27. Jan 2022

Europäischer Datenschutztag

Österreichische Datenschutzbehörde bestätigt Schrems II – Nutzung von Google Analytics illegal?

Anlässlich des Europäischen Datenschutztages am 28. Jänner haben wir uns mit unserem Fachexperten Werner Sponer ein Thema angesehen, das schon länger brodelt und mit der (vorläufig noch nicht rechtskräftigen) Entscheidung der österreichischen Datenschutzbehörde wieder an Fahrt aufgenommen hat. Mit dem ersten Urteil in den 101 Musterbeschwerden wurde die Unzulässigkeit von Google Analytics – ein effektives Tool, das von fast allen EU-Webseiten verwendet wird – bestätigt. Wie können Firmen konform agieren?

Schrems II und das Privacy Shield

Im Juli 2020 erklärte der Europäische Gerichtshof (EuGH) das Datenschutzabkommen „Privacy Shield“ mit sofortiger Wirkung für ungültig. Es sollte als Absprache zwischen EU und USA europäische personenbezogene Daten schützen, die in die USA übertragen werden. Die Nutzung von US-Anbietern wie Google oder Facebook verstoße durch die Verpflichtung, persönliche Daten an US-Behörden zu übermitteln eindeutig gegen die DSGVO. Denn die US-amerikanischen Überwachungsgesetze und -programme (allen voran „Foreign Intelligence Surveillance Act“ (FISA), Patriot Act und der CLOUD Act) sind nicht mit den europäischen Datenschutzvorgaben in Einklang zu bringen. Dies betrifft das Schutzniveau allgemein und auch Beispiele wie etwa den „Ombudsstellenmechanismus“ zur Durchsetzung der Rechte.

Dieses Urteil ist auch als „Schrems II“ bekannt, nachdem der Datenschutzaktivist Max Schrems jahrelang gegen Facebook und dessen Umgang mit personenbezogen Daten gekämpft hat und mit dem sogenannten „Schrems I“ Urteil den Vorgänger des Privacy Shield Abkommens, das „Save Harbor“ Abkommen stürzte (wurde 2015 vom EugH ungültig erklärt). Nach dem Urteil blieb allerdings eine gewisse Unklarheit, auf welcher rechtlichen Basis personenbezogene Daten zwischen den beiden Kontinenten ausgetauscht werden können.

Nachdem nun das „Save Harbor“ Abkommen sowie das „Privacy Shield“ gekippt wurden, war der allgemeine Tenor, dass eine Übermittlung von personenbezogenen Daten auf Basis der sogenannten „Standard-Datenschutz-Klauseln“ möglich ist. Dem widerspricht nun die österreichische Datenschutzbehörde in ihrer Entscheidung ganz deutlich: Die Standard-Datenschutz-Klauseln wurden durch die Datenschutzbehörde als nicht ausreichend erachtet, da gemäß der Behörde zusätzliche technische und organisatorische Maßnahmen erforderlich wären, um einen Zugriff von Behörden auf personenbezogene Daten wirklich auszuschließen.

Schon bei dem als „Schrems II“ bekannten Urteil des EuGH wurde nämlich klargestellt, dass die Übermittlung von personenbezogenen Daten in die USA infolge der US-amerikanischen Gesetzgebung Verstöße gegen die Privatsphäre ermöglicht. Dies insbesondere aufgrund des 50 U.S.Code § 1881a (oder FISA 0702 genannt). FISA 0702 ermöglicht amerikanischen Behörden, die bei großen US-Kommunikationsdiensten (bspw. Google, Amazon, Microsoft, Apple, ..) verarbeiteten Daten zu überwachen und Datenzugriffe durchzuführen. Dies darf bei personenbezogenen Daten von nicht US-amerikanischen Bürgern ohne relevante Kontrolle erfolgen.

Werner Sponer bringt die Problematik dabei auf den Punkt: „Schuld daran sind die kollidierenden Rechtssysteme von Europa und USA. Selbst wenn deine Daten auf einem Server in Österreich stehen, dürfen US-amerikanische Behörden auf Daten zugreifen, wenn der Server einem der großen US-Kommunikationsdiensten gehört. Durch FISA 0702 unterliegen alle „electronic communication service provider“ der Auskunftspflicht an US-Behörden.“

101 Dalmatiner-Beschwerden von NOYB

Nachdem Urteil brachte Max Schrems mit seiner NGO NOYB („none of your business“) 101 Firmen zur Anzeige. Ziel war es, HTML Codes der großen EU Websites auf Nutzung von Google Analytics und Facebook Connect zu überprüfen – die laut dem EuGH Urteil nicht mehr zulässig waren. Darunter befinden sich Beispiele aus jedem Mitgliedsland.

 

„Anstatt ihre Dienste technisch so anzupassen, dass sie mit der DSGVO konform sind, haben US-Unternehmen versucht, einfach ein paar Texte in ihre Datenschutzrichtlinien einzufügen und den EuGH zu ignorieren. Viele EU-Unternehmen sind diesem Beispiel gefolgt, anstatt auf legale Dienste zu wechseln." – Max Schrems, Vorsitzender von NOYB

Im Dezember 2021 erfolgte das erste Urteil zu diesen Musterbeschwerden: die österreichische Datenschutzbehörde bestätigt das Urteil Schrems II und unterstreicht somit, die Nutzung von Google Analytics als unzulässig. NOYB geht davon aus, dass ähnliche Entscheidungen in den EU-Mitgliedsstaaten folgen werden – da diese Datenschutzbehörden länderübergreifend in einer Taskforce zusammengearbeitet haben.

Weckruf für Unternehmen für konforme Cookie-Banner

Was bedeutet das nun konkret für Firmen? Google Analytics ist mit Abstand das beliebteste und verbreitetste Tool um Websitedaten zu messen und zu tracken. NOYB verweist darauf, dass es viele europäische Alternativen dazu gibt – Werner Sponer relativiert dies: „Ich kenne Firmen, die versucht haben auf Alternativen umzusteigen, aber wieder zurückgewechselt sind, da sie mit dem Ergebnis nicht zufrieden waren.“

Was ist also die Alternative? Wenn DSGVO-konform agiert werden soll, ist mit den US-Multis die Gerichtsbarkeit ein Problem. Wenn Google Analytics verwendet wird, müssen gewissen Sicherheiten für personenbezogene Daten garantiert werden, die aber für Unternehmen nicht einseitig umsetzbar sind. Aus jetziger Sicht stellt sich die Situation defacto so dar, dass mit den verfügbaren Mitteln eine 100%ig rechtssichere Verwendung von Google Analytics nur schwer oder gar nicht zu bewerkstelligen ist. Damit stellt sich für jedes Unternehmen die Frage, ob angesichts der vorher besprochenen Umstände eine Weiterverwendung von Google Analytics in Betracht kommt oder nicht. Eine 100%ig Rechtssicherheit gibt es nur bei Verwendung von europäischen Alternativen. Wenn man Google Analytics weiter einsetzen will, kann dies vorläufig nur mit einem gewissen Risiko erfolgen, von „Trittbrettfahrern“ der nunmehrigen Behördenentscheidung verklagt zu werden.

Werner Sponer sieht hier als notwendige Sofortmaßnahme eine entsprechende Anpassung des Cookie-Banners, um sich vorerst abzusichern. Es muss gemeinsam mit der Zustimmung der betroffenen Person, die ohnehin für die Speicherung von Cookies eingeholt werden muss, eine Einwilligung der Datenübertragung an Google eingeholt werden. Die Schwierigkeit dabei ist, dass die betroffene Person über die für sie bestehenden möglichen Risiken derartiger Datenübermittlungen ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien unterrichtet werden muss. Die Erklärung sollte dabei auch auf die bei der jeweiligen Webseite bei der Verarbeitung mit Google Analytics verwendeten „technisch-organisatorischen Maßnahmen“ eingehen.

Was droht säumigen Unternehmen?

Die Erstentscheidung der Datenschutzbehörde war nur ein Teilspruch, also besteht noch keine Information darüber, ob und welche Strafen verhängt werden. Laut DSGVO sind in solchen Fällen aber Strafen von bis zu 20 Millionen Euro bzw. 4% des weltweiten Umsatzes möglich.

Fazit – es bleibt spannend

Die Problematik mit der Datenübermittlung aus Europa in die USA bleibt weiter spannend, das letzte Wort ist noch nicht gesprochen. Die europäischen Website-Betreiber sind diejenigen, die als Verantwortliche aktiv handeln müssen, um Compliance hinsichtlich DSGVO sicherzustellen.

Wenn Sie mehr über die Probleme von Drittlandübermittlungen oder die DSGVO im allgemeinen wissen wollen, so interessiert Sie vielleicht unser Seminar Datenschutz nach ISO/IEC 27701 für Informationssicherheitsmanager, in dem auch diese Themen behandelt werden, und wie ein Datenschutzmanagementsystem, wie es die ISO 27701 beschreibt, hier helfen kann, Compliance sicherzustellen.

Autor & Ansprechpartner

Netzwerk

Portraitfoto Werner Sponer

Herr Werner Sponer

Netzwerkpartner für Datenschutz und Cloud Computing

Weitere News & Events

Immer topaktuell informiert

23. Mai 2022

ISO 27701: Frequently asked questions

Ihre Fragen – unsere Antworten rund um Datenschutz & Informationssicherheit

Mehr erfahren
02. Mai 2022

Vermehrte Ransomware-Attacken in der Automotive-Branche

CIS bietet TISAX-Level-2-Assessments an

Mehr erfahren
08. Mrz 2022

Risiko-Minimierung für Cloud Services

ISO 27017 minimiert Risiken für Cloud Services

Mehr erfahren
07. Mrz 2022

Der Mehrwert eines Datenschutz­managementsystems

Gastkommentar von Bernhard Bachofner, Chief Technology Officer (CTO) der Fiegl & Spielberger Gruppe zur DSGVO, Datenschutz und dem Nutzen von Zertifizierungen

Mehr erfahren
17. Feb 2022

ISO 27002:2022 – was Sie jetzt wissen müssen!

Startschuss für die neue Norm

Mehr erfahren
08. Feb 2022

Ausblick und Status Quo in puncto „Safer Internet“

Roundtable anlässlich des Safer Internet Day

Mehr erfahren
01. Feb 2022

Österreichs beste Chief Information Security Officer gesucht

„CISO of the Year“: Bewerbungen bis 18. März 2022 möglich

Mehr erfahren
11. Jan 2022

NIS-Gesetz: Systemrelevanten Unternehmen drohen Strafen bei nicht zeitgerechter Umsetzung

Experte Klaus Veselko warnt

Mehr erfahren
20. Sep 2022

Event: CIS Compliance Summit 2022

Security | Privacy | Continuity

Mehr erfahren
30. Nov 2021

Wir machen Sie fit für die Zukunft der Digitalisierung!

Warum wir gerade jetzt Information Security Manager benötigen

Mehr erfahren
25. Nov 2021

Mit einer ISO 27001-Zertifizierung den nächsten Gipfel stürmen

Nutzen Sie Managementsysteme für Ihre Ziele!

Mehr erfahren
25. Nov 2021

Cyberkriminalität im Gesundheitswesen kann jeden treffen!

Medizinische Einrichtungen geraten immer stärker in den Fokus

Mehr erfahren
+43 732 34 23 22