24.06.2022

Europäische Datenschutzbehörden: Google Analytics ist nicht mit Unionsrecht vereinbar

I. Hintergrund

Der rechtskonforme Einsatz von Google Analytics ist bereits seit einiger Zeit datenschutzrechtlich fraglich. Nun gibt es gleich zwei neuere Entscheidungen der österreichischen und französischen Datenschutzbehörden, die bestätigen, dass Google Analytics nicht DSGVO-konform ist, da es bei der Nutzung des Dienstes zu einer datenschutzrechtlich unzulässigen Übermittlung von personenbezogenen Daten in das Drittland USA kommt.

II. Datenverarbeitung mit Google Analytics

Für die Nutzung von Google Analytics muss der Webseitenbetreiber einen Programmcode in den Quelltext der Webseite einfügen. Der Programmcode verweist auf eine Datei, die auf das Gerät des Nutzers heruntergeladen wird (Cookie). Wird die Webseite von dem Nutzer eines Browsers aufgerufen, wird der Quelltext einschließlich des Programmcodes und des Cookies ausgeführt. Damit wird das Tracking gestartet und Informationen auf den Google Analytics Server übertragen. Hierzu zählen Informationen zur HTTP-Anfrage des Nutzers, zu den Systeminformationen sowie zu First-Party Cookies. Die Informationen umfassen u. a. Browsertyp, Browsereinstellung, Sprache, Farbtiefe, Bildschirmauflösung und IP-Adresse.

Da Google jedem Nutzer anhand der oben genannten Parameter eine eindeutige Kennnummer zuweist und die Nutzer anhand der gesammelten Daten im datenschutzrechtlichen Sinne identifizieren kann, handelt es sich bei diesen Datensammlungen um personenbezogene Daten. Insofern ist das Erstellen dieser Nutzerprofile datenschutzrechtlich nur dann zulässig, wenn der Nutzer eine wirksame Einwilligung (Opt-In) erteilt hat.

Entscheidender Kritikpunkt für die Datenschutzbehörden ist, dass die Voraussetzungen für einen datenschutzkonformen Transfer personenbezogener Daten in ein Drittland nicht eingehalten werden. Damit personenbezogene Daten aus der Europäischen Union in ein Drittland übermittelt werden dürfen, müssen geeignete Garantien vorliegen, die gewährleisten, dass das EU-Schutzniveau für die personenbezogenen Daten durch die Übermittlung in ein Drittland nicht unterlaufen wird. Der EuGH fordert für den Datentransfer in die USA, dass neben den neuen Standardvertragsklauseln zusätzliche Maßnahmen (additional safeguards) ergriffen werden, um das Schutzniveau im Empfängerland zu gewährleisten. Der alleinige Gebrauch der Standardvertragsklauseln reicht dabei nicht aus, da die Behörden in den USA nicht Vertragspartei sind und somit nicht an die Standardvertragsklauseln gebunden sind. Zusätzliche Maßnahmen konnten jedoch weder Google noch die Webseitenbetreiber überzeugend nachweisen, sodass die Datenschutzbehörden den Einsatz für rechtswidrig erklärten.

III. Ausblick

Zusätzlich zu den Entscheidungen der Datenschutzbehörden wird der rechtskonforme Einsatz von Tracking Tools auch mit Blick auf das TTDSG (Telekommunikation-Telemedien-Datenschutz-Gesetz) schwierig. Das Gesetz sieht vor, dass Cookies und vergleichbare Technologien nur eingesetzt werden dürfen, wenn der Betroffene zuvor eingewilligt hat, es sei denn, die Cookies sind technisch zwingend erforderlich. Diese Ausnahme ist eng zu verstehen und erfasst nur Cookies, die verwendet werden, um einen Einkaufskorb vorzusehen oder die Spracheinstellungen zu speichern. Tracking und Analyse-Cookies wie Google Analytics fallen nicht darunter. Außerdem stehen mit der E-Privacy-Verordnung und dem Digital Services Act zwei weitere EU-Regelungen in den Startlöchern, die den Datenschutz in der EU weiter verbessern sollen, auch gegenüber Tech-Giganten aus den USA.