Google Analytics ist ein beliebtes Analysetool, mit dem Webseitenbetreiber wertvolle Daten über das Verhalten der User erheben und analysieren können. Nun gerät der Dienst vermehrt ins Visier der Datenschutzbehörden. Und die Entscheidungen der Datenschutzbehörden lassen erahnen, dass der weitere Einsatz von Google Analytics im Hinblick auf die Einhaltung der Vorschriften der Datenschutz-Grundverordnung riskant ist.
Warum gibt es jetzt Entscheidungen zur Datenschutzkonformität von Google Analytics?
Das von Max Schrems mitbegründete „NOYB – Europäisches Zentrum für digitale Rechte“ reichte nach dem als „Schrems II“ bekannten Urteil des Europäischen Gerichtshofs insgesamt 101 Datenschutzbeschwerden gegen Unternehmen ein, die über ihre Webseiten personenbezogene Daten an Dienstleister in den USA (allen voran Google und Meta) übermitteln. Nun liegen die ersten Entscheidungen von Datenschutzbehörden vor.
Wie entscheiden die Datenschutzbehörden?
Die Entscheidungen der Datenschutzbehörden fallen überraschenderweise unterschiedlich aus. Die Behörden in Luxemburg und Spanien stellten die Verfahren ein, ohne sich mit der Frage der (un)rechtmäßigen Verwendung von Google Analytics zu beschäftigten. In diesen Verfahren gaben die Unternehmen jeweils an, Google Analytics nicht weiter zu verwenden.
Anders sehen es die Behörden in Frankreich und in Österreich. Beide Behörden setzten sich dezidiert mit der Frage auseinander, ob im konkreten Fall eine zulässige Datenverarbeitung vorlag. Die Behörden kamen in diesen Fällen jeweils zum Ergebnis, dass eine Datenweitergabe an Google nicht mit den Vorschriften der DSGVO und den Vorgaben des Europäischen Gerichtshofs vereinbar sei. Insbesondere bestehe kein wirksamer und effektiver Rechtschutz vor der Offenlegung der mittels Google Analytics generierten Daten an Sicherheitsbehörden und Geheimdienste. Die beiden Datenschutzbehörden kamen daher zu dem Ergebnis, dass der Einsatz von Google Analytics unzulässig sei.
Google selbst gibt an, dass das Unternehmen bislang keine Auskunftsersuchen von US-Sicherheitsbehörden zu den mittels Google Analytics generierten Daten erreicht hat. Insbesondere die österreichische Datenschutzbehörde hat in einer Entscheidung klargestellt, dass die Datenschutz-Grundverordnung keinen risikobasierten Ansatz für eine Übermittlung von personenbezogenen Daten in ein Drittland kennt. Nach Ansicht der österreichischen Behörde müsse außen vor bleiben, dass sich das Risiko wohl nur in der Theorie und nicht in der Praxis realisiere.
Bemerkenswert ist in jedem Fall, dass derzeit noch keine Datenschutzbehörde ein Bußgeld gegen einen Beschwerdegegner verhängt hat.
Wie wirken sich die Entscheidungen aus Frankreich und Österreich auf Deutschland aus?
Uns ist derzeit noch keine Entscheidung einer deutschen Datenschutz-Aufsichtsbehörde bekannt. Allerdings erwarten wir, dass auch die deutschen Behörden sich den Ausführungen der französischen und österreichischen Pendants anschließen.
Die Entscheidungen der Datenschutzaufsichten sind jedoch nicht ohne Weiteres auf jede Konstellation bei der Nutzung von Google Analytics übertragbar, da die Behörden immer nur den konkreten Fall des Einsatzes von Google Analytics beurteilen. Allerdings lassen sich aus den Entscheidungen bereits einige Grundsätze für den Einsatz von Google Analytics ableiten.
Inwieweit die bereits betroffenen Unternehmen gegen die sie betreffenden Bescheide gerichtlich vorgehen, ist derzeit unbekannt. Wir erwarten jedoch, dass im Laufe der kommenden Monate erste Gerichtsurteile bekannt werden. Wie lange es dann dauert, bis eine obergerichtliche Entscheidung vorliegt, ist allerdings eine Frage für die Glaskugel.
Und was nun?
Aus unserer Sicht bestehen zumindest Bedenken im Hinblick auf die Einschätzung der Behörden, dass ein theoretisches Risiko ausreiche, um eine Datenübermittlung als unzulässig einzustufen. Sinn und Zweck der Vorschriften ist es schließlich, den Menschen vor etwaigen Risiken beim Umgang mit personenbezogenen Daten zu schützen bzw. zu bewahren.
Im speziellen Fall Google Analytics scheinen die Risiken einen rein theoretischen Charakter aufzuweisen. Insofern warten wir gespannt auf gerichtliche Entscheidungen, ob ein solches theoretisches Risiko als ausreichend erachtet wird, um eine Datenverarbeitung als unzulässig einzustufen. Aus unserer Sicht vorzugswürdig erscheint es, wenn dies nur der Fall wäre, wenn sich ein Risiko zumindest mit einer gewissen Wahrscheinlichkeit auch in der Praxis realisiert.
Bis zu einer (ober)gerichtlichen Klärung wird die (Weiter-)Nutzung von Google Analytics rechtlich riskant bleiben. Da die Behörden derzeit noch keine Bußgelder zu verhängen scheinen, dürfte allen voran zunächst eine behördliche Untersagung der Weiternutzung drohen. Dies böte aber zumindest die Chance einer gerichtlichen Überprüfung und somit einer Klärung der rechtlichen Situation.
Autor: Fabian Dechent (Rechtsanwalt)