Ist die Nutzung von Google Analytics in der EU ab sofort illegal?

In den letzten Tagen und Wochen kursierten diverse Artikel durch die Medien, die besagen, dass die Nutzung von Google Analytics „laut Behörde illegal“ sei bzw. „gegen die Datenschutzgrundverordnung („DSGVO“) verstoße“. Doch was steckt tatsächlich dahinter? Ist die Verwendung von Google Analytics in der EU ab sofort wahrlich unzulässig?

Tatsächlich hat der Datenschutz-Verein „NOYB“ mehr als 100 (Muster-)Beschwerden in fast allen EU-Mitgliedstaaten eingebracht, wobei sich auch die österreichische Datenschutzbehörde („DSB“) sowie die französische Datenschutzbehörde („CNIL“) im Rahmen zweier solcher Beschwerden mit der Vereinbarkeit von Google Analytics und der DSGVO auseinandergesetzt haben. Im Rahmen dessen haben die DSB mit – noch nicht rechtskräftigem – Bescheid vom 13.01.2022 sowie die CNIL am 10.02.2022 entschieden, dass Webseiten-Betreiber Google Analytics nicht im Einklang mit der DSGVO nutzen können. Die niederländische Datenschutzbehörde hat angekündigt, dass von ihr voraussichtlich eine ähnliche Entscheidung zu erwarten sein wird. Hier finden Sie die entsprechenden Presseaussendungen der DSB und der CNIL samt weiterführenden Links.

Bevor wir die Entscheidungen im Einzelnen betrachten, zum besseren Verständnis zunächst ein Überblick zum Wesen von Google Analytics und seine Funktionsweise:

1. Was ist Google Analytics und wie funktioniert es?

Google Analytics ist ein „Trackingtool“ des US-Konzerns Google LLC („Google“), mit Hilfe dessen das Nutzungsverhalten von Webseitenbesuchern analysiert wird. Es gehört zu den am weitesten verbreiteten Tools dieser Art, welches die Herkunft von Webseitenbesuchern, deren Verweildauer auf diversen Webseiten sowie die Nutzung von Suchmaschinen analysiert. Es wird von einer Vielzahl von Webseitenbetreibern (insbesondere auch in der EU) genutzt, um die von ihnen angebotenen Dienste und Inhalte an das Besucherverhalten anpassen und gezielte Werbungen schalten zu können.

Dabei wird dem Browser eines Besuchers bei Aufruf einer Webseite eine (Online-) Kennnummer zugewiesen, die auch mit anderen Browserdaten oder der IP-Adresse des Webseitenbesuchers kombiniert werden kann, wodurch ein individueller „digitaler Fußabdruck“ dieser Person entsteht. Erst dieser ermöglicht es, einen Webseitenbesucher von anderen zu unterscheiden und beispielsweise auch herauszufinden, ob es sich um einen neuen oder einen wiederkehrenden Besucher handelt. Dieser „digitale Fußabdruck“ wird in weiterer Folge auch an die Google Analytics Server in den USA übermittelt.

Zusätzlich werden Daten über den Besuch der Webseite abgerufen und an den Google Analytics Server übermittelt. Diese Daten und Informationen, sie stammen beispielsweise aus der http-Anfrage des Besuchers (Hostname, Browsertyp, Referrer und Sprache) und aus detaillierten System- und Browserinformationen (zB Java und Flash Unterstützung sowie Bildschirmauflösung), werden von Google Analytics weiterverarbeitet und auch genutzt, um (First-Party-) Cookies auf dem Browser des Webseitenbesuchers zu lesen und zu setzen. Diese ermöglichen es in weiterer Folge, den Besuch zu messen und aus den Informationen Berichte zu generieren, welche der Webseitenbetreiber schließlich über sein Google Analytics Konto abrufen kann.

Ist der Besucher bei Aufruf der Webseite zusätzlich in seinem Google-Konto eingeloggt, hat Google darüber hinaus die Möglichkeit, herauszufinden, dass ein bestimmter Google-Konto-Nutzer eine bestimmte Webseite zu einem bestimmten Zeitpunkt besucht hat.

2. Die Entscheidungen der DSB und der CNIL im konkreten Fall:

Die DSB und die CNIL hatten nunmehr aufgrund der erwähnten Beschwerden darüber zu entscheiden, ob für die – aufgrund der Nutzung von Google Analytics erfolgte – Übermittlung von Daten des Webseitenbesuchers im konkreten Fall an die Server von Google in den USA ein angemessenes Schutzniveau iSd Art 44. DSGVO gewährleistet wird. In diesem Zusammenhang mussten die Behörden vorab jedoch darüber entscheiden, ob es sich bei den übermittelten Daten des Webseitenbesuchers um personenbezogene Daten handelte und die DSGVO demnach überhaupt anwendbar ist.

Dies haben die Behörden mit der Begründung bejaht, es konnte festgestellt werden, dass die eingesetzten und auf dem Endgerät des Webseitenbesuchers abgelegten Cookies einzigartige Google Analytics Kennnummern enthielten, anhand derer der konkrete Benutzer vom Webseitenbetreiber und Google individualisiert werden kann. Es komme nicht darauf an, ob eine Identifizierung in weiterer Folge auch tatsächlich erfolgt, umso mehr, zumal der Webseitenbesucher im konkreten Fall bei Aufruf der Webseite zusätzlich in seinem Google-Konto eingeloggt war.

Darüber hinaus haben die Behörden in ihren Entscheidungen betont, dass die Tatsache, die oben angeführten Kennnummern mit weiteren Elementen (zB Browserdaten oder IP-Adresse) kombinieren zu können, den „digitalen Fußabdruck“ eines konkreten Webseitenbesuchers noch einzigartiger macht und seine Identifizierbarkeit erleichtert. Demnach sei sowohl dem Webseitenbetreiber, als auch Google die Identifizierung des Webseitenbesuchers möglich.

Die besondere Relevanz dieser Entscheidungen ist jedoch nicht darin gelegen, dass ein Webseitenbetreiber oder Google die Möglichkeit haben, Webseitenbesucher aufgrund der Nutzung von Google Analytics zu identifizieren. Vielmehr geht es um die entsprechende Möglichkeit von US-Behörden und insbesondere US-Nachrichtendiensten aufgrund der geltenden Rechtslage in den USA.

Wenig überraschend ist, dass Google ein US-„Anbieter von elektronischen Kommunikationsdiensten“ ist. Womöglich nicht allgemein bekannt, ist hingegen, dass auf derartige Anbieter (nicht aber auf sonstige US-Konzerne, die eben keine Telekommunikations- und/oder Internetdienste anbieten) die geltenden US-Überwachungsgesetze anwendbar sind, die dazu führen können, dass personenbezogene Daten von Betroffenen aus der EU insbesondere gegenüber US-Nachrichtendienste offengelegt werden können bzw. müssen. In diesem Zusammenhang haben die Behörden auch festgestellt, dass derartige US-Dienste gerade gewisse Online-Kennungen (zB IP-Adresse oder einzigartige Kennnummern) als Ausgangspunkt für die Überwachung von natürlichen Einzelpersonen nehmen und es sich dabei nicht um eine rein theoretische Gefahr handelt, sondern gerade aus diesem Grund letztlich auch der EU-US-Angemessenheitsbeschluss („Privacy Shield“) für ungültig erklärt wurde.

In den konkreten Fällen haben der Webseitenbetreiber und Google Standardschutzklauseln abgeschlossen, welche jedoch Behörden in Drittstatten – und damit insbesondere auch US-Nachrichtendienste – aufgrund ihres vertraglichen Charakters nicht binden können. Deswegen hat der EuGH bereits in seiner Entscheidung C-311/18 („Schrems II“) ausgesprochen, dass zusätzliche Maßnahmen zur Gewährleistung eines angemessenen Schutzniveaus iSd DSGVO erforderlich sein können, und gerade in Ländern wie der USA – aufgrund der dortigen Rechtslage – Standardschutzklauseln für sich alleine nicht ausreichend sind, zumal diese eine Offenlegung der Daten von Webseitenbesuchern an US-Behörden bzw. US-Nachrichtendienste nicht verhindern können.

Diese Entscheidung des EuGH aus dem Jahr 2020 veranlasste Google und den Webseitenbetreiber auch in den gegenständlichen Fällen dazu, zusätzliche Maßnahmen zu implementieren. Konkret wurden folgende zusätzliche Maßnahmen getroffen:

• Benachrichtigung der betroffenen Person über Datenanfragen (sofern im Einzelfall zulässig),
• Veröffentlichung eines Transparenzberichts durch Google, im Rahmen dessen derartige Datenanfragen offengelegt werden,
• Einführung einer „Richtlinie für den Umgang mit Regierungsanfragen“ bei Google,
• Sorgfältige Prüfung jeder Datenzugriffsanfrage durch Google,
• Schutz der Kommunikation zwischen Google-Diensten,
• Schutz von Daten im Transit zwischen Rechenzentren,
• Schutz der Kommunikation zwischen Nutzern und Webseiten,
• „On-Site-Security“,
• Diverse Verschlüsselungstechnologien (zB Verschlüsselung von „Daten im Ruhezustand“),
• „Pseudonymisierung“ von Daten;

Bei der Beurteilung dieser zusätzlich getroffenen Maßnahmen verweist insbesondere die DSB in ihrer Entscheidung auf die Empfehlungen des Europäischen Datenschutzausschusses („EDSA“), welche besagen, dass es sich dabei um eine Kombination von vertraglichen mit technischen und/oder organisatorischen Maßnahmen handeln muss, die insgesamt sicherstellen, dass der Zugang von Behörden in Drittsaaten zu den übermittelten Daten, die Effektivität der nach der DSGVO geforderten „geeigneten Garantien“ (Art 46) nicht untergräbt. In anderen Worten sind derartige Maßnahmen laut EDSA also nur dann effektiv, wenn sie genau die bestehenden Rechtsschutzlücken schließen und demnach die Zugriffs- und Überwachungsmöglichkeiten von US-Behörden bzw. US-Nachrichtendiensten verhindern.

Nach Auffassung der Behörden waren die oben angeführten in den konkreten Fällen getroffenen zusätzlichen Maßnahmen aber gerade nicht ausreichend bzw. effektiv, da auch mit diesen nicht verhindert (oder eingeschränkt) werden kann, dass US-Nachrichtendienste auf die Daten zugreifen können. Deswegen konnte auch durch diese kein angemessenes Schutzniveau iSd Art 44 DSGVO gewährleistet werden.

Ergänzend setzte sich die DSB in aller Kürze auch mit der von Google Analytics angebotenen IP-Adressen-Anonymisierungsfunktion auseinander (auch wenn diese im von der DSB behandelten Beschwerdeverfahren nicht korrekt implementiert und daher irrelevant war). Dennoch hat die DSB ausgesprochen, dass diese ohnehin keine effektive zusätzliche Maßnahme darstellt, zumal die IP-Adresse „nur eines von vielen Puzzleteilen des digitalen Fußabdrucks“ eines Webseitenbesuchers ist, als solche aber – und dies entspricht auch der Auffassung der anderen europäischen Datenschutzbehörden – jedenfalls ein personenbezogenes Datum darstellt.

Für die Übermittlung der Daten des Webseitenbesuchers an die Google Analytics Server in den USA wurde demzufolge nach Ansicht der Behörden kein angemessenes Schutzniveau durch Instrumente iSd Kapitel V der DSGVO gewährleistet.

3. Zusammenfassung und Konsequenzen:

Im Ergebnis haben die Behörden also ausgesprochen, dass

• die allgemeinen Grundsätze der Datenübermittlung – konkret Art 44 DSGVO, der die Übermittlung personenbezogener Daten an ein Drittland regelt – durch die Nutzung von Google Analytics verletzt werden, da
• die Standardschutzklauseln, die zwischen Google und dem Webseitenbetreiber abgeschlossen wurden, kein angemessenes Schutzniveau bieten und
• auch die zusätzlich zu den Standardschutzklauseln getroffenen Maßnahmen die Überwachungs- und Zugriffsmöglichkeiten von US-Behörden bzw. US-Nachrichtendiensten nicht verhindern oder einschränken.

Trotz Allem ist die Nutzung von Google Analytics allein aufgrund der nunmehr ergangenen Entscheidungen im Anwendungsbereich der DSGVO nicht per se „illegal“. An sich ist es möglich, dass Google und die Webseitenbetreiber zusätzliche Maßnahmen setzen, welche Art 44 DSGVO entsprechen und damit auch die Übermittlung legal ermöglichen würden. In der Praxis ist es aber zweifelhaft, ob und wenn ja, wann dies überhaupt möglich wäre.

Zudem haben die Behörden – insbesondere die CNIL – bereits betont, das genannte EuGH-Urteil „Schrems II“ (mit welchem das Privacy Shield aufgehoben wurde) auch weiterhin durchzusetzen und in diesem Zusammenhang eine EU-weite Koordination der Datenschutzbehörden – und damit derer Entscheidungen in diesem Zusammenhang – anzustreben.

Es bleibt daher derzeit zwar grundsätzlich abzuwarten, wie die Behörden der übrigen EU-Mitgliedstaaten über ähnliche Beschwerden entscheiden. Es wäre jedoch sehr verwunderlich, wenn diese die Rechtslage anders beurteilen würden, als es die DSB und die CNIL bereits getan haben. Vielmehr ist daher davon auszugehen, dass die beiden genannten Entscheidungen erst den Anfang einer Reihe EU-weit gleichlautender Entscheidung darstellen.

Ferner hat die CNIL in Frankreich bereits jetzt andere Webseitenbetreiber dazu aufgefordert, die Nutzung von Google Analytics rechtskonform zu gestalten oder einzustellen, falls DSGVO-Konformität nicht hergestellt werden kann.

Zwar sind gegen die Entscheidungen Rechtsmittel möglich und es ist wahrscheinlich, dass bis zu einer rechtskräftigen Entscheidung noch einige Zeit vergehen wird. Dennoch sollten Unternehmen sich angesichts der Dimensionen bereits jetzt mit möglichen Lösungen befassen.

Jedenfalls sind Webseitenbetreiber, die der DSGVO unterliegen und Google Analytics (oder ähnliche Tools anderer (US-)Anbieter, die (US-)Überwachungsgesetzen unterliegen) nutzen, nun dazu angehalten, zu überprüfen, ob die dahinterstehenden Schutzmaßnahmen ein angemessenes Schutzniveau gewährleisten und die Art- und Weise der Nutzung dieser Dienste demnach rechtmäßig ist oder womöglich eine nicht DSGVO-konforme Nutzung dieser Tools erfolgt. Letzteres würde dazu führen, dass EU-Unternehmen keine Daten mehr an die Server dieser Anbieter (in den USA) übermitteln dürfen.

4. Nutzung von Webanalyse-Tools in der Zukunft:

In Zukunft ist in jedem Fall besondere Vorsicht geboten. Dies umso mehr bei internationalen Webseitenbetreibern.

Der theoretisch einfachste Weg, die Nutzung von Google Analytics rechtskonform auszugestalten, wäre die Implementierung weiterer bzw. anderer zusätzlicher Maßnahmen, durch welche die angeführten Rechtsschutzlücken bei Datenübermittlung in die USA geschlossen werden können. Das scheint derzeit aber, zumindest kurzfristig, wenig wahrscheinlich.

Sollte Rechtskonformität bei der Nutzung von Google Analytics nicht geschaffen werden können, wovon derzeit eher auszugehen ist, empfehlen die Datenschutzbehörden zum Messen und Analysieren der Besucherzahlen einer Webseite Dienste, die mit anonymen, statistischen Daten arbeiten. In der Praxis ist dazu aber zu beachten, dass völlige Anonymität insoweit kaum realisierbar erscheint, als einerseits schon allein IP-Adressen von den Behörden als personenbezogene Daten qualifiziert werden. Andererseits fehlen ohne zumindest indirekt personenbezogene Daten oft sichtige Analyseinformationen.

Daher ist die probateste – in der Praxis derzeit umsetzbare – Lösung in Bezug auf derartige Webanalyse Tools (und möglicherweise auch anderen Tools, die von Anbietern elektronischer Kommunikationsdienste angeboten werden) nach anderen in der EU oder in „sicheren Drittstaaten“ (zB Großbritannien) ansässigen Anbietern zu suchen.

Soweit Google Analytics genutzt wird, ist zum jetzigen Zeitpunkt aber jedenfalls davon auszugehen, dass die Nutzung derzeit nicht rechtskonform möglich und demnach einzustellen ist.

Verfasst von Alexandra Prodan.

Für Fragen und Unterstützung wenden Sie sich an Árpád Geréd und Alexandra Prodan.

Stand: 17.02.2022

Disclaimer: Dieser Beitrag wurde sorgfältig recherchiert und erstellt, hat jedoch nur informativen Charakter und ersetzt in keinem Fall eine Rechtsberatung. Die Haftung für Richtigkeit und Vollständigkeit wird ausgeschlossen.