Am 10. Juli 2023 nahm die Europäische Kommission den EU-US-Datenschutzrahmen an, der den rechtlichen Status transatlantischer Datentransfers ändert. Dennoch weisen mehrere Datenschutzbeauftragte auf Probleme mit dem neuen Abkommen hin. NOYB, eine von Max Schrems gegründete Organisation, die sich für den Schutz der Privatsphäre einsetzt, hat bereits angekündigt, dass sie den neuen Rahmen vor dem Gerichtshof der Europäischen Union anfechten wird. Lesen Sie mehr: Das EU-US Data Privacy Framework (Privacy Shield 2.0): Wie wirkt sich der neue Datenschutzrahmen auf Ihr Unternehmen aus.
Im Januar 2022 waren die Online-Webseiten, die sich in Thema Datensicherheit spezialisieren, voll von alarmierenden Schlagzeilen: „Ist Google Analytics in der EU bald verboten?“, „Ist Google Analytics legal“, „GA für illegal erklärt!“, „Google Analytics droht ein EU-weites Verbot“.
Warum? Auf der Grundlage des EuGH-Urteils von 2020 (Schrems II) reichte NOYB (Europäisches Zentrum für digitale Rechte) 101 Beschwerden wegen der unrechtmäßigen Nutzung von Google Analytics und Facebook Connect durch große Unternehmen in ganz Europa ein. Im Januar 2022 veröffentlichten die Datenschutzbehörden (DSB) ihre ersten Entscheidungen.
Fangen wir von vorne an. Was geschah nach der Einreichung der NOYB-Beschwerden?
- 05.01.2022 – Die EDSB verhängt Sanktionen gegen das Europäische Parlament wegen illegaler Datentransfers zwischen der EU und den USA durch die Verwendung von Google Analytics-Cookies.
- 12.01.2022 – Die österreichische DSB stellt fest, dass die kontinuierliche Nutzung von Google Analytics gegen die DSGVO verstößt.
- 15.01.2022 – Die niederländische DSB aktualisiert ihre Leitlinien zur Nutzung von Google Analytics und weist darauf hin, dass diese möglicherweise rechtswidrig ist.
- 26.01.2022 – Die norwegische DSB (Datatilsynet) unterstützt den Teilbescheid der österreichischen Datenschutzbehörde.
- 10.02.2022 – Die französische Datenschutzbehörde (CNIL) kommt zu dem Schluss, dass der Transfer von Daten in die US derzeit nicht ausreichend geregelt ist.
- 22.04.2022 – Die österreichische DSB lehnt den von Google vertretenen „risikobasierten Ansatz“ für Transfers in Drittländer ab. Sie erklärt die IP-Anonymisierung von Google Analytics zu einer nutzlosen Schutzmaßnahme für Datentransfers zwischen der EU und den Vereinigten Staaten.
- 22.09.2022 – Der Bescheid der dänischen Behörde verbietet effektiv die Nutzung von Google Analytics in Dänemark, zumindest in der Standardeinstellung der Plattform.
- 03.01.2023 – Die norwegische Datenschutzbehörde Datatilsynet veröffentlicht eine vorläufige Stellungnahme, die besagt, dass die Nutzung von Googles Plattform nach der DSGVO illegal ist.
- 03.07.2023 – Die schwedische Datenschutzbehörde ordnet an, dass vier Unternehmen Google Analytics nicht mehr verwenden dürfen.
Lassen Sie uns analysieren, welche Vorwürfe die europäischen Datenschutzbehörden gegen Google Analytics erheben. Können wir folglich sagen, dass Google Analytics in Europa verboten ist?
Transfer personenbezogener Daten in die USA
Der erste Teilbeschluss der österreichischen DBS betraf einen von NOYB gemeldeten Fall. Der Betreiber einer Gesundheitswebsite verwendete Google Analytics. Er stützte sich auf die Standardvertragsklauseln, um den Transfer personenbezogener Daten an Google in den USA zu regeln.
Der Betreiber der Gesundheitswebsite war der Ansicht, dass er durch die Bereitstellung von Daten an Google, wie:
- IP-Adressen,
- Andere Benutzerkennungen,
- Browser-Parameter
keine personenbezogenen Daten übermittelt. Außerdem, auch wenn sie personenbezogene Daten wären, ergriff Google ausreichende Sicherheitsmaßnahmen:
- Transparente Berichte über Datenanfragen von US-Behörden
- Verschlüsselung während Google Daten in den Datenzentren speicherte
- Pseudonymisierung der Daten.
NOYB argumentierte, dass Google als Anbieter von elektronischen Kommunikationsdiensten laut Abschnitt 702 des FISA (US-Gesetzes zur Überwachung in der Auslandsaufklärung) auf Antrag öffentlicher Behörden personenbezogene Daten von EU-Bürgern offenlegen muss.
Und hier kommen wir zurück zu Schrems II. Anwendung von FISA macht es unmöglich, einen angemessenen Schutz der personenbezogenen Daten von EU-Bürgern zu gewährleisten. Somit ist der Transfer der personenbezogenen Daten in die USA unrechtmäßig.
In der Aussage der Berliner Beauftragter für Datenschutz und Informationsfreiheit zum Schrems II-Urteil lesen wir unter anderem:
Übermittlungen personenbezogener Daten in Drittländer sind nur dann zulässig, wenn diese ein Datenschutzniveau aufweisen, das den europäischen Grundrechten der Sache nach gleichwertig ist. Da dies nach den Feststellungen des höchsten europäischen Gerichts in den USA weitgehend nicht der Fall ist, erklärt der EuGH in seiner Entscheidung das „EU-US Privacy Shield“ für ungültig, auf dessen Grundlage eine Übermittlung personenbezogener Daten in die USA bisher in vielen Fällen erfolgte.
Die sogenannten Standardvertragsklauseln, die europäische Unternehmen mit Anbietern in Drittländern abschließen können, um das europäische Datenschutzniveau auch in den Drittländern zu wahren, erklärt der EuGH dagegen unter bestimmten Bedingungen für grundsätzlich zulässig.
Er betont in diesem Zusammenhang jedoch, dass sowohl die europäischen Datenexporteure als auch die Datenimporteure in Drittländern verpflichtet sind, vor der ersten Datenübermittlung zu prüfen, ob im Drittland staatliche Zugriffsmöglichkeiten auf die Daten bestehen, die über das nach europäischem Recht Zulässige hinausgehen (…).
Bestehen solche Zugriffsrechte, können auch die Standardvertragsklauseln den Datenexport nicht rechtfertigen. Bereits ins Drittland übermittelte Daten müssen zurückgeholt werden. Anders als bisher verbreitet vertreten, genügt der reine Abschluss von Standardvertragsklauseln nicht, um Datenexporte zu ermöglichen (…).“
Die österreichische DBS stellte fest, dass:
- Die an Google in die USA übermittelten Informationen personenbezogene Daten im Sinne der DSGVO darstellen, insbesondere angesichts der Tatsache, dass ausländische Nachrichtendienste dank IP-Adressen und Online-Kennungen eine Person identifizieren könnten.
- Die zusätzlichen Sicherheitsmaßnahmen von Google nicht ausreichen, um zu verhindern, dass US-Geheimdienste auf personenbezogene Daten von EU-Bürgern zugreifen.
- Die oben genannten Tatsachen Kapitel V der DSGVO verletzen.
Mehr zu diesem Thema finden Sie in unserem Artikel: Ist Google Analytics DSGVO-konform?
„Risikobasierter Ansatz“ für Datentransfers in die USA als Ausweg nach Schrems II
Im zweiten Teilbeschluss entschied die österreichische DSB über eine NOYB Datenschutzbeschwerde gegen die Betreiberin eines Vergleichsportals. Sie verwendete die kostenlose Version von Google Analytics mit IP-Anonymisierung Funktion. Die Beschwerdegegnerin argumentierte, dass sie keine personenbezogenen Daten übermittelte. Doch selbst unter der Annahme, dass personenbezogene Daten vorliegen, wäre der Transfer in die USA angemessen, weil sie den sogenannten risikobasierter Ansatz verfolgte.
Nach Schrems II setzten sich die Anwälte von Big Tech für einen risikobasierten Ansatz für Datentransfers ein. Sie schlugen vor, dass zusätzliche Garantien, nur im Falle eines erheblichen Risikos für die Rechte und Freiheiten der betroffenen Person erforderlich sein sollten. Die Standardvertragsklauseln sollten für Fälle mit geringem Basisrisiko ausreichen, z. B. wenn „nur“ Daten wie Online-Kennungen oder IP-Adressen übermittelt werden.
Die österreichische DSB stellte nun fest, dass diese Ansicht falsch ist. Die DSGVO kennt keinen risikobasierten Ansatz für Datentransfers in Drittländer wie die USA.
Der Beschwerdeerfolg eines Verstoßes gegen Art. 44 DSGVO hängt nicht davon ab, ob ein gewisses „Mindestrisiko“ besteht, oder ob US-Nachrichtendienste tatsächlich auf Daten zugreifen. Es reicht, wenn personenbezogene Daten in ein Drittland ohne ein entsprechendes Schutzniveau übermittelt werden. Es kommt auch nicht auf ein eventuelles Interesse von US-Nachrichtendienste an, sondern auf deren Zugriffsmöglichkeiten.
Ist Consent eine Lösung?
Im von der CNIL im Februar 2022 behandelten Fall argumentierte der Beschwerdegegner, dass er den Datentransfer auf Art. 49.1.a der DSGVO stützen darf.
Art. 49 der DSGVO beschäftigt sich mit Ausnahmen für Datentransfers und besagt:
(1) Falls weder ein Angemessenheitsbeschluss nach Artikel 45 Absatz 3 vorliegt noch geeignete Garantien nach Artikel 46, einschließlich verbindlicher interner Datenschutzvorschriften, bestehen, ist eine Übermittlung oder eine Reihe von Übermittlungen personenbezogener Daten an ein Drittland oder an eine internationale Organisation nur unter einer der folgenden Bedingungen zulässig:
a) die betroffene Person hat in die vorgeschlagene Datenübermittlung ausdrücklich eingewilligt, nachdem sie über die für sie bestehenden möglichen Risiken derartiger Datenübermittlungen ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien unterrichtet wurde, (…)
Der Beschwerdegegner wies darauf hin, dass dank des Cookie Consent Verfahrens die betroffenen Personen das Tracking ihres Besuchs auf der Website ablehnen könnten. Die französische DSB stellte ausdrücklich fest:
Die Einwilligung der Nutzer in die Speicherung von Cookies während ihres Besuchs auf der Website kann jedoch nicht als gleichbedeutend mit ihrer “ausdrücklichen Zustimmung zu der vorgeschlagenen Übermittlung, (…)” im Sinne von Artikel 49.1.a der DSGVO betrachtet werden.“
Was bedeutet das in der Praxis? Sie bräuchten zwei Einwilligungen. Einen Consent für den Zweck der Analyse und zweiten für den Datentransfer in die Vereinigten Staaten. Dies wirft eine Reihe von Problemen auf: Was machen Sie, wenn die betroffene Person zwar in die Analyse, nicht aber in den Datentransfer einwilligt? Oder sie erteilt beide Consents, aber diese später teilweise widerruft? Berücksichtigen Sie auch, wie hoch die Opt-in-Rate für zwei getrennte Consents wäre.
Zusätzlich stellen Leitlinien 2/2018 des Europäischen Datenschutzausschusses klar, dass die im Art. 49.1.a der DSGVO beschriebenen Fälle eher die Ausnahme als die Regel darstellen und für die alltäglichen Transfers personenbezogener Daten nicht relevant sind. Aus diesem Grund können Sie den regelmäßigen Datentransfer mit der Einwilligung der Besucher nicht rechtfertigen.
Zum Thema Consent empfehlen wir unser Blogbeitrag: So erhalten Sie Consent und tracken Daten gemäß den Richtlinien von CNIL und der DSGVO
Wie verträgt sich Google Analytics 4 mit der DSGVO – ist die neue Version legal?
Im März 2022 kündigte Google das Ende von Universal Analytics an und führte Google Analytics 4 ein. Am 1. Juli 2023 stellte die Standardversion von Universal Analytics die Verarbeitung neuer Daten ein. Seitdem haben Nutzer der kostenlosen Version noch sechs Monate lang Zugang zu den bereits verarbeiteten Daten. Die Frist für Nutzer von Google Analytics 360 ist der 1. Oktober 2023.
Google behauptet, Google Analytics 4 sei eine datenschutzfreundliche Alternative, die keine IP-Adressen sammelt. Löst es die Probleme, auf die die Bescheide der Datenschutzbehörden in Europa hindeuten?
Eine der Korrekturen betrifft die Anonymisierung der IP-Adressen. In Google Analytics 4 anonymisiert Google die IP-Adressen der getrackten Website- und App-Nutzer schon als es die Nutzerdaten erfasst. Google Analytics 4 stellt seinen Nutzern keine Option bereit, um diese Funktion auszuschalten.
Auf dieser Basis behauptet Google, dass es keine persönlichen Daten sammelt. Im Teilbeschluss vom April 2022 bestätigte die österreichische DSB jedoch erneut, dass die IP-Anonymisierung von Google Analytics nicht ausreicht. Sie begründete es, wie folgt:
- Die IP-Anonymisierung betrifft nur die IP-Adresse als solche. Daten wie Online-Identifikatoren, die über Cookies oder Gerätedaten gesetzt werden, überträgt Google im Klartext.
- Die IP-Anonymisierung findet erst nach dem Transfer der Daten an Google statt.
Das bedeutet, dass Google Analytics nach wie vor personenbezogene Daten sammelt.
Die österreichische DSB betonte schon in ihrem ersten Teilbeschluss, dass „IP-Adresse (…) nur eines von vielen ‚Puzzleteilen‘ des digitalen Fußabdrucks (…) ist“. Die Anonymisierung von IP-Adressen fuhrt nicht unbedingt zu dem Schluss, dass die verarbeiteten Daten nicht personenbezogen sind. Cookie-Identifikationsnummern zum Beispiel sind an sich personenbezogene Daten.
Die österreichische DSB bestätigte, dass die Verwendung dieser Kennnummern es Google Analytics ermöglicht „Website-Besucher zu unterscheiden und auch die Information zu erhalten, ob es sich um einen neuen oder um einen wiederkehrenden Website-Besucher (…) handelt.“
Google kann die Informationen, die Google Analytics 4 zu einem bestimmten Pseudonym sammelt, mit anderen Daten verknüpfen, die andere Nutzer dieser Plattform oder weiterer Google-Diensten übermitteln. Und es gibt Unmengen davon. So könnte Google die Identität der einzelnen Website-/App-Nutzer und deren Verhalten auf derselben Website oder App oder womöglich auch auf anderen Websites und in anderen Apps bestimmen. Wir wissen nicht, ob Google dies tut, aber wir sollten uns der damit verbundenen Risiken bewusst sein.
Wenn Sie mehr zum Thema Datenanonymisierung erfahren möchten, empfehlen wir unseren Artikel: Datenanonymisierung für Web Analytics und Marketing. Das sollten Sie unbedingt wissen!
Unabhängig davon bleibt das Hauptproblem bei Google Analytics 3 und 4 dasselbe: Datentransfers zwischen der EU und den USA.
Google kündigte an, dass Google Analytics 4 die Daten von EU-Nutzern über Domains und Server in der EU empfängt und verarbeitet.
Google übermittelt jedoch letztlich die Daten zum Speichern in die USA. Beachten Sie, dass das Zitat oben die Speicherung nicht ausdrücklich erwähnt.
Keine technische Maßnahme von Google kann verhindern, dass US-Behörden die Daten abhören dürfen. Das Einzige, was Google Analytics helfen kann, ist, den Datenschutz in den USA in den Augen der Europäischen Kommission angemessen zu gestalten. Dieser Prozess schien sich in letzter Zeit zu beschleunigen. Erwarten uns in naher Zukunft wirklich konkrete Lösungen?
Können wir den neuen Transatlantischen Datenschutzrahmen bald erwarten, der schnell die Probleme von Google Analytics beseitigt?
Am 25. März 2022 kündigten der US-Präsident, Joe Biden, und die Präsidentin der EU-Kommission, Ursula von der Leyen, eine politische Einigung über einen neuen Transatlantischen Datenschutzrahmen an. Er soll das Privacy Shield ersetzen. Die EU-Kommission und die USA erklärten dann gemeinsam, dass sie sich „grundsätzlich“ auf einen neuen Transatlantischen Datenschutzrahmen einigen. Google reagierte darauf mit dem Kommentar, dass es seine Prozesse im Rahmen des neuen Trans-Atlantic Data Privacy Framework nächstmöglich zertifiziert.
Was wie ein festgelegter Plan klingt, ist bisher ein vages Versprechen. Die gemeinsame Stellungnahme der EU-Kommission und der USA stellt nur eine politische Ankündigung und kein Rechtsinstrument dar. Die Juristen müssen noch Lösungen für die Probleme finden, die der Europäische Gerichtshof (EuGH) vor zwei Jahren ansprach.
Jede neue Vereinbarung wäre kein bilaterales Abkommen, sondern eine Exekutiventscheidung der EU-Kommission, die der Europäische Datenschutzausschuss (EDSA) überprüfen müsste. Dieser Prozess fängt erst ein, wenn ein Rechtstext vorliegt.
Es wird mehrere Monate dauern, bis der Angemessenheitsbeschluss für den neuen Datenschutzrahmen Rechtskraft erlangt und Transfers aus der EU in die USA unterstützt. Zumal die US-Seite noch mindestens eine Durchführungsverordnung erlassen muss, um die vereinbarten neuen Garantien zu gewährleisten. Unternehmen können neue Regeln nicht nutzen, solange die Behörden sie nicht formell verabschieden.
Der EuGH kann die etwaige Entscheidung schnell anfechten. Der Europäische Datenschutzbeauftragte betonte bereits, „(…) dass ein neuer Rahmen für den transatlantischen Datenverkehr im Lichte der vom Europäischen Gerichtshof festgestellten Vorgaben tragfähig sein muss”.
Der endgültige Text wird mehr Zeit benötigen. Sobald er vorliegt, analysieren wir ihn eingehend zusammen mit unseren US-Rechtsexperten. Wenn er nicht im Einklang mit dem EU-Recht steht, werden wir oder eine andere Gruppe ihn wahrscheinlich anfechten. Am Ende wird der EuGH ein drittes Mal entscheiden. Wir gehen davon aus, dass die Angelegenheit innerhalb weniger Monate nach einem endgültigen Beschluss wieder beim Gerichtshof landet.
Welche Pläne auch immer Google mit dem neuen Datenschutzrahmen verbindet, es sieht nicht so aus, als würden sie sich schnell verwirklichen.
Wir berichten über die Entwicklungen zu dem neuen transatlantischen Datenschutzrahmen im Artikel: Privacy Shield 2.0: Was es ist und wie es sich auf Ihr Unternehmen auswirken wird?
Fazit
Es benötigt Zeit, bis sich rechtliche Regeln ändern und weltweit durchsetzen. Unternehmen können zögern und versuchen, die aktuellen Hürden zu umgehen. Sie können auch nach anderen Wegen suchen, um Verbraucherdaten auf sichere Weise und datenschutzkonform zu sammeln und zu analysieren. Somit bilden sie ein nachhaltiges System und gewinnen leichter das Kundenvertrauen.
Es gibt ausreichend Google Analytics-Alternativen. Manche von ihnen bieten nicht nur ein Höchstmaß an Sicherheit und Rechtskonformität, aber auch dieselben analytischen Funktionen wie Google Analytics. Lesen Sie mehr dazu in unseren Produktvergleichen:
Google Analytics Alternativen – kostenlos und kostenpflichtig
Piwik PRO vs. Google Analytics & Google Analytics 360
Wenn Sie mehr darüber erfahren möchten, wie die Piwik PRO Analytics Suite Sie bei der Einhaltung der DSGVO unterstützt, wenden Sie sich an uns. Wir beantworten gerne Ihre Fragen.
