Die österreichischen Behörden haben Google Analytics ins Visier genommen. Der Dienst verstoße gegen das europäische Datenschutzrecht. Der Befund schlug ein wie eine Bombe. Aber was steckt hinter dem Bescheid und: Droht Google Analytics nun wirklich das Aus? Im Interview: Rechtsanwalt Konstantin Malakas.
Google Analytics: Kein Urteil, sondern ein Bescheid!
Hallo Herr Malakas, am 13. Januar hat die Österreichische Datenschutzbehörde entschieden, dass Google Analytics gegen die Datenschutzgrundverordnung (DSGVO) verstößt. Der Befund schlug ein wie eine Bombe. Wie ordnen Sie ihn ein?
Nun, ich möchte zunächst einmal mit formalen Gesichtspunkten beginnen, bevor wir in die inhaltliche Bewertung übergehen. Es ist mir aufgefallen, dass auf vielen verschiedenen Websites immer von einem „Urteil“ die Rede war. Gleichzeitig wurde aber auch zutreffend mitgeteilt, dass es sich um die Entscheidung einer Datenschutzbehörde in Österreich handelt.
Neue Stellenangebote
Growth Marketing Manager:in – Social Media GOhiring GmbH in Homeoffice |
||
Social Media Manager (m/w/d) in der Nähe von Rosenheim Schön Klinik Vogtareuth GmbH & Co. KG in Vogtareuth |
||
Social Media Advertising Manager (w/m/d) dm-drogerie markt GmbH + Co. KG in Karlsruhe, hybrid |
Deshalb ist mir daran gelegen, das Wort „Urteil“ in diesem Zusammenhang zu meiden. Es handelt sich nämlich nicht um ein Urteil, das von einem Gericht stammt, sondern um einen Bescheid – in dem konkreten Fall sogar nur um einen Teilbescheid einer Behörde.
Wir befinden uns also nicht in der Judikative sondern in der Exekutive. Solche Bescheide können gegebenenfalls durch einen Widerspruch angegriffen werden. Es ergeht dann ein sogenannter Widerspruchsbescheid von der Behörde. Und gegen einen solchen Bescheid kann dann Klage zu den Verwaltungsgerichten erhoben werden.
Und erst dann, wenn ein solches Verwaltungsgericht entscheidet, haben wir ein Urteil.
Das heißt das Ganze schlägt momentan medial größere Wellen als es überhaupt schlagen dürfte?
Das denke ich nicht. Das, was hier von österreichischen Datenschützern in diesem Bescheid entschieden wurde, ist schon beachtenswert und bemerkenswert.
Über die Bedeutung des Bescheids für die EU
Welche Bedeutung hat dieser Bescheid nun auf die gesamte EU? Und wie geht es jetzt juristisch weiter?
Der Bescheid ist zunächst einmal eine Einzelfallentscheidung. Aber hier ist vor allem der Hintergrund interessant: Der österreichische Datenschützer Max Schrems, der beispielsweise erreicht hat, dass es Urteile wegen Datenschutzverstößen bei Facebook gab, hat auch diesen Bescheid provoziert.
Er rief am 14. August 2020 die österreichische Website eines Verlags auf, der Google Analytics einsetzt. Dabei war er in seinem Google-Konto eingeloggt. Weil folglich seine IP-Adresse und Cookie-Daten von der Website des Verlags an die Google LLC in den USA übermittelt wurden, erhob er Beschwerde gegen diese Praxis des Verlags.
Zuvor hatte er bereits erfolgreich vor dem Europäischen Gerichtshof (EuGH) erstritten, dass die sogenannten Standardvertragsklauseln keine ausreichende Rechtsgrundlage bilden, um personenbezogene Daten in die USA zu übermitteln und dort verarbeiten zu lassen – jedenfalls spätestens, nachdem die USA im Jahr 2018 den Cloud-Act erlassen haben.
Das heißt, dass die Datenübertragung von Europa in sogenannten unsichere Drittstaaten wie beispielsweise die USA, nicht mehr zulässig ist. Weil der Verlag das durch den Einsatz von Google Analytics aber doch tat, reichte Schrems Beschwerde ein.
Verstoßen Google-Analytics-User gegen die DSGVO?
Sie haben bereits den Hintergrund rund um das Schrems-II-Urteil angesprochen und im Fall von Google Analytics auf die wichtige Unterscheidung zwischen Urteil und Bescheid hingewiesen. Aber verstößt jetzt jeder, der Google Analytics nutzt, automatisch gegen die DSGVO?
Das ist die entscheidende Frage. Das Schrems-II- Urteil bezieht sich dabei nicht direkt auf die Nutzung von Google Analytics, sondern bestimmt, unter welchen Voraussetzungen Unternehmen Daten austauschen und verarbeiten dürfen.
Konkret bedeutet das, dass die Datenübermittlung in die USA nicht stattfinden sollte, weil ein Zugriff amerikanischer Behörden auf personenbezogene Daten möglich ist, was dem europäischen Datenschutzrecht widersprechen würde.
Die österreichische Datenschutzbehörde hat deshalb der Beschwerde gegen den Verlag stattgegeben und festgestellt, dass tatsächlich ein Datenschutzverstoß vorliegt. Gegen den Zweitbeschwerdegegner Google selbst wurde die Beschwerde aber abgewiesen, weil die Google LLC selbst ja keine personenbezogenen Daten übermittelt hat, sondern nur der Verlag.
Für eine solche Übermittlung müsste eigentlich eine vertragliche Vereinbarung bestehen, die garantiert, dass eine Datenverarbeitung gemäß europäischer Datenschutzstandards erfolgt.
Wenn aber amerikanische Behörden in der Lage sind, sämtliche personenbezogenen Daten, die ein Unternehmen verarbeitet, abzufragen, dann entspricht das eben nicht dem europäischen Datenschutzrecht.
Google Analytics: Braucht es Alternativen?
Müssen sich Analytics-User also nun eine Alternative suchen und dem Dienst den Rücken kehren?
Durch den Bescheid ist im Prinzip nur dieser eine Einzelfall verbeschieden worden, der durch Herrn Schrems ausgelöst wurde. Der ursprüngliche Vorgang liegt dabei etwas mehr als anderthalb Jahre zurück.
Von daher erkennt man alleine am Zeitablauf, dass dieser Bescheid keine Auswirkung auf andere hatte, sondern es alleine um den Vorfall des Herrn Schrems geht.
Das heißt, dass ich mir als Anlaytics-User erst einmal keine Sorgen machen muss?
Zunächst einmal müssen sich die Anwender von Google Analytics, allein auf der Grundlage dieses Bescheids, keine Sorgen machen. Aber: Das ist ja nur der Beginn eines nachfolgenden Verfahrens.
Wir befinden uns da ja zunächst einmal in Österreich. Jetzt hätte der betroffene Verlag erst einmal Widerspruch einlegen können. Aber dieser Weg wurde von dem Verlag in Österreich nicht gewählt.
Vielmehr hat der Verlag seine Website nach Deutschland verlagert – soweit mir bekannt ist, nach München. Mit anderen Worten: Man ist diesem Bescheid ausgewichen. Somit ist nur der Bescheid in der Welt, weil der Verlag seine österreichische Website abgeschaltet hat.
Und in dem Fall wird da zunächst einmal nichts weiter geschehen.
Über den Unterschied zu Facebook
Also wird der Bescheid zunächst einmal umgangen? Wo liegt der Unterschied im Vergleich zu Unternehmen wie Facebook und: Verpufft das jetzt einfach?
Ich kann gut nachvollziehen, dass Seitenbetreibende und Journalisten frustriert sind. Denn in der Tat merkt man in der täglichen Praxis zunächst einmal keine Unterschiede. Trotzdem bewegt sich da etwas. Die DSGVO wurde ja im Mai 2018 scharfgestellt; in der Weise, dass sie erstmals angewendet wurde.
Und da hat es bei vielen Unternehmen Bedarf gegeben, sich rechtmäßig zu verhalten. Damit haben wir schon ein erhöhtes Datenschutzniveau. Allerdings scheint das über den Teich noch nicht angekommen zu sein. Datenschutz, wie wir ihn in der EU verstehen, ist in den USA so nicht bekannt.
Im Gegenteil: Daten liegen dort quasi auf der Straße und man kann mit ihnen Geld verdienen. Ein Beispiel: Es gibt Menschen, die sich ihrer Verantwortung entziehen wollen, weil sie vielleicht für ein uneheliches Kind unterhaltspflichtig sind. In den USA gibt es keine allgemeine Meldepflicht, sodass Detekteien beauftragt werden, diese Unterhaltspflichtigen zu finden.
Dafür nutzen sie alle möglichen Quellen. Ohne umfassenden Datenschutz können also jegliche Datenspuren, die eine Person hinterlässt, verfolgt werden. In Europa sehen wir das anders. Im Endeffekt sind wir der Auffassung, dass jedes Individuum Herr der eigenen Daten zu sein hat. Daraus folgt, dass andere mit diesen Daten ohne eine Erlaubnis grundsätzlich nichts anfangen dürfen.
Erwartet Google nun eine Millionen-Strafe?
Was erwartet Google denn nun – eine Strafe?
Nein, im Teilbescheid wurde die Beschwerde gegen die Google LLC ja zurückgewiesen. Das heißt, Google erwartet zunächst einmal gar nichts. Der Betreiber der Website wurde aber darauf hingewiesen, dass der Einsatz von Google Analytics nicht datenschutzkonform abläuft.
Theoretisch gäbe es jetzt die Möglichkeit, dass der Verlag eine Vereinbarung mit der Google LLC trifft, dass die Verarbeitung der Daten datenschutzrechtlich rechtskonform gemäß europäischen Vorgaben abläuft. Aber solange der Cloud-Act es amerikanischen Behörden erlaubt, Zugriff auf alle Daten eines amerikanischen Unternehmens zu erhalten, bleibt das Theorie.
Könnte Google das nicht EU-intern regeln? Ohne, dass ein Verstoß vorliegt?
Möglichkeiten gäbe es viele. Letztlich liegt es aber am Willen der jeweiligen Akteure. Sprich: Werbetreibende wollen eigentlich keine verwässerten Daten haben. Die Daten sind dann besonders wertvoll, wenn sich damit Individuen gezielt identifizieren lassen.
Aber selbst in den USA bewegt sich da mittlerweile etwas. Große Konzerne wollen sich das Geschäft mit Europa nicht kaputt machen lassen. Microsoft und Amazon beschreiten Wege, um sich dem Zugriff amerikanischer Behörden auf die Daten europäischer Kunden zu entziehen. Wie erfolgreich das letztlich sein wird, muss sich noch zeigen.
Aber wir sind noch weit davon entfernt, bis im Rest der Welt ankommt, was für ein hohes Gut die eigenen Daten eigentlich sind. Aufgeklärter User könnten ja vielleicht sogar entsprechende Einwilligungen erklären, wenn sie genau wüssten, was mit ihren Daten geschieht.
Aber genau hier mangelt es: Google veröffentlicht nämlich nicht, was genau mit den Daten passiert. Google verwendet diese Daten ohne jegliche Transparenz.
Fazit: So geht es jetzt mit Google Analytics weiter
Wie lautet ihr Fazit in dem Fall?
Durch die Verlagerung des betroffenen Verlages nach Deutschland wird es in Österreich zunächst einmal nicht weitergehen. Der Teilbescheid wird natürlich auch von anderen Datenschutzbehörden innerhalb der EU rezipiert werden.
Es ist denkbar, dass weitere Datenschutzbehörden Bescheide gegen Website-Betreibende, die Google Analytics in seiner gegenwärtigen Gestaltung einsetzen, erlassen werden. Wenn die Betreiber dann an Google Analytics festhalten, könnten Bußgelder wegen der damit begangenen Datenschutzverstöße verhängt werden.
Auch in den Niederlanden laufen zwei ähnliche Verfahren. Die niederländische Datenschutzbehörde warnt auf ihrer Website sogar davor, dass Google Analytics bald womöglich nicht mehr erlaubt ist. Ist ein Verbot wirklich realistisch?
Ich kann mir ein allgemeines Verbot nicht vorstellen. Aber ich kann mir vorstellen, dass Unternehmen, die personenbezogene Daten schließlich rechtskonform zu verbreiten haben, Gefahr laufen, ein Bußgeld zu kassieren, wenn sie Google Analytics in der gleichen Weise einsetzen, wie bisher.
Der Bescheid sollte die Unternehmen sensibilisieren, sich um Analysemethoden zu bemühen, die datenschutzrechtlich unbedenklich sind.
Die Behörden sind bei Datenschutzverstößen auch nicht mehr nachsichtig, aber sie schlagen auch nicht gleich mit der großen Keule zu. Bei krassen Verstößen werden spürbare Bußgelder verhängt, aber bei kleineren Verstößen können auch Verwarnungen ausgesprochen werden.
Bußgelder können vergleichsweise hoch sein, wie das von der französischen Datenschutzbehörde CNIL verhängte 50 Millionen Euro Bußgeld gegen Google im Jahr 2019.
Fazit: Für User ändert sich nur etwas, wenn die Website-Betreibenden ihre Praxis verändern und entweder auf datenschutzkonform arbeitende Tools setzen oder so viel Druck auf Google ausgeübt wird, dass deren Verarbeitung transparent gestaltet und wirksame Abwehrmechanismen bereitgestellt werden.
Vielen Dank für das Gespräch!
Auch interessant: