In jüngerer Zeit hat die Österreichische Datenschutzbehörde (im Folgenden „DSB“) zwei „Teilbescheide“ erlassen und die Nutzung von Google Analytics für datenschutzrechtswidrig erklärt. Die Entscheidung vom 22.12.2021 finden Sie hier und die vom 22.04.2022 hier.
Zwischenzeitlich hat auch die Französische Datenschutzbehörde Commission Nationale de l’Informatique et des Libertés („CNIL“) den Einsatz von Google Analytics für rechtwidrig erklärt. Die zu Informationszwecken ins Englische übersetzte Entscheidung finden Sie hier.
Grund genug, einige Kernaussagen der Entscheidungen herauszustellen und zu prüfen, ob die Entscheidungen Wirkung über die betroffenen Einzelfälle hinaus entfalten und nach Auffassung der beiden Datenschutzbehörden der Einsatz von Google Analytics grundsätzlich datenschutzrechtswidrig ist.
Sachverhalte
Der Entscheidung der Österreichischen DSB aus 2021 lag ein Sachverhalt zugrunde, wie er in der Praxis regelmäßig vorkommt: Ein Website-Betreiber hat den Dienst Google Analytics in der kostenlosen Variante genutzt und den von Google zur Verfügung gestellten JavaScript Code in seine .at-Webseite eingebunden. Die JavaScript-Datei führte mit verschiedenen Mitteln Tracking-Dienste aus und sendete die so gewonnenen Daten an einen Google Analyse-Server. Google Analytics setzt und liest auch First-Party-Cookies auf Browsern der User der .at-Webseite, die die Messung der Nutzersitzung und anderer Informationen aus der Seitenanfrage ermöglichen (dazu im Einzelnen C3-C5 des Bescheids 2021, S. 11 – 15). Der Dienst Google Analytics stellte wiederum dem Betreiber der .at-Website Informationen zum Zwecke der Auswertung des Online-Verhaltens der Nutzer der .at-Website zur Verfügung, die der Betreiber einsehen konnte, wenn er sich in sein Google Analytics-Konto einloggte und auf entsprechende Berichte zugriff. Die sogenannte „IP-Anonymisierungsfunktion“ von Google Analytics hat der Websitebetreiber nicht verwendet. Zum Zeitpunkt des von der DSB untersuchten Zugriffs des beschwerdeführenden Nutzers auf die .at-Webseite war der Nutzer auch in seinem allgemeinen Google-Konto eingeloggt. Bei Zugriff auf die Website generierten die von Google zur Verfügung gestellten und durch den Betreiber in seine Website eingebundenen Mittel eine eindeutige, unverwechselbare Identifikationsnummer (im Bescheid auch Kennnummer genannt) für den Client, der die Website aufrief, und übermittelten diese an Google USA, ebenso Informationen über die Adresse und den HTLM-Titel der Website, die besuchten Unterseiten sowie Informationen zu Browser, Betriebssystem, Bildschirmauflösung, Sprachauswahl, Datum und Uhrzeit des Website-Besuchs. (C9, S.18 – 21 und D.2.a), S.26f des Bescheids 2021). Da der Nutzer im 2021 von der DSB beschiedenen Fall während seines Zugriffs auf die .at-Website auch in seinem allgemeinen Google-Konto eingeloggt war, konnte Google außerdem präzise feststellen, dass gerade er als Google-Accout-Nutzer die .at-Website besuchte.
Google und der Betreiber der Website haben einen Auftragsverarbeitungsvertrag geschlossen und Standardvertragsklauseln für die Zwecke des internationalen Datentransfers vereinbart.
Dem Teilbescheid der DSB vom 22.04.2022 liegt annähernd der gleiche Sachverhalt zugrunde wie dem Teilbescheid von 2021. Anders als im 2021 entschiedenen Fall nutzte der Betreiber seiner .at-Webseite die „IPAnonymisierungsfunktion“ von Google. Beim Laden der relevanten Scripts von Google-Servern wird dennoch zunächst die vollständige IP-Adresse eines Website-Besuchers an Google LLC, USA, übertragen. Die IP-Adresse wird erst in einem zweiten Schritt maskiert, nachdem sie im AnalyticsDatenerfassungsnetzwerk eingegangen ist.
Identifikationsnummern als personenbezogene Daten
Nicht ganz klar beantwortete die DSB 2021 die Frage, ob bereits die eindeutigen Identifikationsnummern, die der Google-Analytics-Dienst – wie im zu entscheidenden Fall – vergibt und auf dem Endgerät bzw. im Browser jedes Nutzers ablegt, personenbezogene Daten im Sinne der DSGVO sind.
Zwar argumentiert die Behörde unter D.2.b (S.27f) so, dass dieser Schluss zulässig sei, bescheidet als „Zwischenergebnis“ aber lediglich, es sei „festzuhalten, dass die hier gegenständlichen Google Analytics Kennnummern personenbezogene Daten (in Form einer Online-Kennung) gemäß Art. 4 Z 1 DSGVO sein können.“ (Hervorhebung durch den Autor) Die DSB schließt unter D.2.c) mit den Worten an: „Noch deutlicher erkennbar wird die Erfüllung des Tatbestands von Art. 4 Z 1 DSGVO, wenn man berücksichtigt, dass die Kennnummern mit weiteren Elementen kombiniert werden können: …“ – was wiederum darauf schließen lässt, dass die Behörde bereits die Kennnummer (Identifikationsnummer) für ein personenbezogenes Datum im Sinne des Art 4 Ziffer 1 DSGVO hält.
In ihrer Entscheidung aus 2022 ist sich die DSB allerdings sicher, „dass die hier gegenständlichen Google Analytics Kennnummern schon grundsätzlich als personenbezogene Daten (in Form einer Online-Kennung) gemäß Art. 4 Z 1 DSGVO zu qualifizieren sind.“
Die DSB stützt sich dabei auch auf eine Entscheidung des Europäischen Datenschutzbeauftragten (EDSB) vom 05. Januar 2022 , die zum Zeitpunkt des DSB-Bescheids vom 22.12.2021 noch nicht vorlag: „[…] Tracking-Cookies wie die Stripe- und Google-Analytics-Cookies gelten als personenbezogene Daten, auch wenn die traditionellen Identitätsparameter der verfolgten Nutzer unbekannt sind oder vom Tracker nach der Erfassung gelöscht wurden. Alle Datensätze, die Identifizierungsmerkmale enthalten, mit denen Nutzer ausgesondert werden können, gelten nach der Verordnung als personenbezogene Daten und müssen als solche behandelt und geschützt werden“ (Übersetzung der DSB).
In seiner Entscheidung vom 5.Januar 2022 verwarnte der EDSB Wojciech Wiewiórowski das Europäische Parlament, weil es auf seiner Corona-Test-Seite Tracking-Mechanismen wie z.B. von Google Analytics eingebunden hatte. Zwar ist auf jenen Fall die Verordnung (EU) 2018/1725 anzuwenden, die bei der Datenverarbeitung durch die Organe, Einrichtungen und sonstigen Stellen der Union gilt, und nicht etwa die DSGVO. Da Art. 3 Ziffer 1 der Verordnung (EU) 2018/1725 der Definition von Art. 4 Ziffer 1 DSGVO entspricht, könne diese Überlegung nach Auffassung der DSB aber ohne weiteres auf den gegenständlichen Fall übertragen werden.
Rückführbarkeit auf den Website-Besucher
Es kommt für die Identifizierbarkeit (nicht die Identifikation selbst) nicht darauf an, ob die Identifikationsnummer unmittelbar (also ohne weitere Mittel) einer natürlichen Person – im Fall: Dem beschwerdeführenden Besucher der .at-Webseite – zugeordnet werden kann.
Im EU-Datenschutzrecht reicht für die Qualifizierung als personenbezogenes Datum bekanntlich die Zuordnung der Information zu einer identifizierbaren natürlichen Person aus, Art 4 Ziffer 1 DSGVO. Erwägungsgrund 26 DSGVO erläutert sodann: „… um festzustellen, ob eine natürliche Person identifizierbar ist, sollten alle Mittel berücksichtigt werden, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren, wie beispielsweise das Aussondern“ (singling out). Die DSB vertritt wohl die Auffassung, dass die Zuweisung einer Identifikationsnummer zum Client des Webseitenbesuchers einer Aussonderung entspreche. Damit ist ein Nutzer zwar nicht identifiziert, er sei nach Auffassung der DSB aber durch Aussonderung bereits identifizierbar.
Es reicht aus, dass irgendjemand mit rechtlich zulässigen Mitteln und vertretbarem Aufwand diesen Personenbezug (Rückführbarkeit der Information zu einer natürlichen Person) herstellen kann. Dann ist die Information ein personenbezogenes Datum. Damit vertritt die DSB die Rechtsmeinung, der Personenbezug sei absolut zu ermitteln.
Der Gegenbegriff ist der relative Personenbezug. Auf die Möglichkeiten des jeweils zu betrachtenden Einzelnen, Informationen auf eine natürliche Person zurückzuführen, komme es an. Bei diesem relativen Personenbezug kann für jemanden eine Information eine Sackgasse sein, ein anderer hat aber die angemessenen Mittel, den Bezug zwischen Information und einer natürlichen Person herzustellen. Für den ersten ist die Information kein personenbezogenes Datum, für den anderen schon.
Irgendjemand ist im zu entscheidenden Fall Google.
Da der Website-Besucher in beiden von der DSB zu entscheidenden Fällen gleichzeitig in seinem jeweiligen allgemeinen Google-Konto eingeloggt war, hatte Google die Möglichkeit festzustellen, dass der Nutzer des Google-Accounts zu einer bestimmten Zeit die .at-Website besucht hat. Aus der identifizierbaren Person wird eine identifizierte.
Irgendjemand kann mindestens ebenso gut ein US-Nachrichtendienst sein. Die theoretische Möglichkeit, dass ein Dienst zugreift, reicht aus.
Nachrichtendienste nutzen Online-Kennungen wie die IP-Adresse eines Clients oder die von Google zugewiesene ID-Nummer zum Ausgang ihrer nachrichtendienstlichen Tätigkeit.
Die DSB erläutert allerdings nicht, ob und warum US-Nachrichtenbehörden mit rechtlich zulässigen Mitteln und vertretbarem Aufwand diesen Personenbezug (Rückführbarkeit der Information zu einer natürlichen Person) herstellen können.
Unerheblich ist, dass sowohl Google als auch US-Nachrichtendienste gewonnene Informationen immer nur auf ein Endgerät rückbeziehen können – nicht auf eine natürliche Person, die das Endgerät nutzt (Entscheidung 2022, D.2. Spruchpunkt 2.a, sub d) ii), S. 32).
Die DSB begründet hier rein praktisch: Die gewonnenen Informationen seien die personenbezogenen Daten jener Person, „die das Endgerät am wahrscheinlichsten verwendet hat“. Es müsse nicht mit Sicherheit feststehen, welche natürliche Person das Endgerät verwendet hat. Das sei auch nicht geboten. Denn ansonsten wären Informationen, die sich auf bestimmte Endgeräte und Accounts rückbeziehen lassen, „immer nicht-personenbezogene Daten“, weil nie ausgeschlossen werden kann, dass eine dritte Person das Endgerät bzw. den Account nutzt. Das widerspräche aber der Auslegung des EuGH, „der von einem sehr weiten Anwendungsbereich ausgeht.“
Die CNIL bestätigt in ihrer Entscheidung aus 2022, dass mit der Aussonderung die Identifizierbarkeit einer natürlichen Person geschaffen wird. Die Aussonderung wiederum ermöglicht Google durch Vergabe folgender eindeutiger voneinander unterscheidbarer Identifikationsnummern:
-
- eine Besucherkennung (die Kennung des Google Analytics-Besucher-Cookies, d. h. die Google Analytics-Kunden-ID);
- für Besucher, die sich über ein Benutzerkonto auf der Website angemeldet haben, eine interne Google-Kennung;
- die Bestellkennungen, falls vorhanden;
- IP-Adressen.
Denn diese Identifikationsnummern lassen sich mit weiteren Informationen kombinieren, um auf diese Weise den jeweiligen Webseitenbesucher zu identifizieren.
Welche Mittel (legale, angemessene?) der Identifizierung zu berücksichtigen sind und ob sie gerade dem Betreiber der Website zur Verfügung stehen müssen, ob es ausreicht, wenn er sich diese legal verschaffen kann oder dass irgendjemand über solche Mittel verfügt, sagt die CNIL nicht ausdrücklich. Die CNIL zieht aber die Mittel und Möglichkeiten Googles selbst heran. Auf diese Weise wird immerhin deutlich, dass es nicht darauf ankommt, dass der für den Betrieb der Website datenschutzrechtlich Verantwortliche keinen Anspruch auf Herausgabe solcher Daten von seinem Auftragsverarbeiter Google hat.
Voraussetzungen für die Zulässigkeit der Datenübermittlung in ein unsicheres Drittland
In den USA herrscht kein – aus EU-Sicht – angemessenes Datenschutzniveau vor, so dass für die grenzüberschreitende Übermittlung personenbezogener Daten in die USA die Vereinbarung der Standarddatenschutzklauseln (die Version von 2010) nicht ausreichte. Die Parteien waren verpflichtet, „zusätzliche Maßnahmen“ zum Schutz der in die USA übermittelten Daten zu treffen.
Diese Aussage ist eine Selbstverständlichkeit, nachdem der EuGH in seinem Schrems II-Urteil vom 16.Juli 2020 eben dies für Unternehmen, die der Überwachung durch Sicherheitsdienste der USA unterliegen, bereits festgestellt hatte. Datenexporteur und Datenimporteur sind verpflichtet, die Rechts- und Tatsachenlage in Bezug auf den Datenschutz im Land des Datenimporteurs zu begutachten. Die DSB in ihrer ersten Entscheidung und die CNIL machten es sich noch einfach und übernahmen die Begutachtung der US-Datenschutzrechts- und Tatsachenlage des EuGH in Schrems II. In ihrer 2. Entscheidung vom April 2022 griff die DSB zur Untermauerung ihrer Rechtsauffassung zusätzlich auf ein aktuelles Gutachten vom 15.November 2021 zurück, das die Datenschutzkonferenz – DSK (das Gremium der Datenschutzaufsichtsbehörden des Bundes und der Länder in Deutschland) in Auftrag gegeben hatte.
Herrscht ein angemessenes Datenschutzniveau nicht vor, müssen Datenexporteur und Datenimporteur „zusätzliche Maßnahmen“ vereinbaren und ergreifen, um ein angemessenes Niveau für den Schutz der personenbezogenen Daten sicherzustellen. Die aktuelle Version der Standarddatenschutzklauseln von 2021 sieht dieses Vorgehen nunmehr ausdrücklich so vor. Auf einen Beitrag in diesem Blog wird verwiesen. Zwischenzeitlich hat der Europäische Datenschutz Ausschutz (EDSA) zum Thema ausführliche „Empfehlungen 01/2020 zu Maßnahmen zur Ergänzung von Übermittlungstools zur Gewährleistung des unionsrechtlichen Schutzniveaus für personenbezogene Daten“ (letzte bearbeitete Version 18.Juni 2021) veröffentlicht.
Die von Google LLC, USA, getroffenen zusätzlichen Maßnahmen waren in sämtlichen 3 zu untersuchenden Fällen nicht ausreichend.
Insbesondere konnte Google mit dem Verweis auf von ihr angewendete Verschlüsselungstechnologien nicht durchdringen. Solange der US – Datenimporteur– und nicht der EU – Exporteur – im Besitz des kryptografischen Schlüssels ist, besteht die Möglichkeit, dass er selbst diesen verwendet bzw. an Sicherheitsdienste der USA herausgibt (weil er hierzu nach US-Gesetzen verpflichtet werden kann) und er selbst bzw. die Dienste die personenbezogenen Daten des Datenexporteurs im Klartext einsehen. Unter Berufung auf die Ausführungen des EDSA in den o.g. Empfehlungen qualifizierten DSB und CNIL eine Verschlüsselung durch den Datenimporteur im unsicheren Drittland, der selbst im Besitz des Schlüssels blieb, als unzureichende technische Maßnahme.
Nicht effektiv ist nach Auffassung der DSB in ihrer 2. Entscheidung auch die IP-Anonymisierungsfunktion von Google.
Für eine gewisse Zeit werden die IP-Adressen der Nutzer in voller Länge und unmaskiert verarbeitet. In diesem Zeitraum könnten Sie von Unbefugten abgegriffen werden. Auch eine mögliche Verarbeitung der IP-Adressen nur auf Servern auf dem Boden des EWR wäre als zusätzliche Maßnahme nicht ausreichend. Denn US-Nachrichtendienste können seit dem Cloud Act von US-Unternehmen den Zugriff hierauf beanspruchen. Im Übrigen ist die IP-Adresse der Nutzer „nur eines von vielen Puzzleteilen des digitalen Fußabdrucks“ der Nutzer, die die Zuordnung von Informationen zu einem Endgerät und die Identifizierbarkeit der Nutzer ermöglichen.
Auch die CNIL hielt die IP-Anonymisierungsfunktion als zusätzliche Maßnahme für nicht relevant. Sie begründet dies damit, dass aus den Einlassungen Google´s nicht klargeworden sei, ob die Anonymisierung vor der Übermittlung stattfinde oder die IP-Adressen noch ungekürzt in die USA übermittelt werden. Somit bleibe ein Risiko für den beschwerdeführenden Website-Nutzer.
Kapitel V DSGVO (Übermittlung personenbezogener Daten an Drittländer …) kennt keinen risikobasierten Ansatz.
Der risikobasierte Ansatz verlangt eine Mindestanpassung der Qualität der Maßnahmen, die zum Schutz der personenbezogenen Daten zu treffen sind, an das jeweilige Verarbeitungsrisiko. Hat es z.B. in der Vergangenheit bei dem in Frage stehenden Unternehmen keine Anfragen US-amerikanischer Nachrichtendienste auf Herausgabe personenbezogener Daten von EU-Bürgern gegeben und sind die auch für die Zukunft eher nicht zu besorgen (eines von mehreren Kriterien, die sich zur Ermittlung des Verarbeitungsrisikos heranziehen ließen; wird nicht näher ausgeführt), ist das Mindestniveau der Maßnahmen zum Schutz der Daten geringer als bei einem Unternehmen im ständigen Griff der US-Dienste. Diese Auffassung wird in der Fachliteratur vielfach vertreten. Die DSB lehnte diese Rechtsauffassung im Fall 2022 ab (D.4 Spruchpunkt 2.c, sub b), S.40 – 43).
Sowohl die CNIL als auch die DSB beschieden, dass der Einsatz von Google Analytics mangels ausreichender zusätzlicher Maßnahmen zum Schutz der personenbezogenen Daten bei der Übermittlung in die USA bzw. dem Auslesen aus den USA rechtswidrig war.
Art. 49 DSGVO – Ausnahmetatbestände, die die Übermittlung personenbezogener Daten in datenschutzrechtlich unsichere Drittländer gestatten – war in sämtlichen 3 Fällen ebenso wenig erfüllt. Weder haben die Besucher der Websites jeweils ihre Einwilligung in die grenzüberschreitende Datenübermittlung gegeben, die den Anforderungen von Art 49 Abs. (1) lit. a) DSGVO genügt hätte, noch liegt einer der weiteren Tatbestände des Art. 49 DSGVO vor.
Ableitungen
Die kurz vorgestellten Bescheide sind die ersten bekanntgewordenen Entscheidungen europäischer Datenschutzbehörden in 27 europäischen Ländern, bei denen die Bürgerrechtsorganisation NOYB – Europäisches Zentrum für digitale Rechte, deren maßgeblicher Treiber der Datenschutzaktivist Max Schrems ist, 101 Datenschutz-Beschwerden eingereicht hat. Der EDSA hat auch zum Zweck der Abstimmung der nationalen Datenschutzbehörden eine Task Force etabliert. Es ist also nicht davon auszugehen, dass die CNIL und die DSB einsame Entscheidungen getroffen haben. Dass Entscheidungen weiterer Datenschutzbehörden zum selben Thema ebenso streng ausfallen, ist eher anzunehmen.
Ob die Bescheide der Datenschutzaufsichtsbehörden aus Österreich und Frankreich vor den Gerichten Bestand haben werden, bleibt abzuwarten. Unangreifbar scheinen sie nicht. In der Fachliteratur ist kritisiert worden, dass eine von Google zugewiesene Identifikationsnummer allein bereits eine personenbezogene Information sein soll. Es ist auch nicht ausgemacht, dass sich der verantwortliche Betreiber einer Webseite zurechnen lassen muss, dass Google in der Lage sei, mit den ihr zur Verfügung stehenden Mitteln Website-Besucher jeweils zu identifizieren. Noch weiter geht die Österreichische DSB: Der Website-Betreiber müsse sich zurechnen lassen, dass US-Nachrichtendienste diese Möglichkeiten haben. Sind daher für Google bzw. die US-Dienste Informationen personenbezogene Daten, so seien sie es auch für andere – auch wenn diese selbst keinen Zugriff auf diese personenbezogenen Daten bzw. einen Anspruch auf Herausgabe haben. Dass sich ein derart weites absolutes Verständnis des Rechtsbegriffs der personenbezogenen Daten durchsetzt, ist nicht zwingend zu erwarten. Der EuGH selbst hat mit Blick auf die Qualifizierung dynamischer IP-Adressen entschieden, dass ein Website-Betreiber den Personenbezug zum Besucher seiner Website herstellen kann, wenn er rechtliche Mittel hat, Daten, die eine Identifikation ermöglichen, vom Internetzugangsanbieter herauszuverlangen. Der EuGH stützt also den Rechtssatz, dass die Mittel zur Schaffung des Bezugs zwischen Information und Website-Besucher bei einer dritten Stelle vorhanden sein können. Der für den Betrieb der Website datenschutzrechtlich Verantwortliche hat im Regelfall allerdings keinen Anspruch auf Herausgabe solcher Informationen gegenüber Google. Insbesondere hat er keinen Anspruch auf Herausgabe solcher Daten gegenüber fremden Nachrichtendiensten. Es bleibt abzuwarten, ob die Rechtsprechung dem Website-Betreiber zukünftig datenschutzrechtlich Wissen und Mittel von Google und anderen Unternehmern, die Tracking-Mechanismen zur Verfügung stellen, zurechnet – etwa mit der Begründung, der Websitebetreiber habe diese Unternehmen im Sinne einer conditio sine qua non erst in die Lage versetzt, Daten seiner Website-Besucher zu sammeln, bzw. mit Hinweis darauf, dass die fraglichen Tracking-Unternehmen Auftragsverarbeiter des Verantwortlichen sind.
Dennoch: Entscheidungen und Empfehlungen der Datenschutzbehörden und – gremien formen die Praxis des Datenschutzrechts. Es ist daher empfehlenswert, den Gebrauch von Google-Analytics und ähnlicher Services einzustellen und auf datenschutzrechtlich weniger invasive Mechanismen zurückzugreifen.
Datenschutz / Google / grenzüberschreitende Datenübermittlung