zurück zur Übersicht

Beitrag speichern

Google Analytics – Haftungsrisiko für Unternehmen?

Google Analytics – Haftungsrisiko für Unternehmen?

23. Februar 2022

|

7 Min. Lesezeit

|

News-Management & Wissen

In turbulenten Zeiten schaffen es datenschutzrechtliche Schlagzeilen nur selten auf die Titelseiten der Tageszeitungen – ein prominentes Thema hat jedoch in den letzten Wochen für Unsicherheit gesorgt: Ist aufgrund einer datenschutzrechtlichen Entscheidung der österreichischen Datenschutzbehörde die Verwendung von Google Analytics als Statistik- und Marketingtool noch zulässig?

Kerstin Quirchtmayr

Redakteur/in: Kerstin Quirchtmayr - Veröffentlicht am 23.02.2022

Von Mag. Philipp Summereder, Summereder Pichler Wächter Rechtsanwälte GmbH

In eingangs angeführter Entscheidung der Datenschutzbehörde (GZ D155.027, 2021–0.586.257) wurde ein Unternehmen, das auf seiner Website Google Analytics verwendet hat, wegen eines Verstoßes gegen die Datenschutzbestimmungen der Datenschutz-Grundverordnung (DSGVO), insb. wg. der Verarbeitung der Daten in einem Drittstaat, den USA, (noch nicht rechtskräftig) verurteilt.

Doch vor welchem Hintergrund erfolgte die Verurteilung?

Nahezu jedes Unternehmen, das eine Website betreibt, verwendet zur Messung des Nutzerverhaltens und möglicherweise zum zielgerichteten Werben Analyse- und Marketing-Tools, die auf der „Cookie – Technologie“ aufbauen, also auf Dateien, die im Browser des Website-Besuchers gespeichert werden und in weiterer Folge Informationen an den Website-Betreiber oder wie bei Google Analytics auch an Dritte in die USA übermitteln.

Die Grundproblematik dahinter ist jedoch, dass gem. Art. 44 der europaweit gültigen DSGVO eine Übermittlung personenbezogener Daten an Drittstaaten wie die USA nur dann zulässig ist, wenn die dafür erforderlichen Voraussetzungen der DSGVO erfüllt sind.

Daten könnten etwa aufgrund eines Angemessenheitsbeschlusses (zB. Kanada, Schweiz, u.a.), aufgrund „geeigneter Garantien“ wie etwa die Verwendung der Standarddatenschutzklauseln oder aufgrund sonstiger Ausnahmebestimmungen übermittelt werden. Ein Angemessenheitsbeschluss für die USA liegt nicht vor, die zwischen den Vereinigten Staaten und Europa vereinbarten Ausnahmen (zuvor „Safe Harbor“, danach „Privacy Shield“) wurden durch die Entscheidungen des EuGH aufgehoben.

Im Rahmen der „Schrems II“ Entscheidung des EuGH wurde zuletzt klargestellt, dass ein Drittlandverkehr in die USA infolge der US-amerikanischen Gesetzgebung Verstöße gegen die Privatsphäre ermöglicht. Dies insbesondere aufgrund gesetzlicher Möglichkeiten amerikanischer Behörden (z.B. „FISA 0702“), Daten zu überwachen und Datenzugriffe durchzuführen. FISA 0702 berechtigt beispielsweise Behörden, selbst bei großen Kommunikationsdiensten, verarbeitete personenbezogene Daten von nicht US-amerikanischen Bürgern ohne relevante Kontrolle einzusehen. Der entsprechende Rahmen ist sehr weit gefasst und erlaubt bspw. auch die Überwachung für allgemein formulierte Zwecke, wie „Informationen, die sich auf die Führung der auswärtigen Angelegenheit der Vereinigten Staaten beziehen“.

Nach dieser Entscheidung des EuGH gab es zuletzt im Sommer 2020 den allgemeinen Tenor, dass durch die Anwendung von sogenannten Standarddatenschutzklauseln der EU-Kommission ein rechtssicherer Transfer in Drittstaaten ermöglicht werden kann – doch das hat nunmehr die österreichische Datenschutzbehörde in Frage gestellt.

Gemäß ihrem nunmehr ergangenen Bescheid wären nämlich zusätzliche technische und organisatorische Maßnahmen erforderlich, um einen Zugriff von US-Behörden auf personenbezogene Daten wirklich auszuschließen. Das ist jedoch derzeit schlicht nicht (ohne Risiko) möglich, was sich aus der technischen Gestaltung von Google Analytics ergibt. Selbst die von Google angebotene Verschlüsselung erfolgt nämlich erst in den USA, weswegen bereits vor der Verschlüsselung ein Transfer personenbezogener Daten ins Drittland erfolgt und somit auch eine Zugriffsmöglichkeit durch lokale Behörden möglich ist.

Die Frage, ob Google Analytics unter diesen Prämissen überhaupt noch rechtskonform verwendet werden kann, ist daher mehr als berechtigt. Als einziger „Ausweg“ bietet sich an, auf die Bestimmungen des Art. 49 DSGVO zurückzugreifen, die auszugsweise wie folgt lauten:

Bestimmungen des Art. 49 DSGVO

(1) Falls weder ein angemessener Beschluss nach Art. 45 Abs (3) vorliegt, noch geeignete Garantien nach Art. 46, einschließlich verbindlicher interner Datenschutzvorschriften, bestehen, ist eine Übermittlung oder eine Reihe von Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation nur unter einer der folgenden Bedingungen zulässig:

a) die betroffene Person hat in die vorgeschlagene Datenübermittlung ausdrücklich eingewilligt, nachdem sie über die für sie bestehenden möglichen Risiken derartiger Datenübermittlungen ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien unterrichtet wurde,

Bedeutung des Art. 49 DSGVO

Dies bedeutet, dass mit Zustimmung der betroffenen Person, die ohnehin bereits für die Speicherung von Cookies an sich eingeholt werden muss, eine Datenübertragung auch an Google in die USA gerechtfertigt werden könnte. Der Haken an dieser Argumentation ist jedoch, dass laut der DSGVO an die Einwilligung strenge Bedingungen geknüpft sind.

Es stellen sich demgemäß für die Praxis zwei Herausforderungen; zum einen ist eine „Standardeinwilligung“, die etwa über einen Cookie-Banner oder ein vergleichbares Tool eingeholt wird, nur schwer so zu formulieren, dass sie den Anforderungen „in informierter Weise und unmissverständlich“ eine Aufklärung über gefährliche Datenverarbeitung in Drittländern sicherzustellen, gerecht wird. Zum anderen ist es so, dass eine Einwilligung auch so gestaltet werden muss, dass diese jederzeit widerrufen werden kann.

Ist dies nicht der Fall, verletzt man bei Verwendung von Google Analytics die Rechte der Betroffenen – was zu Ermittlungen der Datenschutzbehörde samt entsprechender Strafen gegen den Verantwortlichen, aber auch zu zivilrechtlichen Forderungen führen kann. Erste diesbezügliche Entscheidungen wurden bereits getroffen – so wurde bspw. einem Kläger vor einem Münchner Gericht ein symbolischer Schadenersatzbetrag („Schmerzengeld“) zugesprochen, weil seine Daten von einem Website-Betreiber durch Verwendung eines Google-Tools in den USA verarbeitet wurden.

Es ist nicht auszuschließen, dass Trittbrettfahrer auf diesen Zug aufspringen und versuchen könnten, von Unternehmen Schadenersatzbeträge zu fordern, die in Kenntnis der aktuellen Rechtsprechung weiterhin auf Google-Tools setzen.

Den gesamten Beitrag lesen Sie in der AssCompact März-Ausgabe!

Foto oben: Von Mag. Philipp Summereder, Summereder Pichler Wächter Rechtsanwälte GmbH

zurück zur Übersicht

Beitrag speichern

sharing is caring

Das könnte Sie auch interessieren


Ihnen gefällt dieser Beitrag?

Dann hinterlassen Sie uns einen Kommentar!

(Klicken um Kommentar zu verfassen)