Information zu aktuellen Entwicklungen zur Datenverarbeitung in den USA - insbesondere durch Google-Analytics

Information zu aktuellen Entwicklungen bezüglich Datenverarbeitung in den USA insbesondere durch Google-Analytics

Handlungsempfehlung

Sollten Sie derzeit Google-Analytics für Ihre Website nutzen oder sonst eine Datenübermittlung in die USA erfolgen ist dringend zu raten diese Verarbeitung zu unterlassen.

Es ist dringend zu empfehlen alternativen zu Google-Analytics zu nutzen etwa eTracker, welches in der EU gehostet wird oder Matomo, welches lokal gehostet werden kann. Für sonstige Datenverarbeitungen in den USA, welche derzeit, für sie, alternativlos sind müssen hohe Anforderungen erfüllt werden, ohne das garantiert werden kann, dass die Datenverarbeitung datenschutzrechtlichen Anforderungen entspricht. Insbesondere müssen die neuen Standardvertragsklauseln vereinbart werden, ein Transfer Impact Assessment (TIA) durchgeführt und geeignete weitere Maßnahmen getroffen werden. Zudem sollte eine Einwilligung über den Cookie-Banner eingeholt werden.

Datenschutzrechtliche Möglichkeiten bei der Verwendung von Google-Analytics

Sollten Sie entgegen der primären Empfehlung nicht auf die Verwendung etwa von Google-Analytics verzichten wollen, sind folgende Maßnahmen zu treffen. Eine Abmahnung kann damit jedoch nicht ausgeschlossen werden.

Vereinbarung neuer Standardvertragsklauseln und Bereitstellung geeigneter technischer und organisatorischer Maßnahmen

Die neuen Standardvertragsklauseln müssten mit Datenempfängern in den USA geschlossen werden. Zudem müssten angemessene technische und organisatorische Maßnahmen getroffen werden. Allein organisatorische Maßnahmen reichen nicht.

Durchführung Transfer Impact Assessment

Zur Feststellung welche weiteren Maßnahmen (insbesondere TOMs) erforderlich sind verlangen die neuen Standardvertragsklauseln die Durchführung eines Transfer Impact Assessments. Hierbei sind auch die im Empfängerland geltenden Vorschriften zu beachten.

IP-Anonymisierung

Sie sollten zwingend die IP-Anonymisierung anstellen.

Einwilligungstext im Cookie-Banner

Sie sollten zudem zwingend eine Einwilligung nach Art. 49 DSGVO über den Cookie-Banner einholen. Dies stellt eine alternative Rechtsgrundlage zur Verarbeitung in den USA dar, jedoch sollte vorrangig versucht werden das angemessene Datenschutzniveau durch zuvor genannte Maßnahmen zu erreichen. Ob die Einholung der Einwilligung über einen Cookie-Banner den hohen Anforderungen an die Einwilligung nach Art. 49 DSGVO gerecht wird ist noch nicht abschließend entschieden. Folgender vergleichbarer Text wäre zu empfehlen:

„Indem Sie auf "Alle Akzeptieren" klicken oder über den Link „Anpassen“ den Google-Analytics Cookie zulassen, willigen Sie zugleich gem. Art. 49 Abs. 1 S. 1 lit. a DSGVO ein, dass Ihre Daten in den USA verarbeitet werden. Es werden insbesondere Ihre IP-Adresse und die Cookie-Daten, welche Kennnummern enthalten die Sie identifizierbar machen, weitergegeben. Dies erfolgt zu statistischen und werblichen Zwecken. Einer solchen Verarbeitung können Sie jederzeit formlos widersprechen, indem Sie die Cookie-Einstellungen, jederzeit erreichbar im Fußbereich der Seite, anpassen oder die Einwilligung per E-Mail, Telefon oder Brief widerrufen oder der Verarbeitung widersprechen. Die USA werden vom Europäischen Gerichtshof als ein Land mit einem nach EU-Standards unzureichendem Datenschutzniveau eingeschätzt. Es besteht insbesondere das Risiko, dass Ihre Daten durch US-Behörden, zu Kontroll- und zu Überwachungszwecken, möglicherweise auch ohne Rechtsbehelfsmöglichkeiten, verarbeitet werden können. Wenn Sie auf "Nur unbedingt Erforderliche akzeptieren" klicken, findet die vorgehend beschriebene Übermittlung nicht statt. Weitere Hinweise erhalten Sie in unserer Datenschutzerklärung.“

Erläuterung in der Datenschutzerklärung

Zudem sollten Sie Ihre Datenschutzerklärung um entsprechende Informationen zu der Verarbeitung in den USA ergänzen.

Grundlage der Empfehlung

Diese Empfehlung wird aufgrund der aktuellen Entscheidung der österreichischen Datenschutzbehörde gegen die Google LLC, sowie aufgrund der EuGH Entscheidung Schrems II abgegeben. In der Entscheidung der österreichischen Datenschutzbehörde wurde festgehalten, dass die zum damaligen Zeitpunkt getroffenen Maßnahmen seitens Google nicht ausreichend waren, um ein angemessenes Schutzniveau zu gewährleisten. Der EuGH stellte mit seiner Entscheidung Schrems II bereits klar, dass der Abschluss der damals aktuellen Standardvertragsklauseln allein nicht ausreichend und auch das Privacy-Shield-Abkommen unwirksam sei. Zudem hat eine niederländische Datenschutzbehörde eine ähnliche vorab Einschätzung abgegeben. Eine abschließende Entscheidung steht jedoch noch aus. Zudem ist zu erwarten, dass deutsche Behörden ähnlich entscheiden werden.

Die österreichische Behörde führte folgendes aus: Google Analytics erhebt personenbezogene Daten, überträgt diese an Google – und Google unterliegt nach US-Recht der Überwachung durch US-Geheimdienste. Die von Google ins Feld geführten Standardvertragsklauseln helfen dem mangelnden Datenschutzniveau bei Google nicht ab, wie 2020 der Europäische Gerichtshof (EuGH) mit seinem Schrems II-Urteil erkannt hat. Nach Auffassung der österreichischen Datenschutzbehörde können nun auch die zusätzlich zu den Standardvertragsklauseln getroffenen Maßnahmen von Google schlussendlich kein angemessenes Schutzniveau für die Datenübermittlung nach Artikel 44 DSGVO bieten. Damit gilt: wenn ein österreichischer Webseitenbetreiber Google Analytics einsetzt, legt er Google rechtswidriger Weise Daten offen.

Die Standarddatenschutzklauseln, die ein Webseitenbetreiber mit Google abschließt bieten kein angemessenes Schutzniveau gemäß Art. 44 DSGVO, da Google als Anbieter elektronischer Kommunikationsdienste ist im Sinne von 50 U.S. Code § 1881(b)(4) zu qualifizieren und unterliegt als solcher der Überwachung durch US-Geheimdienste gemäß 50 U.S. Code § 1881a („FISA 702”). Die Maßnahmen, die zusätzlich zu den Standarddatenschutzklauseln getroffenen wurden, sind nicht effektiv, da diese die Überwachungs- und Zugriffsmöglichkeiten durch US-Nachrichtendienste nicht beseitigen. In Fälle den Nutzung von Google-Analytics auf einer Website kann kein anderes Instrument gemäß Kapitel V der DSGVO für die Datenübermittlung an Google herangezogen werden und Webseitenbetreiber können deshalb das im Rahmen einer Datenübermittlung an Google angemessene Schutzniveau gemäß Art. 44 DSGVO nicht gewährleisten.

Im Einzelnen und kritische Betrachtung der Entscheidung und Berücksichtigung in Deutschland

Deutsche Gerichte und deutsche Datenschutzbehörden bzw. die europäische Datenschutzbehörde hat hier noch keine für Deutschland bindende Entscheidung getroffen. Es ist jedoch zu erwarten, dass die deutschen Behörden entsprechende Entscheidungen treffen werden, sodass eine Vorbereitung hierauf erforderlich ist.

Kritisch anzumerken ist, dass in der Entscheidung noch nicht berücksichtig, dass der Google-Dienst Google-Analytics nunmehr von der in Europa ansässigen Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland angeboten wird, Beschwerdegegnerin war damals die Google LLC mit Sitz in den USA. Dass die Daten nun zunächst innerhalb der EU erfasst werden, wurde bei der Entscheidung nicht berücksichtig. Doch Google bestätigte bereits in der Vergangenheit, aber nach der Umstrukturierung, dass weiterhin Daten in den USA verarbeitet werden. Somit ist nicht davon auszugehen, dass dies in datenschutzrechtlicher Hinsicht genügt. Die Umstrukturierung galt nur der One-Stop-Shop Lösung, was bedeutet, dass die Nutzer einen Verantwortlichen haben sollten, an den sie sich wenden.

Zu berücksichtigen ist auch, dass sich die Entscheidung noch auf die alten Standardvertragsklauseln bezieht. Welche Auswirkungen die neuen Standardvertragsklauseln und deren Verwendung haben entschied die österreichische Datenschutzbehörde nicht. Jedenfalls müssten aber neben den neuen Standardvertragsklauseln die oben angedeuteten Maßnahmen – TIA und TOMs – getroffen werden. Ob dies dann ein ausreichendes Schutzniveau bietet bleibt noch abzuwarten.

Zudem war IP-Anonymisierung im zugrundeliegenden Fall nicht korrekt implementiert. Welche Auswirkungen dies hat wurde in der Entscheidung nicht berücksichtigt. Da jedoch neben der IP-Adresse weitere Daten übermittelt werden, welche eine Identifizierbarkeit ermöglichen ist die IP-Anonymisierung allein nicht ausreichend um ein angemessenes Schutzniveau zu gewährleisten.

Schließlich wurde keine Entscheidung dazu getroffen, ob die Einholung einer Einwilligung nach Art. 49 DSGVO über den Cookie-Banner möglich und ausreichend ist.

Henning Koch, Rechtsanwalt, Fachanwalt für IT-Recht, Fachanwalt für Arbeitsrecht, zertifizierter (auch behördlicher) Datenschutzbeauftragter (Wirtschaftskanzlei Ruhmann Peters Altmeyer PartG mbB) und Geschäftsführer der RPA Datenschutz + Compliance GmbH.                  

Sie können mir folgen auf LinkedIn