzugreifen. Wenn der Trend anhält, wird Google Analytics ein immer größeres Risiko für die Einhaltung der Vorschriften für Unternehmen darstellen.
Die Botschaft ist ganz klar: Die Spielzeit ist vorbei. Von nun an wird es ernst mit der Durchsetzung.
Die EU versucht, das Problem der Datenübermittlung zu lösen, indem sie einen neuen Rahmen für die Datenübermittlung zwischen der EU und den USA (den Trans-Atlantic Data Privacy Framework) verabschiedet. Dieser Rahmen ist jedoch noch nicht in Kraft getreten und wird sicherlich vor dem Europäischen Gerichtshof angefochten werden. Es ist schwer zu sagen, wie sich die Dinge entwickeln werden, aber es besteht eine sehr reale Chance, dass der Gerichtshof den neuen Rahmen ablehnen wird, genau wie er es mit den Rahmenwerken Safe Harbor und Privacy Shield in den Urteilen Schrems I und II getan hat.
Fazit: Die Zukunft der Datenübermittlung bleibt ungewiss.
Schlussfolgerungen
Angesichts der nicht enden wollenden rechtlichen Probleme mit Datenübertragungen bei Google Analytics und des bevorstehenden Auslaufens von Universal Analytics ist dies ein guter Zeitpunkt, Google Analytics zugunsten eines anderen Anbieters aufzugeben. Und wir haben genau den Richtigen für Sie!
Wir von Simple Analytics glauben, dass Webanalyse sowohl datenschutzfreundlich als auch ethisch vertretbar sein kann. Deshalb bauen wir unseren Service so auf, dass er unseren Kunden großartige Einblicke bietet, ohne auch nur ein bisschen persönliche Daten von ihren Besuchern zu sammeln! Wenn sich das für Sie gut anhört, können Sie uns gerne ausprobieren.