Europäischer Datenschutztag
Österreichische Datenschutzbehörde bestätigt Schrems II – Nutzung von Google Analytics illegal?
Anlässlich des Europäischen Datenschutztages am 28. Jänner haben wir uns mit unserem Fachexperten Werner Sponer ein Thema angesehen, das schon länger brodelt und mit der (vorläufig noch nicht rechtskräftigen) Entscheidung der österreichischen Datenschutzbehörde wieder an Fahrt aufgenommen hat. Mit dem ersten Urteil in den 101 Musterbeschwerden wurde die Unzulässigkeit von Google Analytics – ein effektives Tool, das von fast allen EU-Webseiten verwendet wird – bestätigt. Wie können Firmen konform agieren?
Schrems II und das Privacy Shield
Im Juli 2020 erklärte der Europäische Gerichtshof (EuGH) das Datenschutzabkommen „Privacy Shield“ mit sofortiger Wirkung für ungültig. Es sollte als Absprache zwischen EU und USA europäische personenbezogene Daten schützen, die in die USA übertragen werden. Die Nutzung von US-Anbietern wie Google oder Facebook verstoße durch die Verpflichtung, persönliche Daten an US-Behörden zu übermitteln eindeutig gegen die DSGVO. Denn die US-amerikanischen Überwachungsgesetze und -programme (allen voran „Foreign Intelligence Surveillance Act“ (FISA), Patriot Act und der CLOUD Act) sind nicht mit den europäischen Datenschutzvorgaben in Einklang zu bringen. Dies betrifft das Schutzniveau allgemein und auch Beispiele wie etwa den „Ombudsstellenmechanismus“ zur Durchsetzung der Rechte.
Dieses Urteil ist auch als „Schrems II“ bekannt, nachdem der Datenschutzaktivist Max Schrems jahrelang gegen Facebook und dessen Umgang mit personenbezogen Daten gekämpft hat und mit dem sogenannten „Schrems I“ Urteil den Vorgänger des Privacy Shield Abkommens, das „Save Harbor“ Abkommen stürzte (wurde 2015 vom EugH ungültig erklärt). Nach dem Urteil blieb allerdings eine gewisse Unklarheit, auf welcher rechtlichen Basis personenbezogene Daten zwischen den beiden Kontinenten ausgetauscht werden können.
Nachdem nun das „Save Harbor“ Abkommen sowie das „Privacy Shield“ gekippt wurden, war der allgemeine Tenor, dass eine Übermittlung von personenbezogenen Daten auf Basis der sogenannten „Standard-Datenschutz-Klauseln“ möglich ist. Dem widerspricht nun die österreichische Datenschutzbehörde in ihrer Entscheidung ganz deutlich: Die Standard-Datenschutz-Klauseln wurden durch die Datenschutzbehörde als nicht ausreichend erachtet, da gemäß der Behörde zusätzliche technische und organisatorische Maßnahmen erforderlich wären, um einen Zugriff von Behörden auf personenbezogene Daten wirklich auszuschließen.
Schon bei dem als „Schrems II“ bekannten Urteil des EuGH wurde nämlich klargestellt, dass die Übermittlung von personenbezogenen Daten in die USA infolge der US-amerikanischen Gesetzgebung Verstöße gegen die Privatsphäre ermöglicht. Dies insbesondere aufgrund des 50 U.S.Code § 1881a (oder FISA 0702 genannt). FISA 0702 ermöglicht amerikanischen Behörden, die bei großen US-Kommunikationsdiensten (bspw. Google, Amazon, Microsoft, Apple, ..) verarbeiteten Daten zu überwachen und Datenzugriffe durchzuführen. Dies darf bei personenbezogenen Daten von nicht US-amerikanischen Bürgern ohne relevante Kontrolle erfolgen.
Werner Sponer bringt die Problematik dabei auf den Punkt: „Schuld daran sind die kollidierenden Rechtssysteme von Europa und USA. Selbst wenn deine Daten auf einem Server in Österreich stehen, dürfen US-amerikanische Behörden auf Daten zugreifen, wenn der Server einem der großen US-Kommunikationsdiensten gehört. Durch FISA 0702 unterliegen alle „electronic communication service provider“ der Auskunftspflicht an US-Behörden.“
101 Dalmatiner-Beschwerden von NOYB
Nachdem Urteil brachte Max Schrems mit seiner NGO NOYB („none of your business“) 101 Firmen zur Anzeige. Ziel war es, HTML Codes der großen EU Websites auf Nutzung von Google Analytics und Facebook Connect zu überprüfen – die laut dem EuGH Urteil nicht mehr zulässig waren. Darunter befinden sich Beispiele aus jedem Mitgliedsland.
„Anstatt ihre Dienste technisch so anzupassen, dass sie mit der DSGVO konform sind, haben US-Unternehmen versucht, einfach ein paar Texte in ihre Datenschutzrichtlinien einzufügen und den EuGH zu ignorieren. Viele EU-Unternehmen sind diesem Beispiel gefolgt, anstatt auf legale Dienste zu wechseln." – Max Schrems, Vorsitzender von NOYB
Im Dezember 2021 erfolgte das erste Urteil zu diesen Musterbeschwerden: die österreichische Datenschutzbehörde bestätigt das Urteil Schrems II und unterstreicht somit, die Nutzung von Google Analytics als unzulässig. NOYB geht davon aus, dass ähnliche Entscheidungen in den EU-Mitgliedsstaaten folgen werden – da diese Datenschutzbehörden länderübergreifend in einer Taskforce zusammengearbeitet haben.
Weckruf für Unternehmen für konforme Cookie-Banner
Was bedeutet das nun konkret für Firmen? Google Analytics ist mit Abstand das beliebteste und verbreitetste Tool um Websitedaten zu messen und zu tracken. NOYB verweist darauf, dass es viele europäische Alternativen dazu gibt – Werner Sponer relativiert dies: „Ich kenne Firmen, die versucht haben auf Alternativen umzusteigen, aber wieder zurückgewechselt sind, da sie mit dem Ergebnis nicht zufrieden waren.“
Was ist also die Alternative? Wenn DSGVO-konform agiert werden soll, ist mit den US-Multis die Gerichtsbarkeit ein Problem. Wenn Google Analytics verwendet wird, müssen gewissen Sicherheiten für personenbezogene Daten garantiert werden, die aber für Unternehmen nicht einseitig umsetzbar sind. Aus jetziger Sicht stellt sich die Situation defacto so dar, dass mit den verfügbaren Mitteln eine 100%ig rechtssichere Verwendung von Google Analytics nur schwer oder gar nicht zu bewerkstelligen ist. Damit stellt sich für jedes Unternehmen die Frage, ob angesichts der vorher besprochenen Umstände eine Weiterverwendung von Google Analytics in Betracht kommt oder nicht. Eine 100%ig Rechtssicherheit gibt es nur bei Verwendung von europäischen Alternativen. Wenn man Google Analytics weiter einsetzen will, kann dies vorläufig nur mit einem gewissen Risiko erfolgen, von „Trittbrettfahrern“ der nunmehrigen Behördenentscheidung verklagt zu werden.
Werner Sponer sieht hier als notwendige Sofortmaßnahme eine entsprechende Anpassung des Cookie-Banners, um sich vorerst abzusichern. Es muss gemeinsam mit der Zustimmung der betroffenen Person, die ohnehin für die Speicherung von Cookies eingeholt werden muss, eine Einwilligung der Datenübertragung an Google eingeholt werden. Die Schwierigkeit dabei ist, dass die betroffene Person über die für sie bestehenden möglichen Risiken derartiger Datenübermittlungen ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien unterrichtet werden muss. Die Erklärung sollte dabei auch auf die bei der jeweiligen Webseite bei der Verarbeitung mit Google Analytics verwendeten „technisch-organisatorischen Maßnahmen“ eingehen.
Was droht säumigen Unternehmen?
Die Erstentscheidung der Datenschutzbehörde war nur ein Teilspruch, also besteht noch keine Information darüber, ob und welche Strafen verhängt werden. Laut DSGVO sind in solchen Fällen aber Strafen von bis zu 20 Millionen Euro bzw. 4% des weltweiten Umsatzes möglich.
Fazit – es bleibt spannend
Die Problematik mit der Datenübermittlung aus Europa in die USA bleibt weiter spannend, das letzte Wort ist noch nicht gesprochen. Die europäischen Website-Betreiber sind diejenigen, die als Verantwortliche aktiv handeln müssen, um Compliance hinsichtlich DSGVO sicherzustellen.
Wenn Sie mehr über die Probleme von Drittlandübermittlungen oder die DSGVO im allgemeinen wissen wollen, so interessiert Sie vielleicht unser Seminar Datenschutz nach ISO/IEC 27701 für Informationssicherheitsmanager, in dem auch diese Themen behandelt werden, und wie ein Datenschutzmanagementsystem, wie es die ISO 27701 beschreibt, hier helfen kann, Compliance sicherzustellen.