Feststellungen von EU-Datenschutzbehörden
Die österreichische Datenschutzbehörde hatte vor kurzem entschieden, dass die Einbindung von Google Analytics auf Webseiten gegen die Datenschutzgrundverordnung verstößt (https://www.dsb.gv.at/download-links/bekanntmachungen.html#Google_Analytics). Zuvor hatten die Datenschützer in Wien aufgrund einer Beschwerde der Datenschutzorganisation „noyb“ eine Fallprüfung durchgeführt und festgestellt, dass eine Einwilligung für den Einsatz von Google Analytics fehle. Konkret fehlte die erforderliche Einwilligung für die Drittlandübermittlung (Art. 49 Abs. 1 lit. a) DSGVO), da Google alle Analytics-Daten ausnahmslos in die USA übermittelt und dort verarbeitet.
Wieso ist die Drittlandübermittlung aus Sicht des europäischen Datenschutzes so brisant, obschon davon auszugehen ist, dass Google die Daten sicher transferiert und auch die Aufbewahrung der Daten streng geschützt ist? Die Antwortet hierauf ist kurz: der CLOUD-Act (Clarifying Lawful Overseas Use of Data Act).
Der Cloud Act ermöglicht den Zugriff von US-amerikanischen Behörden auf sämtliche Unternehmens- und Kundendaten von Cloud- und Kommunikationsanbietern, sofern das Unternehmen seinen Sitz in den USA hat bzw. dem US-amerikanischen Recht unterliegt. Dies bedeutet im Umkehrschluss, dass ebenfalls auf personenbezogene Daten von EU-Bürgern auf EU-Servern zugegriffen werden kann, wenn ein US-Dienstleister eingesetzt wird.
Die französische Datenschutzbehörde ging deshalb noch einen Schritt weiter als die österreichische und kam zu dem Ergebnis, dass Google Analytics gar nicht in der EU einsetzbar ist, weil Google nicht genug unternehme, um die Daten europäischer Bürger vor dem Zugriff durch amerikanische Geheimdienste zu schützen (https://www.cnil.fr/en/use-google-analytics-and-data-transfers-united-states-cnil-orders-website-manageroperator-comply). Auch die Niederlande haben angekündigt, einen Beschluss wegen Google Analytics zu erlassen.
Festzuhalten ist, dass aus Sicht des europäischen Datenschutzes erhebliche Bedenken beim Einsatz von Google Analytics bestehen. Auch wenn die oben genannten Beschlüsse von Behörden nicht automatisch ein Verbot bedeuten, so haben diese eine gewisse Relevanz und es besteht die Gefahr von Bußgeldern, da sich Gerichte diese Behördenentscheidungen orientieren, weshalb auch Schadensersatzklagen von Betroffenen drohen.
Empfohlene Vorgehensweise
Die vermeintliche Lösung des Problems könnte die Einholung einer entsprechenden Einwilligung bei den Webseitenbesuchern sein. Was aber sehr simpel klingt, ist in der Praxis aber kaum umsetzbar. Einerseits müsste den Betroffenen vor Abgabe der Einwilligung eine große Menge an detaillierten Informationen rund um die Drittlandübermittlung zur Verfügung gestellt werden, was den Webseitenauftritt optisch mindert und von der Usability drastisch verschlechtert – nur aufgrund von Google Analytics! Gleichzeitig müssen die Risiken, die durch den Cloud Act, FISA 702 usw. entstehen, durch die dargelegten Informationen von den betroffenen Personen verstanden werden.
Auf der anderen Seite ist zu erwarten, dass eine Vielzahl der Webseitenbesucher keine entsprechende Einwilligung abgeben wird, sofern die Website in ihrer derartigen Gestalt überhaupt noch für Ihre Webseitenbesucher interessant ist.
Daher wird empfohlen, auf Dienste wie Google Analytics zu verzichten. Sofern analytische Daten unverzichtbar sind, sollte auf eine europäische Lösung zurückgegriffen werden. Zudem sollte der Anbieter im Hinblick auf den Cloud-Act keine Niederlassung in den USA haben.
Eine Alternative zu Google Analytics wäre zum Beispiel das Tool Matomo Analytics. Dieses kann kostenfrei auf eigenen Servern oder auf einem europäischen Matomo-Server (Frankreich) betrieben werden, siehe https://matomo.org/.
Herr Sebastian Feldmann ist als Datenschutzbeauftragter und Datenschutzauditor (zert. DSB & Auditor beim TÜV®), sowie als Consultant für Datenschutz bei der Keyed GmbH tätig. Als externer DSB, Auditor und Consultant für Datenschutz unterstützt er europaweit Unternehmen aus verschiedenen Branchen in der Umsetzung datenschutzrechtlicher Vorgaben. In seiner ständigen Betreuung stehen Konzerne, kleine und mittelgroße Unternehmen, sowie Start-ups. Herr Feldmann zeichnet sich als Wirtschaftsjurist sowohl durch seine ökonomische als auch juristische Expertise im Datenschutzrecht aus.
„Um die Anforderungen von DSGVO, BDSG und weitere Rechtsvorschriften für unsere Kunden bestmöglich umzusetzen, ist eine stetige Fortbildung und ein ständiger Austausch mit den Landesdatenschutzbehörden – so wie wir es praktizieren – enorm wichtig.“
