DSB: Einsatz von #Google #Analytics verstößt gegen »Schrems II« Entscheidung des EUGH

In einer wegweisenden Entscheidung hat die österreichische Datenschutzbehörde (»DSB«) auf eine Musterbeschwerde von Noyb hin entschieden, dass die Nutzung von Google Analytics gegen die DSGVO verstößt. Dies ist die erste Entscheidung zu den 101 Musterbeschwerden, die Noyb im Zuge der sogenannten »Schrems II« Entscheidung in ganz Europa eingereicht hat. Im Jahr 2020 entschied der Europäische Gerichtshof (EUGH), dass die Nutzung von US Anbietern gegen die #DSGVO verstößt, da US Ãœberwachungsgesetze US Anbieter wie Google oder Facebook dazu verpflichten, persönliche Daten an US Behörden zu übermitteln. Ähnliche Entscheidungen werden in anderen #EU Mitgliedstaaten erwartet, da die Datenschutzbehörden in diesen Fällen in einer »EDPB Taskforce« zusammengearbeitet haben. Es scheint, dass die österreichische DSB Entscheidung die erste ist, die zugestellt wurde.

Maschinelle Ãœbersetzung der Entscheidung (Englisch, PDF)

2020: EUGH Urteil trifft erste Unternehmen. Im Juli 2020 hat der EUGH sein »Schrems II« Urteil verkündet, in dem er feststellt, dass eine Ãœbermittlung an US Provider, die unter FISA 702 und EO 12.333 fallen, gegen die Exportverbote für Daten in der DSGVO verstößt. Der EUGH erklärte daraufhin das »Privacy Shield« für ungültig, nachdem dieser bereits das vorherige System (»Safe Harbor«) im Jahr 2015 für ungültig erklärt hatte. Während sich IT Unternehmen zuerst schockiert gaben, haben US Anbieter und EU Unternehmen die Entscheidung weitgehend ignoriert. Genau wie Microsoft, Facebook oder Amazon hat sich Google auf sogenannte »Standardvertragsklauseln« verlassen, um den Datentransfer fortzusetzen und seine europäischen Geschäftspartner zu beruhigen.

Max Schrems, Vorsitzender von Noyb: »Anstatt ihre Dienste technisch so anzupassen, dass sie mit der DSGVO konform sind, haben US Unternehmen versucht, einfach ein paar Texte in ihre Datenschutzrichtlinien einzufügen und den EUGH zu ignorieren. Viele EU Unternehmen sind diesem Beispiel gefolgt, anstatt auf legale Dienste zu wechseln.«

»SCCs« und »TOMs« nicht genug. Google hatte in einer Eingaben behauptet »technische und organisatorische Maßnahmen« (»TOMs«) umgesetzt zu haben. Dabei wurden Ideen wie Zäune um Datenzentren, die Ãœberprüfung von Behördenanfragen oder eine minimale Verschlüsselung vorgebracht. Wenig überraschend, hat die DSB diese Maßnahmen als absolut nutzlos bewertet, wenn es um den Zugriff durch US Behörden geht (Seite 38 und 39 der Entscheidung) …

»In Bezug auf die dargelegten vertraglichen und organisatorischen Maßnahmen ist nicht erkennbar, inwiefern [die Maßnahmen] effektiv im Sinne der obigen Ãœberlegungen sind.«

»Sofern die technischen Maßnahmen betroffen sind, ist ebenso nicht erkennbar […] inwiefern [die Maßnahmen] die Zugriffsmöglichkeiten von US Nachrichtendiensten auf der Grundlage des US Rechts tatsächlich verhindern oder einschränken.«

Max Schrems: »Die DSB hat eine sehr detaillierte und fundierte Entscheidung erlassen. Die Quintessenz ist: EU Unternehmen können keine US #Cloud Dienste mehr nutzen. Es ist jetzt 1,5 Jahre her, dass der EUGH das ein zweites Mal bestätigt hat – es ist also mehr als an der Zeit, dass das Gesetz auch durchgesetzt wird.«

Die Entscheidung ist für fast alle #EU #Websites relevant. Google Analytics ist das am weitesten verbreitete Statistikprogramm. Obwohl es viele Alternativen gibt, die in Europa gehostet werden oder selbst gehostet werden können, verlassen sich viele Websites auf Google und übermitteln damit ihre Nutzerdaten an den US Multi. Ebenso werden viele andere US Dienste genutzt, die einen Zugriff durch US Geheimdienste ermöglichen. Die Tatsache, dass die Behörden nun nach und nach US Dienste für illegal erklären könnten, erhöht den Druck auf EU Unternehmen und US Provider, auf sichere und legale Optionen zu setzen. Hier ist vor allem die Verarbeitung ohne faktischen Zugriff von US Unternehmen wichtig.

Max Schrems: »Wir erwarten, dass ähnliche Entscheidungen nun schrittweise in den meisten EU Mitgliedstaaten fallen werden. Wir haben 101 Beschwerden in fast allen Mitgliedstaaten eingereicht, und die Behörden haben die Entscheidungen koordiniert. Eine ähnliche Entscheidung hat auch der Europäische Datenschutzbeauftragte letzte Woche getroffen.«

Langfristige Lösung. Langfristig scheint es 2 Möglichkeiten zu geben: Entweder bieten #US #Gesetze besseren Datenschutz für Ausländer um die US Industrie zu unterstützen, oder US Anbieter müssen ausländische Daten außerhalb der Vereinigten Staaten verarbeiten.

Max Schrems: »Langfristig brauchen wir entweder einen angemessenen Datenschutz in den USA, oder wir werden am Ende getrennte Produkte für die USA und die EU haben. Ich persönlich würde einen besseren Schutz in den USA bevorzugen, aber das ist Sache des US Gesetzgebers.«

Fällt Google LLC nicht unter die Übermittlungsregeln? Die DSB hat die Beschwerde gegen Google LLC als Datenempfänger in den USA zurückgewiesen und vertritt die Ansicht, dass die Regeln für die Datenübermittlung nur für EU Einrichtungen und nicht für die US Empfänger gelten. Die DSB erklärte jedoch, dass das Verfahren gegen Google LLC im Hinblick auf mögliche Verstöße gegen Artikel 5, 28 und 29 DSGVO weiter läuft. Es erscheint fraglich, ob Google der US Regierung personenbezogene Daten ohne ausdrückliche Anordnung des EU Datenexporteurs übermitteln durfte. Die DSB wird zu dieser Frage wohl eine separate Entscheidung erlassen.

Max Schrems: »Für uns ist es entscheidend, dass die US Anbieter das Problem nicht einfach auf die EU Unternehmen abwälzen können. Deshalb haben wir auch gegen den US Empfänger eine Beschwerde eingereicht. Die DSB hat diesen Ansatz teilweise abgelehnt. Wir werden prüfen, ob wir gegen diesen Teil der Entscheidung eine Beschwerde einlegen.«

(Noch) keine Strafe. Die Entscheidung befasst sich nicht mit einer möglichen Strafe, da es sich um ein »amtliches« Durchsetzungsverfahren handelt, bei dem der Beschwerdeführer nicht angehört wird. Es gibt daher keine Informationen darüber, ob eine Strafe verhängt wurde oder ob die DSB plant, ebenfalls eine Strafe zu verhängen. Die DSGVO sieht in solchen Fällen Strafen von bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Umsatzes vor.

Max Schrems: »Wir würden davon ausgehen, dass es auch eine Strafe gibt, aber wir haben bisher nur eine Teilentscheidung erhalten, die sich nicht mit dieser Frage befasst.«

Weitere Schritte durch deutsche Datenschutzbehörde. Da der österreichische Datenexporteur mit einem deutschen Unternehmen fusioniert hat, war der österreichische DSB für Verstöße vor dieser Fusion zuständig. Die DSB hielt fest, dass ein Verbot künftiger Datenübermittlungen bei der zuständigen Behörde am neuen Sitz des Datenexporteurs in Deutschland anhängig gemacht wird.

Detailiierte rechtliche Analyse

Noyb hat auch eine tiefergehende rechtliche Analyse auf grprhub.eu veröffentlicht.

Noyb, Europäisches Zentrum für Digitale Rechte

Der Verein Noyb.eu treibt seit Mai 2018 die Durchsetzung von Europäischen Datenschutzrechten voran und hat bisher mehr als 140 Verfahren gegen zahlreiche vorsätzliche Verstöße eingebracht – unter anderem gegen Unternehmen wie Google, Apple, Facebook und Amazon. Mehr als 4.300 Fördermitglieder ermöglichen die Arbeit von Noyb.