{"id":6285,"date":"2022-05-03T08:18:17","date_gmt":"2022-05-03T07:18:17","guid":{"rendered":"https:\/\/test.schindlerattorneys.com\/?p=6285"},"modified":"2022-05-03T08:18:18","modified_gmt":"2022-05-03T07:18:18","slug":"das-ende-von-google-analytics","status":"publish","type":"post","link":"https:\/\/www.schindlerattorneys.com\/de\/2022\/05\/03\/das-ende-von-google-analytics\/","title":{"rendered":"Das Ende von Google Analytics?"},"content":{"rendered":"<p>Anfang 2022 wurde eine Entscheidung der \u00f6sterreichischen Datenschutzbeh\u00f6rde (DSB <a href=\"https:\/\/noyb.eu\/sites\/default\/files\/2022-01\/E-DSB%20-%20Google%20Analytics_DE_bk_0.pdf\" target=\"_blank\" rel=\"noreferrer noopener nofollow\" title=\"Entscheidung vom 22.Dezember 2021, GZ D155.027\"><strong>Entscheidung vom 22.\u00a0Dezember 2021, GZ D155.027<\/strong><\/a>) publik, in der diese feststellte, dass die Einbindung von Google Analytics auf einer Webseite gegen die Datenschutzgrundverordnung (DSGVO) verst\u00f6\u00dft. \u201eDrahtzieher\u201c dieses Verfahrens war wieder einmal der Wiener Datenschutzaktivist Max Schrems, der mit seinem Verein Nyob den Beschwerdef\u00fchrer vertrat.<\/p>\n\n\n\n<p>Zum Hintergrund dieser Beschwerde sei folgendes erw\u00e4hnt: Nachdem der Europ\u00e4ische Gerichtshof (EuGH) am 16. Juli 2020) das \u201ePrivacy Shield\u201c-Abkommen f\u00fcr ung\u00fcltig erkl\u00e4rte (<a href=\"https:\/\/curia.europa.eu\/jcms\/upload\/docs\/application\/pdf\/2020-07\/cp200091de.pdf\" target=\"_blank\" rel=\"noreferrer noopener nofollow\" title=\"Rechtssache C-311\/18\"><strong>Rechtssache C-311\/18<\/strong><\/a>, gleichzeitig aber feststellte, dass unter gewissen Voraussetzungen sogenannte Standardvertragsklauseln f\u00fcr den Datentransfer in die USA verwendet werden k\u00f6nnen, brachte Nyob im August 2020 101 Beschwerden (angelehnt an die 101 Dalmatiner von Disney) gegen Webseiten-Betreiber in der EU aber gleichzeitig auch gegen Google bzw. Facebook ein. Mit diesen Beschwerden wollte Nyob aufzeigen, dass die Verwendung von Google Analytics, mit welcher zwingend ein Datentransfer in die USA verkn\u00fcpft ist, aktuell datenschutzkonform nicht m\u00f6glich sei. Die Vielzahl an Beschwerden f\u00fchrte dazu, dass der Europ\u00e4ische Datenschutzausschuss (EDSA)<sup>1<\/sup> eine eigene Task Force einrichtete, die sich umfassend mit diesem Thema auseinandersetzt. Ziel ist es n\u00e4mlich, m\u00f6glichst schnell und europaweit einheitlich zu entscheiden.<\/p>\n\n\n\n<p>Die DSB war nun die erste EU-Beh\u00f6rde, die eine Entscheidung zu den 101 anh\u00e4ngigen Verfahren f\u00e4llte. Beachtlich ist, dass sich der Spruch nur auf das \u00f6sterreichische Unternehmen (Erstbeschwerdegegnerin) bezieht; die gleichzeitig gegen Google als Zweitbeschwerdegegnerin eingebrachte Beschwerde wurde abgewiesen.<\/p>\n\n\n\n<p>Inhaltlich stellte die DSB insbesondere fest, dass die Erstbeschwerdegegnerin die allgemeinen Grunds\u00e4tze der Daten\u00fcbermittlung gem\u00e4\u00df Art. 44 DSGVO verletze, weil personenbezogene Daten des Beschwerdef\u00fchrers (dies sind zumindest einzigartige Nutzer-Identifikations-Nummern, IP-Adresse und Browserparameter) an Google in den USA \u00fcbermittelt wurden. Die zwischen den beiden Beschwerdegegnern abgeschlossenen Standarddatenschutzklauseln b\u00f6ten kein angemessenes Schutzniveau gem\u00e4\u00df Art. 44 DSGVO, da<\/p>\n\n\n\n<ul class=\"wp-block-list\"><li>Google als Anbieter elektronischer Kommunikationsdienste zu qualifizieren ist und als solcher der \u00dcberwachung durch US-Geheimdienste gem\u00e4\u00df 50 U.S. Code \u00a7 1881a (\u201eFISA 702\u201d) unterliegt, und<\/li><li>die Ma\u00dfnahmen, die zus\u00e4tzlich zu den vereinbarten Standarddatenschutzklauseln getroffenen wurden, nicht effektiv sind, da diese die \u00dcberwachungs- und Zugriffsm\u00f6glichkeiten durch US-Nachrichtendienste nicht beseitigen k\u00f6nnen.<\/li><\/ul>\n\n\n\n<p>Die Entscheidung schlug in der EU nat\u00fcrlich wie ein Blitz ein und verunsichert die meisten Webseiten-Betreiber, die das Analyse-Tool verwenden. Google Analytics ist wie der Name schon sagt, ein Webseiten-Analyse-Tool, mit dem das Nutzerverhalten von Webseitenbesuchern mittels Cookies ausgelesen und anschlie\u00dfend analysiert werden kann. Webseitenbetreiber k\u00f6nnen damit die User-Experience ihrer Nutzer verbessern und ihre Services und Werbekampagnen gezielter einsetzen.<\/p>\n\n\n\n<p>Spricht man mit Webseiten-Betreibern scheint es so, als w\u00e4re das Tool von Google alternativlos und mittlerweile unentbehrlich. Es stellt sich somit die Frage, ob und inwieweit die Entscheidung der DSB ernst zu nehmen ist und welche Konsequenzen daraus gezogen werden sollten. Die Bandbreite bei der internen Entscheidungsfindung geht von DSB-Entscheidung komplett ignorieren bis hin zu Verzicht auf Google-Analytics. Die Wahrheit liegt jedoch, wie so oft, in der Mitte. Ohne Anspruch auf Vollst\u00e4ndigkeit werden nachfolgend einige Punkte angef\u00fchrt, die bei der Entscheidungsfindung ber\u00fccksichtigt werden sollten.<\/p>\n\n\n\n<p>Zuerst ist festzuhalten, dass es sich bei dem aktuellen Fall grunds\u00e4tzlich um eine \u201eEinzelfallentscheidung\u201c handelt und diese damit nicht unbedingt 1:1 auf andere F\u00e4lle angewendet werden kann. Im Zuge der Verwendung des Tools Google Analytics wird die M\u00f6glichkeit angeboten, eine \u201eIP-Anonymisierungsfunktion\u201c zu verwenden. Diese Funktion wurde jedoch von der Erstbeschwerdegegnerin nicht (korrekt) implementiert. Es ist daher zu empfehlen, diese Funktion jedenfalls einzusetzen.<\/p>\n\n\n\n<p>Selbst wenn die Entscheidung noch nicht rechtskr\u00e4ftig ist, ist davon auszugehen, dass vor allem der gegenst\u00e4ndliche Fall, wie auch die anderen 100 Beschwerden, intensiv von der Task Force des EDSA behandelt wurden und diese im Vorfeld der gegenst\u00e4ndlichen Entscheidung auch mit der DSB im Austausch gestanden ist. In diesem Zusammenhang ist zu erw\u00e4hnen, dass mittlerweile auch die franz\u00f6sische Aufsichtsbeh\u00f6rde CNIL in ihrer <a href=\"https:\/\/www.cnil.fr\/sites\/default\/files\/atoms\/files\/decision_ordering_to_comply_anonymised_-_google_analytics.pdf\" target=\"_blank\" rel=\"noreferrer noopener nofollow\" title=\"Entscheidung vom Februar 2022\"><strong>Entscheidung vom Februar 2022<\/strong><\/a>, einem Webseiten-Betreiber angeordnet hat, die Nutzung von Google Analytics zu stoppen.<\/p>\n\n\n\n<p>Auch in diesem Fall hielt die franz\u00f6sische Beh\u00f6rde fest, dass die von Google ergriffenen zus\u00e4tzlichen Ma\u00dfnahmen zur Regelung der Daten\u00fcbermittlung nicht ausreichen, um den Zugriff der US-Geheimdienste auf diese Daten auszuschlie\u00dfen. Beachtlich ist, dass die franz\u00f6sische Entscheidung in vielen Teilen nahezu inhaltsgleich mit der \u00f6sterreichischen Entscheidung ist, was wiederum ein Beweis daf\u00fcr ist, dass sich die EU Beh\u00f6rden entsprechend absprechen.<\/p>\n\n\n\n<p>In Bezug auf Dienste zur Messung und Analyse der Besucherzahlen von Websites empfiehlt die CNIL, dass diese Instrumente nur zur Erstellung anonymer statistischer Daten verwendet werden sollten, so dass eine Ausnahme von der Einwilligungspflicht m\u00f6glich ist. Damit deutet, die CNIL jedoch an, dass der Einsatz von Google Analytics aufgrund einer wirksamen Einwilligung der betroffenen Webseiten-Besucher m\u00f6glich sein sollte. Die deutsche Datenschutzkonferenz (DSK) bietet beispielsweise eine gute und \u00fcbersichtliche <a href=\"https:\/\/datenschutzkonferenz-online.de\/media\/oh\/20211220_oh_telemedien.pdf\" target=\"_blank\" rel=\"noreferrer noopener nofollow\" title=\"Orientierungshilfe\"><strong>Orientierungshilfe<\/strong><\/a> zur Einwilligung, deren Aussagen grunds\u00e4tzlich auch auf \u00d6sterreich \u00fcbertragen werden k\u00f6nnen. Nat\u00fcrlich sind auch die Datenschutzerkl\u00e4rungen entsprechend anzupassen und ist in diesen \u00fcber die Verwendung des Analyse Tools vollst\u00e4ndig aufzukl\u00e4ren.<\/p>\n\n\n\n<p>Liest man sich die Begr\u00fcndung der DSB durch, so ist der \u201eSpielraum\u201c, in dem Google Analytics rechtswirksam eingesetzt werden kann, offensichtlich sehr klein. Dies liegt vor allem daran, dass Google &#8211; wie bereits eingangs erw\u00e4hnt &#8211; als Anbieter elektronischer Kommunikationsdienste der \u00dcberwachung durch US-Nachrichtendienste gem\u00e4\u00df FISA 702 unterliegt und daher die Verpflichtung hat, den US-Beh\u00f6rden personenbezogene Daten zur Verf\u00fcgung zu stellen. In diesem Zusammenhang verweist die DSB auf den Transparenzbericht (\u201e<a href=\"https:\/\/transparencyreport.google.com\/user-data\/us-national-security?hl=en\" target=\"_blank\" rel=\"noreferrer noopener nofollow\" title=\"Transparency Report\"><strong>Transparency Report<\/strong><\/a>\u201c) von Google, in dem angef\u00fchrt wird, dass regelm\u00e4\u00dfig derartige Anfragen von US-Beh\u00f6rden an Google gestellt werden. Es ist somit notwendig, neben den von Google vorgegebenen Standarddatenschutzklauseln zus\u00e4tzliche Ma\u00dfnahmen zu treffen.<\/p>\n\n\n\n<p>Im gegenst\u00e4ndlichen Fall waren diese Ma\u00dfnahmen (vertraglicher, technischer und organisatorischer Natur), die allesamt alleine von Google getroffen wurden, laut der DSB jedoch nicht ausreichend. Dazu ist zu sagen, dass der Webseiten-Betreiber realistischerweise eigentlich keine M\u00f6glichkeit hat, solche Ma\u00dfnahmen ohne Mitwirkung von Google selbst zu treffen. Es bleibt somit abzuwarten, ob und inwieweit Google auf die aktuellen Entscheidungen in \u00d6sterreich und Frankreich reagiert und m\u00f6glicherweise neue zus\u00e4tzliche Ma\u00dfnahmen anbietet. Bis dahin, ist der Einsatz von Google Analytics jedenfalls mit einem gewissen Risiko verbunden, welches vor allem darin liegt, bei der Nutzung des Tools (vor allem von Nyob) \u201eerwischt\u201c zu werden.<\/p>\n\n\n\n<p>DISCLAIMER<\/p>\n\n\n\n<p>Dieser Blog stellt lediglich eine allgemeine Information und keine rechtsanwaltliche Beratung dar. Schindler Rechtsanw\u00e4lte GmbH \u00fcbernimmt keine Haftung f\u00fcr die Richtigkeit, Vollst\u00e4ndigkeit und Aktualit\u00e4t des Blogs. Der Blog kann eine individuelle Rechtsberatung nicht ersetzen.<\/p>\n\n\n\n<hr class=\"wp-block-separator\"\/>\n\n\n\n<p><sup>1<\/sup> Der EDSA ist eine unabh\u00e4ngige europ\u00e4ische Einrichtung, die zur einheitlichen Anwendung der Datenschutzvorschriften in der gesamten Europ\u00e4ischen Union beitr\u00e4gt und die Zusammenarbeit zwischen den EU-Datenschutzbeh\u00f6rden f\u00f6rdert.<\/p>","protected":false},"excerpt":{"rendered":"<p>Anfang 2022 wurde eine Entscheidung der \u00f6sterreichischen Datenschutzbeh\u00f6rde (DSB Entscheidung vom 22.\u00a0Dezember 2021, GZ D155.027) publik, in der diese feststellte, dass die Einbindung von Google Analytics auf einer Webseite gegen die Datenschutzgrundverordnung (DSGVO) verst\u00f6\u00dft. \u201eDrahtzieher\u201c dieses Verfahrens war wieder einmal der Wiener Datenschutzaktivist Max Schrems, der mit seinem Verein Nyob den Beschwerdef\u00fchrer vertrat. Zum Hintergrund [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":6287,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[32],"tags":[],"class_list":["post-6285","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-blog"],"acf":[],"_links":{"self":[{"href":"https:\/\/www.schindlerattorneys.com\/de\/wp-json\/wp\/v2\/posts\/6285","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.schindlerattorneys.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.schindlerattorneys.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.schindlerattorneys.com\/de\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.schindlerattorneys.com\/de\/wp-json\/wp\/v2\/comments?post=6285"}],"version-history":[{"count":0,"href":"https:\/\/www.schindlerattorneys.com\/de\/wp-json\/wp\/v2\/posts\/6285\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.schindlerattorneys.com\/de\/wp-json\/wp\/v2\/media\/6287"}],"wp:attachment":[{"href":"https:\/\/www.schindlerattorneys.com\/de\/wp-json\/wp\/v2\/media?parent=6285"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.schindlerattorneys.com\/de\/wp-json\/wp\/v2\/categories?post=6285"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.schindlerattorneys.com\/de\/wp-json\/wp\/v2\/tags?post=6285"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}