Einsatz von Google Analytics in Zukunft illegal?

Der Verein des österreichischen Datenschützers Max Schrems, My Privacy is Non of Your Business („NOYB“), hat in einer für die Datenschutz-Community aufsehenerregenden Aktion erreicht, dass die österreichische Datenschutzbehörde („DSB“) den Einsatz des beliebten Tracking-Tools Google Analytics („GA“), das von fast jeder kommerziell betriebenen Website eingesetzt wird, unter bestimmten Voraussetzungen für illegal befindet; es drohen hohe Strafen. Max Schrems hat dafür die bekannte Website „netdoctor.at“ mittels Beschwerde wegen des Einsatzes von GA bei der Behörde angezeigt, sodass diese ein Verfahren gegen den Betreiber eingeleitet hat. Da viele Unternehmen auf deren Websites GA auf die gleiche Weise wie beispielsweise Netdoctor einsetzen, wollte NOYB mit dieser Aktion ein Zeichen setzen und die Behörde zum Handeln zwingen.

Die Behörde hat in ihrer Entscheidung festgestellt, dass „eine Verletzung der allgemeinen Grundsätze der Datenübermittlung gem Art 44 DSGVO“, welche die Übermittlung von personenbezogenen Daten an ein Drittland – in diesem Fall die USA – regelt. Das personenbezogene Datum in diesem Fall war die Nutzer-ID, welche GA für jeden User generiert und diesem zuordnet, und als sog „unique identifier“ von der Behörde eingestuft wurde; damit lag eine Übermittlung von personenbezogenen Daten an ein Drittland vor.

Viele Unternehmen gehen den Weg des geringsten Widerstandes und vereinbarten mit Google sog Standarddatenschutzklauseln, um diesen Transfer von Daten rechtlich abzusichern, so auch Netdoctor. Die Behörde hat in diesem Zusammenhang erkannt, dass der Abschluss von solchen Klauseln ohne zusätzliche Garantien für die Sicherheit der Daten kein angemessenes Schutzniveau bieten, da diese nicht vor dem Zugriff von US-Nachrichtendiensten oder Behörden schützen. Die DSGVO schreibt vor, dass personenbezogene Daten durch technische und organisatorische Maßnahmen adäquat geschützt werden müssen, was in diesem Fall nicht bewerkstelligt wurde. Der Einsatz von solchen Standardvertragsklauseln ist auf diese Weise daher nicht mehr möglich, sodass Alternativen gefunden werden müssen. Obwohl der Bescheid der DSB nur gegenüber Netdoctor unmittelbare Geltung erzeugt, sind potentiell alle österreichischen Unternehmen, die auf diese Weise GA auf deren Websites implementiert haben, betroffen und setzen sich dem Risiko einer Strafe durch die DSB aus.

Welche Alternativen bestehen? Entweder weichen Unternehmen auf andere Tracking-Tools aus, die keine Daten in Drittländer übertragen, um Rechtssicherheit zu erlangen. Oder man sucht nach einer alternativen Rechtsgrundlage, um den Transfer in die USA und andere Drittländer zu rechtfertigen, was jedoch weiterhin ein Risiko birgt. So ist es denkbar, auf eine ausdrückliche Einwilligung des Website-Nutzers gem Art 49 Abs 1 lit a DSGVO zurückzugreifen, die jedoch gewissen Einschränkungen unterworfen ist. Dazu kommt, dass der Nutzer vor Abgabe der Einwilligung transparent über die Nutzung von GA und das Risiko des Datentransfers in die USA aufgeklärt werden muss, da anderenfalls die Einwilligung ungültig sein kann. 

Bei genauer Analyse der Entscheidung zeigt sich, dass der Einsatz von GA nicht uneingeschränkt verboten wurde, vielmehr konkretisierte die Aufsichtsbehörde, wie der Datentransfer in die USA ausgestaltet sein muss. Wir evaluieren gerne die konkrete Situation in Ihrem Unternehmen und erarbeiten gemeinsam mit Ihnen eine maßgeschneiderte Lösung.