"Google Analytics vielleicht bald verboten", warnt niederländisches Amt
Auf EU-Webseiten ist Google Analytics unzulässig, hat Österreichs Datenschutzbehörde festgestellt. In den Niederlanden laufen zwei Verfahren zum selben Thema.
(Bild: Daniel AJ Sokolov)
Das juristische Fundament des Statistikdienstes Google Analytics gerät EU-weit ins Wanken. Nachdem die österreichische Datenschutzbehörde festgestellt hat, dass der Einsatz Google Analytics' auf Webseiten in der Europäischen Union nicht mit der Datenschutz-Grundverordnung (DSGVO) vereinbar ist, warnt nun auch die niederländische Behörde für persönliche Daten (AP): "Bitte beachten: Die Verwendung Google Analytics' ist möglicherweise bald nicht mehr erlaubt".
Am Donnerstag hat die niederländische Behörde ihre eigene Anleitung zur "datenschutzfreundlichen Einrichtung Google Analytics'" entsprechend aktualisiert. Die AP informiert über die Entscheidung der Datenschutzbehörde Österreichs vom 22. Dezember 2021 (GZ D155.027, 2021-0.586.257), wonach Google Analytics gegen die DSGVO verstößt. Gleichzeitig gibt die AP bekannt, dass sie selbst zwei Beschwerden über die Verwendung Google Analytics' in den Niederlanden untersucht.
Diese Untersuchung möchte die AP in naher Zukunft, nämlich "Anfang 2022", abschließen. Dann werde sie "sagen können, ob Google Analytics erlaubt ist oder nicht." Die 2018 veröffentlichte Anleitung hat die AP bis dato nicht zurückgezogen, aber eben mit dem Warnhinweis versehen, dass Googles Statistikdienst bald als illegal erkannt werden könnte.
Österreichs Verfahren schwappt nach Bayern über
Eine deutsche Aufsichtsbehörde muss sich unterdessen mit dem Ergebnis der österreichischen Entscheidung befassen: Die Österreicher haben den bayerischen Landesbeauftragten für den Datenschutz ersucht zu entscheiden, ob die verfahrensgegenständliche Webseite eingestellt werden muss.
Das kommt so: Anlass für das österreichische Verfahren war die Beschwerde eines Google-Nutzers, der am 14. August 2020 eine österreichische Webseite zum Thema Gesundheit aufgerufen hatte. Da diese Webseite Google Analytics nutzt, wurden Daten über den Nutzer an Google übermittelt, aus denen Google auf ihn zurückschließen könnte. Am 18. August 2020 beschwerte sich der betroffene Nutzer mithilfe der Datenschutzorganisation NOYB bei der österreichischen Datenschutzbehörde.
Während des bereits laufenden Verfahrens wurde die gegenständliche Webseite an eine Münchner Firma übertragen. Österreichs Datenschutzbehörde ist zuständig, über die Datenübermittlungen im August 2020 zu entscheiden. Für die Entscheidung darüber, ob die Webseite jetzt, im Jahr 2021, wegen rechtswidrigen Verhaltens eingestellt werden muss, erachtet sich die österreichische Datenschutzbehörde jedoch nicht mehr für zuständig. Da die Webseite jetzt von einem Münchner Verlag betrieben wird, sei die dort zuständige Aufsichtsbehörde berufen.
Google verstößt nicht, außer vielleicht doch
Der betroffene Nutzer hat sich nicht nur über den Betreiber der Webseite beschwert, sondern auch über den Betreiber Google Analytics' selbst, also über Google. Dazu hat die österreichische Datenschutzbehörde festgestellt, dass Google nicht gegen Artikel 44 der DSGVO verstoßen hat, weil sich dieser auf die Offenlegung personenbezogener Daten bezieht. Zwar habe der Webseitenbetreiber personenbezogene Daten gegenüber Google offengelegt, Google selbst habe die Daten, soweit bekannt, aber keinem Dritten offengelegt.
Also habe Google nicht gegen Artikel 44 verstoßen. Allerdings handelt es sich ausdrücklich nur um einen Teilbescheid. Die österreichische Datenschutzbehörde prüft noch, ob Google mit Google Analytics gegen andere Bestimmungen der DSGVO verstößt.
Warum Google Analytics nicht eingesetzt werden darf
Laut Bescheid der österreichischen Datenschutzbehörde war die Verwendung Google Analytics' auf der Webseite rechtswidrig, weil der Dienst personenbezogene Daten erhoben und an Google übertragen hat. Google unterliegt nach US-Recht der Überwachung durch US-Geheimdienste. Damit kann Google kein angemessenes Schutzniveau nach Artikel 44 DSGVO bieten. Die vom Webseitenbetreiber ins Treffen geführten Standardvertragsklauseln helfen nicht, wie 2020 der Europäische Gerichtshof (EuGH) in seiner Entscheidung zum "Privacy Shield" (Schrems II) erkannt hat.
Entscheidend für die rechtliche Beurteilung der Verwendung Google Analytics' ist nicht, ob sich tatsächlich ein US-Geheimdienst die Daten besorgt hat, oder ob Google die Identität des Nutzers tatsächlich eruiert hat, sondern dass das möglich wäre. Zwar können Google-Nutzer in ihren Google-Konten eine Einstellung vornehmen, mit der sie sich verbitten, dass Google ihre Nutzung von Webseiten Dritter detailliert auswertet. Doch ist das gerade Beweis dafür, dass Google grundsätzlich in der Lage ist, die Nutzungsdaten mit der Person zusammenzuführen – andernfalls wäre diese Einstellungsmöglichkeit sinnlos.
Die Entscheidung des EuGH aus dem Jahr 2020 erklärt auch die aktuelle Warnung der niederländischen Behörde. Ihre Anleitung zur "datenschutzfreundlichen Einrichtung Google Analytics'" stammt aus dem August 2018; das war knapp zwei Jahre, bevor der EuGH die EU-US-Datenschutzvereinbarung "Privacy Shield" gekippt hat. Diese Entscheidung ist einer der bislang größten Erfolge der Datenschutzorganisation NOYB.
- Teilbescheid der österr. Datenschutzbehörde GZ. D155.027 vom 22. Dezember 2021
(ds)