Österreichische Datenschutzbehörde sieht Verstöße gegen die Datenschutz-Grundverordnung durch Google Analytics

veröffentlicht am 03.02.2022

Die Datenschutzbehörde hatte sich im Rahmen eines Verfahrens mit der Vereinbarkeit von Google Analytics und der Datenschutz-Grundverordnung (DSGVO) befasst. Dem Verfahren geht eine Musterbeschwerde des Vereins Noyb voraus. Noyb hatte zu dieser Frage Musterbeschwerden bei allen europäischen Datenschutzbehörden eingebracht.  

Was ist Google Analytics?

Google Analytics ist ein beliebtes Werkzeug, mit dem Betreiber einer Website, Analysen über das Nutzerverhalten ihrer Webseitenbesucher:innen erstellen können. Ruft ein:e Besucher:in eine Website auf, die Google Analytics verwendet, wird dem Browser des:der Besuchenden eine Google Analytics Kennnummer zugeordnet. Wird diese Kennnummer mit weiteren Informationen, z.B. mit der IP-Adresse oder anderen Browserdaten, kombiniert, entsteht ein digitaler Fußabdruck, der eindeutig Benutzer:innen zugeordnet werden kann. Damit kann Google Analytics Website-Besitzern auch Informationen darüber geben, wie sich Nutzer:innen auf ihrer Website bewegen, z. B. welche Seiten sie besuchen, zu welcher Tageszeit sie kommen und wie lange sie auf jeder Seite bleiben.

Verletzung allgemeiner Grundsätze der Datenübermittlung

Nach Ansicht von Datenschützer Max Schrems verstößt die Einbindung eines amerikanischen Webanalysedienstes auf europäischen Webseiten gegen die DSGVO. Sein Verein noyb brachte aus diesem Grund insgesamt 101 Musterbeschwerden bei nahezu allen europäischen Datenschutzbehörden ein. Nun liegt eine Entscheidung der österreichischen Datenschutzbehörde (DSB) vor. Die DSB hat anlässlich der Beschwerde gegen Google in einem Teilbescheid bestätigt, dass Website-Betreiber Google Analytics nicht in Einklang mit der DSGVO einsetzen können, ohne „die allgemeinen Grundsätze der Datenübermittlung gemäß Art. 44 DSGVO" zu verletzen.

Kein angemessenes Schutzniveau bei der Datenübermittlung in die USA

Im Beschwerdeverfahren stellte die DSB fest, dass der durch Google Analytics erhobene digitale Fußabdruck auch an die Server von Google LLC mit Sitz in den USA übermittelt wurden. Rechtsgrundlage für diese Übermittlung wurden die Standarddatenschutzklauseln angegeben. Diese wurden aber nach der Rechtsprechung des Europäischen Gerichtshof (Stichwort „Schrems II“ ) als unzulässig beurteilt, weil kein angemessenes Schutzniveau für die übermittelten personenbezogenen Daten, wie dies die Datenschutz-Grundverordnung fordert, gegeben war. Aus Sicht der Datenschutzbehörde waren die zusätzlich zu den Standarddatenschutzklauseln implementierten Maßnahmen nicht ausreichend, um die vom EuGH aufgezeigten Überwachungs- und Zugriffsmöglichkeiten durch US-Nachrichtendienste zu beseitigen.

Was für praktische Auswirkungen die Entscheidung letztlich für Webseiten-Betreiber haben wird, ist noch unklar. Der Bescheid ist nicht rechtskräftig. Ebenso sind noch die Entscheidungen der anderen europäischen Datenschutzbehörden abzuwarten. Wir werden berichten.

Weiterführende Informationen

Link zum Teilbescheid und Information der Datenschutzbehörde:  Startseite - Datenschutzbehörde (dsb.gv.at)

Aussendung von noyb: Österr. DSB: EU-US-Datenübermittlung an Google Analytics illegal (noyb.eu)

 

 

Konsumentenfragen Newsletter

Aktuelle Neuigkeiten aus allen Bereichen der Konsumentenfragen