Österr. DSB: EU-US-Datenübermittlung an Google Analytics illegal

13 Jan 2022

DSB: Einsatz von Google Analytics verstößt gegen "Schrems II"-Entscheidung des EuGH.

In einer wegweisenden Entscheidung hat die österreichische Datenschutzbehörde ("DSB") auf eine Musterbeschwerde von noyb hin entschieden, dass die Nutzung von Google Analytics gegen die DSGVO verstößt. Dies ist die erste Entscheidung zu den 101 Musterbeschwerden, die noyb im Zuge der sogenannten Schrems II"-Entscheidung in ganz Europa eingereicht hat. Im Jahr 2020 entschied der Europäische Gerichtshof (EuGH), dass die Nutzung von US-Anbietern gegen die DSGVO verstößt, da US-Überwachungsgesetze US-Anbieter wie Google oder Facebook dazu verpflichten, persönliche Daten an US-Behörden zu übermitteln. Ähnliche Entscheidungen werden in anderen EU-Mitgliedstaaten erwartet, da die Datenschutzbehörden in diesen Fällen in einer "EDPB-Taskforce" zusammengearbeitet haben. Es scheint, dass die österreichische DSB-Entscheidung die erste ist, die zugestellt wurde.

2020: EuGH-Urteil trifft erste Unternehmen. Im Juli 2020 hat der EuGH sein "Schrems II"-Urteil verkündet, in dem er feststellt, dass eine Übermittlung an US-Provider, die unter FISA 702 und EO 12.333 fallen, gegen die Exportverbote für Daten in der DSGVO verstößt. Der EuGH erklärte daraufhin das "Privacy Shield" für ungültig, nachdem dieser bereits das vorherige System ("Safe Harbor") im Jahr 2015 für ungültig erklärt hatte. Während sich IT-Unternehmen zuerst schockiert gaben, haben US-Anbieter und EU-Unternehmen die Entscheidung weitgehend ignoriert. Genau wie Microsoft, Facebook oder Amazon hat sich Google auf sogenannte "Standardvertragsklauseln" verlassen, um den Datentransfer fortzusetzen und seine europäischen Geschäftspartner zu beruhigen.

Max Schrems, Vorsitzender von noyb.eu: "Anstatt ihre Dienste technisch so anzupassen, dass sie mit der DSGVO konform sind, haben US-Unternehmen versucht, einfach ein paar Texte in ihre Datenschutzrichtlinien einzufügen und den EuGH zu ignorieren. Viele EU-Unternehmen sind diesem Beispiel gefolgt, anstatt auf legale Dienste zu wechseln."

"SCCs" und "TOMs" nicht genug. Google hatte in einer Eingaben behauptet "technische und organisatorische Maßnahmen" ("TOMs") umgesetzt zu haben. Dabei wurden Ideen wie Zäune um Datenzentren, die Überprüfung von Behördenanfragen oder eine minimale Verschlüsselung vorgebracht. Wenig überraschend, hat die DSB diese Maßnahmen als absolut nutzlos bewertet, wenn es um den Zugriff durch US-Behörden geht (Seite 38 und 39 der Entscheidung):

"In Bezug auf die dargelegten vertraglichen und organisatorischen Maßnahmen ist nicht erkennbar, inwiefern [die Maßnahmen] effektiv im Sinne der obigen Überlegungen sind."

"Sofern die technischen Maßnahmen betroffen sind, ist ebenso nicht erkennbar (...) inwiefern [die Maßnahmen] die Zugriffsmöglichkeiten von US-Nachrichtendiensten auf der Grundlage des US-Rechts tatsächlich verhindern oder einschränken.."

Max Schrems:"Die DSB hat eine sehr detaillierte und fundierte Entscheidung erlassen. Die Quintessenz ist: EU-Unternehmen können keine US-Cloud-Dienste mehr nutzen. Es ist jetzt 1,5 Jahre her, dass der EuGH das ein zweites Mal bestätigt hat - es ist also mehr als an der Zeit, dass das Gesetz auch durchgesetzt wird."

Die Entscheidung ist für fast alle EU-Websites relevant. Google Analytics ist das am weitesten verbreitete Statistikprogramm. Obwohl es viele Alternativen gibt, die in Europa gehostet werden oder selbst gehostet werden können, verlassen sich viele Websites auf Google und übermitteln damit ihre Nutzerdaten an den US-Multi. Ebenso werden viele andere US-Dienste genutzt, die einen Zugriff durch US-Geheimdienste ermöglichen. Die Tatsache, dass die Behörden nun nach und nach US-Dienste für illegal erklären könnten, erhöht den Druck auf EU-Unternehmen und US-Provider, auf sichere und legale Optionen zu setzen. Hier ist vor allem die Verarbeitung ohne faktischen Zugriff von US-Unternehmen wichtig. Nur eine Woche zuvor wurde eine ähnliche Entscheidung vom Europäischen Datenschutzbeauftragten (EDSB) getroffen.

Max Schrems:"Wir erwarten, dass ähnliche Entscheidungen nun schrittweise in den meisten EU-Mitgliedstaaten fallen werden. Wir haben 101 Beschwerden in fast allen Mitgliedstaaten eingereicht, und die Behörden haben die Entscheidungen koordiniert. Eine ähnliche Entscheidung hat auch der Europäische Datenschutzbeauftragte letzte Woche getroffen."

Langfristige Lösung. Langfristig scheint es zwei Möglichkeiten zu geben: Entweder bieten US-Gesetze besseren Datenschutz für Ausländer um die US-Industrie zu unterstützen, oder US-Anbieter müssen ausländische Daten außerhalb der Vereinigten Staaten verarbeiten.

Max Schrems:"Langfristig brauchen wir entweder einen angemessenen Datenschutz in den USA, oder wir werden am Ende getrennte Produkte für die USA und die EU haben. Ich persönlich würde einen besseren Schutz in den USA bevorzugen, aber das ist Sache des US-Gesetzgebers."

Fällt Google LLC nicht unter die Übermittlungsregeln? Die DSB hat die Beschwerde gegen Google LLC als Datenempfänger in den USA zurückgewiesen und vertritt die Ansicht, dass die Regeln für die Datenübermittlung nur für EU-Einrichtungen und nicht für die US-Empfänger gelten. Die DSB erklärte jedoch, dass das Verfahren gegen Google LLC im Hinblick auf mögliche Verstöße gegen Artikel 5, 28 und 29 DSGVO weiter läuft. Es erscheint fraglich, ob Google der US-Regierung personenbezogene Daten ohne ausdrückliche Anordnung des EU-Datenexporteurs übermitteln durfte. Die DSB wird zu dieser Frage wohl eine separate Entscheidung erlassen.

Max Schrems:"Für uns ist es entscheidend, dass die US-Anbieter das Problem nicht einfach auf die EU-Unternehmen abwälzen können. Deshalb haben wir auch gegen den US-Empfänger eine Beschwerde eingereicht. Die DSB hat diesen Ansatz teilweise abgelehnt. Wir werden prüfen, ob wir gegen diesen Teil der Entscheidung eine Beschwerde einlegen."

(Noch) keine Strafe. Die Entscheidung befasst sich nicht mit einer möglichen Strafe, da es sich um ein "amtliches" Durchsetzungsverfahren handelt, bei dem der Beschwerdeführer nicht angehört wird. Es gibt daher keine Informationen darüber, ob eine Strafe verhängt wurde oder ob die DSB plant, ebenfalls eine Strafe zu verhängen. Die DSGVO sieht in solchen Fällen Strafen von bis zu 20 Millionen Euro oder 4 % des weltweiten Umsatzes vor.

Max Schrems:"Wir würden davon ausgehen, dass es auch eine Strafe gibt, aber wir haben bisher nur eine Teilentscheidung erhalten, die sich nicht mit dieser Frage befasst."

Weitere Schritte durch deutsche Datenschutzbehörde. Da der österreichische Datenexporteur mit einem deutschen Unternehmen fusioniert hat, war der österreichische DSB für Verstöße vor dieser Fusion zuständig. Die DSB hielt fest, dass ein Verbot künftiger Datenübermittlungen bei der zuständigen Behörde am neuen Sitz des Datenexporteurs in Deutschland anhängig gemacht wird.

Detailierte rechtliche Analyse. noyb hat auch eine tiefergehende rechtliche Analyse auf GDPRhub.eu veröffentlicht.