Verbotener Einsatz von Google Analytics?
Mit Bescheid vom 22. Dezember 2021 erklärte die österreichische Datenschutzbehörde dsb die Verwendung des Analyse- und Trackingtools Google Analytics durch ein österreichisches Unternehmen für unzulässig.[1] Dies als Konsequenz des sogenannten Schrems-II-Urteils des Europäischen Gerichtshofs EuGH.[2] Diese Entscheidung, und eine kurz darauf ergangene vergleichbare Entscheidung der französischen Datenschutzbehörde CNIL[3], sorgen seither für Verunsicherung.
Dieser Gast-Beitrag von Prof. Dr. jur. Simon Schlauri geht auf die Entscheidgründe der beiden Behörden ein und legt die Risiken dar, die mit der künftigen Verwendung von Google Analytics einhergehen.
Der Entscheid der österreichischen dsb
Am 14. August 2020 besuchte ein Mann eine von einem österreichischen Unternehmen betriebene Website zu Gesundheitsthemen. Zeitgleich war er in seinem persönlichen Google-Konto angemeldet, was es Google erlaubte, ihn u.a. anhand der von der Betreiberin der Website übermittelten IP-Adresse zu identifizieren. Dies weil die Website Google Analytics verwendete.
Die Betreiberin der Website und Google hatten die sogenannten «Standardvertragsklauseln» der Europäischen Kommission als Mechanismus für die Übermittlung personenbezogener Daten vereinbart, um den Umgang von Google mit den auf der Website anfallenden Personendaten zu regeln. Im genannten Schrems-II-Urteil hatte der EuGH allerdings diese Standardklauseln als ungenügend zum Schutz personenbezogener Daten bezeichnet: Der Verantwortliche muss, so der EuGH, neben den Standardklauseln, die nur vertragliche Wirkung haben, aber nicht die Behörden des Ziellandes binden, zusätzliche Sicherheitsvorkehrungen ergreifen (wie Verschlüsselung), um die Einhaltung dieses Schutzniveaus zu gewährleisten. [4]
Die dsb stellte fest, dass die zwischen den Beschwerdegegnerinnen geschlossenen Standardklauseln kein angemessenes Schutzniveau böten, weil Google als "Anbieterin elektronischer Kommunikationsdienste" gemäss 50 U.S. Code § 1881(b)(4) der Überwachung durch US-Geheimdienste unterliege. Die von den Beschwerdegegnerinnen getroffenen zusätzlichen Sicherheitsvorkehrungen seien unzureichend, weil sie den Zugriff der US-Geheimdienste auf die personenbezogenen Daten der betroffenen Person nicht verhinderten.[5]
Der Entscheid der französischen CNIL
Der Entscheid der Französischen CNIL wurde in vergleichbarer Weise begründet: Zwar habe Google zusätzliche Vorkehrungen zur Regelung der Datenübermittlung im Zusammenhang mit der Google-Analytics-Funktionalität ergriffen, doch reichten diese nicht aus, um den Zugriff der US-Geheimdienste auf diese Daten auszuschliessen.[6]
Konsequenzen für die Schweiz
Auch der EDÖB verlangt seit dem Schrems-II-Urteil organisatorische und technische Massnahmen, die die Behördenzugriffe auf die übermittelten Personendaten im Zielland faktisch verhindern. Nachdem sowohl die französische als auch die österreichische Datenschutzbehörde beim Einsatz von Google Analytics keine ausreichenden zusätzlichen Vorkehrungen erkennen konnten, ist daher zu erwarten, dass der Einsatz der Software auch hierzulande problematisch ist.
Empfehlung
In unserer Praxis empfehlen wir den Betreiberinnen von Websites mittlerweile, auf den Einsatz von Google Analytics zu verzichten und auf eines der alternativen Tools wie «Matomo» zurückzugreifen. Wir bei Ronzani Schlauri Attorneys gehen davon aus, dass der behördliche Druck auf die Nutzer von Google Analytics weiter steigen wird, was mit einem Bussenrisiko einher geht. Dies gilt auch für die Schweiz, wo ab September 2023 das neue Datenschutzgesetz mit verschärften Bussenbestimmungen gelten wird. Entsprechend sollten Unternehmen prüfen, ob sie alternative Angebote nutzen können.
Will ein Unternehmen nicht auf Google Analytics verzichten und nimmt die entsprechenden Risiken bewusst in Kauf, so ist in jedem Fall die Datenschutzerklärung entsprechend anzupassen, und eine ausreichende Einwilligung des Besuchers der Website zur Verwendung von Google Analytics ist einzuholen: Die üblichen kurzen oder gar verniedlichenden Cookie-Hinweise genügen dabei oftmals nicht, u.a. deshalb, weil nicht ausreichend klar gemacht wird, dass Cookies Verfolgung im Netz mit sich bringen, und zwar möglicherweise auch durch ausländische Behörden. Auch die blosse Verlinkung der (nachträglichen) Opt-Out-Funktion von Google in der Datenschutzerklärung ist als Einwilligung sodann nicht ausreichend, weil die datenschutzrechtliche Einwilligung vor dem Datentransfer abzugeben ist. Ferner sind die vertraglichen Grundlagen mit Google in Ordnung zu halten (zumindest Abschluss der aktuell gültigen EU-Standardklauseln), und Google Analytics ist möglichst datenschutzfreundlich zu konfigurieren: Die IP-Adresse der Besucher ist zu anonymisieren (dies ist in Google Analytics 4 vorgabemässig eingeschaltet), und die Aufbewahrungsdauer der Daten ist so kurz wie möglich einzustellen.
Ausblick
Dies ist der zweite Blog-Beitrag unserer Serie zum revidierten Datenschutzgesetz in der Schweiz. Den ersten Beitrag «Revidiertes Datenschutzgesetz in der Schweiz: mehr Schutz und Sicherheit im digitalen Zeitalter» lesen Sie hier.
Im nächsten Beitrag werden wir uns mit alternativen Lösungen zu Google Analytics & Co. beschäftigen.
Abgerundet wird die Serie durch kurze Beiträge mit technischem Fokus: Wie binde ich Google-Fonts datenschutzkonform ein? Was bedeutet die DSGVO für die Einbindung von Youtube-Videos? Und weitere Tipps von uns.
Bleiben Sie auf dem Laufenden und abonnieren Sie unseren Newsletter oder kontaktieren Sie uns für eine Beratung.
Quellenangaben und weiterführende Informationen
[1] Teilbescheid vom 22. Dezember 2021, D155.027, tinyurl.com/yuyms4yb.
[2] Dazu bereits S. Schlauri, Die sogenannte «Treuhandlösung» und das Schrems-II-Urteil, Jusletter IT 16. Dezember 2021.
[3] Dazu CNIL, Use of Google Analytics and data transfers to the United States: the CNIL orders a website manager/operator to comply, 10. 2. 2022, tinyurl.com/38vn5fa8.
[4] Zu Schrems II S. Schlauri [2].
[5] GDPR Hub, DSB (Austria) - 2021-0.586.257 (D155.027), tinyurl.com/mtz6epxm.
[6] CNIL [3].
Bild: Alexey Taktarov
