Die österreichische Datenschutzbehörde hat Ende Dezember 2021 die Übermittlung von Websitebesucherdaten – Cookie-IDs – in die USA (an Google LLC) als unzulässig beanstandet. Hier erfahren Sie, was die Entscheidung für Google Analytics und für andere Dienste aus den USA bedeutet.
Websitebetreiber verstieß gegen DSGVO
Im August 2020 brachte „NOYB“ – der Verein des Salzburger Datenschutzaktivisten Max Schrems – bei der Datenschutzbehörde eine Beschwerde gegen die (damalige) Medieninhaberin einer Website sowie gegen die Google LLC ein. Gegenstand der Beschwerde war der Einsatz von Google Analytics und die damit einhergegangene Übermittlung von Daten an Google LLC – sohin in die USA. Es gibt zwei Versionen von Google Analytics: Eine kostenlose Version sowie eine kostenpflichtige namens Google Analytics 360. Die kostenlose Version wurde zum für das Verfahren maßgeblichen Zeitpunkt von der Google LLC zur Verfügung gestellt, seit Ende April 2021 werden beide Google Analytics Versionen von Google Ireland Limited bereitgestellt. Google Analytics bietet eine „IP Anonymisierungsfunktion“, welche auf der betroffenen Website zum maßgeblichen Zeitpunkt – laut von der DSB festgestelltem Sachverhalt – nicht aktiviert war. Die Datenschutzbehörde stellte eine Verletzung der DSGVO durch den Websitebetreiber fest.
Cookies mit IDs sind personenbezogene Daten
Die durch Google Analytics via der Cookies „_ga“, „cid“, „_gid im Browser, und somit auf dem Endgerät des Nutzers, abgelegten einzigartigen Online-Kennungen bilden nach Auffassung der österreichischen Datenschutzbehörde personenbezogene Daten im Sinne der DSGVO – und zwar unabhängig von einer Verknüpfung mit IP-Adressen; durch die Verknüpfung dieser Kennungen mit IP-Adressen werde die Identifizierbarkeit von Nutzern aber noch erhöht.
Datenübermittlung in die USA rechtswidrig
Nach Auffassung der Datenschutzbehörde konnte das Tool Google Analytics „jedenfalls in der Version vom 14. August 2020“ – also soweit es zu einer Datenübermittlung in die USA kommt – nicht in Einklang mit den Vorgaben der DSGVO genutzt werden, war also in dieser Konstellation rechtswidrig. Ob dies in der aktuellen Konstellation (Zwischenschaltung der Google Ireland Ltd. als Anbieter für Google Analytics in der EU) ausgeschlossen ist, bleibt offen (da nicht verfahrensgegenständlich) – maßgeblich ist hierfür die Frage, ob de facto dennoch eine Drittlandübermittlung (an Google LLC) stattfindet.
Websitebetreiber verantwortlich, Google nicht
Ein Websitebetreiber, der Google Analytics [Anm. wie auch jeden anderen Online-Dienst mit Sitz in den USA, der Nutzerdaten dorthin übermittelt] auf seiner Website implementiert ist der für den Einsatz dieses Tools auf der betreffenden Website Verantwortliche im Sinne der DSGVO, der Anbieter des Tools (im Ausgangsverfahren Google LLC) ist bloß Auftragsverarbeiter. Adressat der DSGVO-Vorgaben für Datenexport in ein Drittland ist der Exporteur, also der österreichische Website-Betreiber; ein US-Dienst, welcher die Daten lediglich empfängt (hier: Google LLC), ist nicht für die Einhaltung verantwortlich – entsprechend wurde im Anlassfall eine Rechtsverletzung des österreichischen Websitebetreibers, nicht aber eine Rechtsverletzung der Google LLC festgestellt.
Standarddatenschutzklauseln sind keine ausreichende Rechtfertigung
Eine Datenübermittlung an Google LLC [Anm. wie auch an jeden anderen Online-Dienst mit Sitz in den USA] kann aufgrund der Befugnisse von US-Nachrichtendiensten gegenüber solchen Online-Diensten aufgrund des Foreign Intelligence Surveillance Act (FISA 702) nicht allein durch die Vereinbarung der Standarddatenschutzklauseln gerechtfertigt werden. Ein Websitebetreiber, der ein Tool wie Google Analytics einsetzt, hat, soweit durch den Einsatz eine Übermittlung von Daten in die USA ausgelöst wird (wie im Anlassfall), als Datenexporteur daher entweder zusätzliche technische und organisatorische Maßnahmen zu implementieren, um ein EU-äquivalentes Schutzniveau zu gewährleisten oder – soweit solche Maßnahmen nicht in Betracht kommen – eine wirksame Einwilligung der betroffenen Nutzer (Websitebesucher) nach Aufklärung über die Risiken einzuholen oder die Datenübermittlung (also im Anlassfall: den Einsatz von Google Analytics) auszusetzen.
Google Analytics weiterhin verwenden?
Wie die österreichische Datenschutzbehörde in ihrem Bescheid selbst festhält, werden seit Ende April 2021 beide Google Analytics Versionen (die kostenpflichtige und die kostenlose) von der Google Ireland Limited bereitgestellt, aus der Entscheidung muss daher nicht abgeleitet werden, dass der Einsatzes von Google Analytics (in der Gratisvariante) auch heute, wo dieser Dienst in der EU von Google Ireland Limited bereitgestellt wird, rechtswidrig ist. Außerdem wurde seitens des Websitebetreibers im Anlassfall laut Bescheid die Konfigurationsmöglichkeit „IP-Anonymisierung“ nicht genutzt. Die DSB lässt jedoch offen, ob die Aktivierung der „IP-Anonymisierung“ zu einer anderen Beurteilung geführt hätte. Auch befasst sich der Bescheid der DSB nicht mit der Frage, ob durch die nunmehrige „Zwischenschaltung“ der Google Ireland Ltd. mit Sitz in Irland, einem EU-Mitgliedstaat, eine für die Google LLC entschlüsselbare Übermittlung von Nutzerdaten in die USA auszuschließen ist (da diese Frage nicht verfahrensgegenständlich war). Einwenig beruhigend: Die Datenschutzbehörde hat im Anlassverfahren keine Strafen verhängt.
Was bedeutet die Entscheidung generell für Webservices aus den USA?
Aus der Entscheidung können zwei generelle Ableitungen gezogen werden: Erstens, dass die Implementierung von Drittanbieter-Technologie aus den USA auf Websites regelmäßig gegen die DSGVO verstößt, soweit solche Technologie Nutzerdaten unverschlüsselt bzw. für den Empfänger entschlüsselbar in die USA übermittelt und nicht eine wirksame Einwilligung aller betroffenen Website-Nutzer auch konkret zur Drittlandübermittlung – nach erfolgter Aufklärung über die Risiken – vorliegt. Und zweitens, dass die Verantwortlichkeit für den Einsatz solcher Technologie den österreichischen Websitebetreiber trifft und nicht den in den USA ansässigen Anbieter der Technologie.
Originaltext der Entscheidung:
