Wird der Einsatz von US-Tools bald datenschutzrechtlich unmöglich?
Grundlegende Problematik
Generell ergibt sich die Problematik rund um den Einsatz von Google Analytics und auch anderen Tools von US-Anbietern aus dem sog. "Schrems II"-Urteil des EuGH vom 16.07.2020 (Az. C-311/18), durch das der sog. EU-US-Privacy-Shield für ungültig erklärt wurde. Das wiederum führte ohne Übergangs- oder Schonfrist dazu, dass seit diesem Zeitpunkt in der Regel kein ausreichendes Datenschutzniveau für die Übermittlung von Daten mit Personenbezug in die USA mehr besteht. Und das bedeutet, dass ein Transfer solcher Daten aus datenschutzrechtlicher Sicht nicht rechtskonform möglich oder jedenfalls mit einem immens hohen Aufwand verbunden ist. Über die Einzelheiten herrscht seit Verkündung des EuGH-Urteils Streit. Die Tendenz der letzten Zeit lässt sich allerdings an verschiedenen Entscheidungen und Äußerungen von Datenschutzaufsichtsbehörden und Gerichten ablesen - und die Tendenz geht leider ganz klar Richtung Verbot von Google Analytics, Google WebFonts & Co.
Google Analytics
Die französische Datenschutzaufsichtsbehörde CNIL hat in einer Mitteilung vom 10.02.2022 darauf hingewiesen, dass der Einsatz von Google Analytics auf Websites rechtswidrig ist. Die CNIL führte dazu folgendes aus (dt. Übersetzung aus der engl. Mitteilung):
„Die CNIL kommt zu dem Schluss, dass die Übermittlungen in die USA derzeit nich ausreichend geregelt sind. Denn in Ermangelung eines Angemessenheitsbeschlusses […] für Übermittlungen in die USA kann eine Datenübermittlung nur dann stattfinden, wenn insbesondere für diesen Datenfluss geeignete Garantien vorgesehen sind. […] Die CNIL stellte jedoch fest, dass dies nicht der Fall war. Denn Google hat zwar zusätzliche Maßnahmen ergriffen, um die Datenübermittlung im Rahmen der Google Analytics-Funktion zu regeln, diese reichen jedoch nicht aus, um die Möglichkeit des Zugriffs von US-Geheimdiensten auf diese Daten auszuschließen.“
Leider geht aus der Nachricht nicht hervor, welche Version bzw. Variante von Google Analytics Grundlage der CNIL-Entscheidung war. Denn es gibt ja nicht DAS Google Analytics, denn darunter reihen sich verschiedene Dienste mit unterschiedlichen Konfigurationsmöglichkeiten ein. Je nachdem, welche Tools wie zum Einsatz kommen (und insbesondere in welchem Umfang Google die Daten auch zu eigenen Zweckenm nutzen darf), kann entweder ein Auftragsverarbeitungsverhältnis (AV) oder unter Umständen auch eine gemeinsame Verantwortlichkeit (engl.: Joint Controllership, kurz: JC) zwischen dem Anbieter (also Google) und dem Betreiber der Website vorliegen, in der dieser Dienst eingebunden wird. Zudem lässt sich über diverse Optionen ein zumindest "datenschutzfreundlicher" Betrieb von Google Analytics einstellen (z.B. durch das Entfernen der User-ID oder die Verkürzung der IP-Adressen).
Auch die Datenschutzbehörde Österreich gelangt in einem Teilbescheid vom 22.12.2021 zu der Auffassung, dass die Nutzung von Google Analytics als rechtswidrig einzustufen ist:
„[...] die Standarddatenschutzklausel [...] kein angemessenes Schutzniveau […] bieten, da [Google] als Anbieter elektronischer Kommunikationsdienste im Sinne von 50 U.S. Code §1881(b)(4) zu qualifizieren ist und als solcher der Überwachung durch US-Geheimdienste gemäß 50 U.S. Code §1881a („FISA 702”) unterliegt, und die Maßnahmen, die zusätzlich zu den [...] Standarddatenschutzklauseln getroffenen wurden, nicht effektiv sind, da diese die Überwachungs- und Zugriffsmöglichkeiten durch US-Nachrichtendienste nichtbeseitigen.“
Auch hier wird leider nur pauschal auf Google Analytics abgestellt.
Die Argumentation der Datenschutzaufsichtsbehörde der Niederlande zielt unter dem Strich in die gleiche Richtung. Auch nach ihrer Ansicht ist Google Analytics "möglicherweise" nicht mehr zulässig. Dies geht jedenfalls aus den Handlungsanleitungen zur datenschutzfreundlichen Nutzung von Google Analytics hervor, welche durch die Behörden am 13.01.2022 aktualisiert wurden. Dort findet sich nunmehr folgender ergänzender Hinweis:
"Bitte beachten Sie: Die Nutzung von Google Analytics ist möglicherweise in Kürze nich tmehr zulässig."
Was jetzt aber "in Kürze" genau bedeutet und warum nur "möglicherweise", dazu äußert sich die Behörde leider nicht.
Und auch die Datenschutzstelle Lichtenstein ordnet in ihrem Tätigkeitsbericht 2020 die Nutzung von Google Analytics als rechtswidrig ein. Hierzu führt sie aus:
"Insbesondere seit dem Schrems II-Urteil […] sah die DSS keine rechtliche Grundlage mehr, den mit Google Analytics verbundenen personenbezogenen Datentransfer in die USA zu rechtfertigen. Selbst wenn die oftmals zitierte Anonymisierung der IP-Adressen seitens des Webseitenbetreibers implementiert ist, werden weitere personenbezogene Daten an Google übermittelt. Zudem werden von Google (noch) keine zusätzlichen effektiven technischen oder organisatorischen Massnahmen getroffen, so dass ein möglicher Zugriff auf die Daten durch US-Behörden nach wie vor gegeben ist."
Praxistipp: Bis auf Weiteres kann aus anwaltlicher Vorsicht daher nur empfohlen werden, Google Analytics / Universal Analytics entweder ganz zu deaktivieren bzw. es gar nicht erst einzusetzen oder dieses Tool jedenfalls nicht ohne vorherige fachmännische Prüfung und Beratung zu nutzen.
Andere US-Tools
Auch das Europäische Parlament hat es getroffen. Diesem wurde nämlich ein Verweis durch den Europäischen Datenschutzbeauftragten (EDSB) erteilt. In einer entsprechenden Mitteilung vom 11.01.2022 heißt es dazu:
"Der EDSB hat klargestellt, dass selbst die Platzierung eines Cookies durch einen US-Anbieter einen Verstoß gegen die EU Datenschutzgesetze verstößt."
Konkret ging es hierbei um den Einsatz von Tools der Anbieter Google und Stripe.
Das Transparency & Consent Framework (TCF) des Interactive Advertising Bureau (IAB) ist ein internationaler Standard im Bereich Online-Marketing und ein zentraler Baustein für Targeting-Maßnahmen und Consent-Management-Tools (sog. Cookie-Banner). Diesbezüglich hat die belgische Datenschutzaufsichtsbehörde verlautbaren lassen, dass sie beim Einsatz des TCF datenschutzrechtliche Probleme sieht:
"Das System, mit dem Werbetreibende im Internet Einwilligungen für Targeted Advertising einsammeln, entspricht nicht den Grundsätzen von Rechtmäßigkeit und Fairness."
Dies hat das IAB inzwischen auch bestätigt.
A propos Cookie-Banner: Das VG Wiesbaden hat mit Beschluss vom 01.12.2021 (Az. 6 L 738/21) die Nutzung des Dienstleisters Cookiebot untersagt. In der Entscheidung heißt es:
"Die Antragsgegnerin ist verpflichtet, die Einbindung des Dienstes [Cookiebot] zum Zweck des Einholens von Einwilligungen auf ihrer Website […] zu beenden, da die Einbindung mit der rechtswidrigen Übermittlung von personenbezogener Daten der Webseitennutzer und damit insbesondere des Antragstellers einhergeht."
Allerdings hat das Gericht die Entscheidung im Rahmen des vorläufigen Rechtsschutzes, also nach lediglich summarischer Prüfung, getroffen. Zudem ist sie inzwischen durch die nächst höhere Instanz aus formellen Gründen aufgehoben worden (VGH Hessen, 17.01.2022, Az. 10 B 2486/21), wie u.a. Cookiebot selbst in einer Stellungnahme vom 04.02.2022 berichtet.
Ein weiterer, sehr beliebter Dienst wurde im Rahmen einer Bewertung des BayLDA als nicht ohne Weiteres mit der DSGVO vereinbar eingestuft. Hierbei handelt es sich um den Newsletter-Versender Mailchimp, zu dem das BayLDA im Rahmen einer Entscheidung vom 15.03.2021 folgendes ausgeführt hat:
"Nach unserer Bewertung war der Einsatz von Mailchimp [...] datenschutzrechtlich unzulässig, weil [...] nicht geprüft hatte, ob für die Übermittlung an Mailchimp zusätzlich zu den (zum Einsatz gekommenen) EU-Standarddatenschutzklauseln noch ‚zusätzliche Maßnahmen‘ im Sinne der EuGH-Entscheidung ‚Schrems II‘ […] notwendig sind, um die Übermittlung datenschutzkonform zu gestalten, und vorliegend zumindest Anhaltspunkte dafür bestehen, dass Mailchimp grundsätzlich Datenzugriffen von US-Nachrichtendiensten auf Grundlage der US-Rechtsvorschrift FISA702 (50 U.S.C. §1881) als möglicher sog. Electronic Communications Service Provider unterfallen kann und somit die Übermittlung nur unter Ergreifung solcher zusätzlicher Maßnahmen (sofern geeignet) zulässig sein konnte."
Zumindest sieht das BayLDA hier grundsätzlich die Möglichkeit, diesen US-Dienst rechtskonform einsetzen zu können, auch wenn die Prüfung sowie die Umsetzung der hier ebenfalls geforderten "zusätzlichen Maßnahmen" einige Unternehmen, Behörden oder Vereine an ihre Grenzen oder gar überfordern dürfte.
Auch Google Web Fonts erfreut sich (noch) großer Beliebtheit unter Website-Betreibern. Durch die Einbindung dieser kostenfrei nutzbaren Schriftarten kann man die eigene Website auf simple Weise ansprechend gestalten und auch sicherstellen, dass sie bei allen Nutzern mit der gleichen Schriftart angezeigt wird. Die Website-Nutzer müssen die entsprechenden Schriften nicht auf dem eigenen System installiert haben, da sie derart eingebunden werden können, dass sie bei jedem Besuch der Website von den Google-Servern abgerufen werden. Das ist praktisch, aber auch datenschutzrechtlich problematisch, da hierbei jedenfalls die IP-Adresse des Nutzers an Google und damit auf Server in den USA übertragen wird. Das LG München I hat in seinem Urteil vom 20.01.2022 (Az. 3 O 17493/20) entschieden, dass ein Website-Betreiber, der Google Fonts nutzt, dies ggf. zu unterlassen hat und zudem unter Umständen Schadensersatz an die Besucher seiner Website zahlen muss (sofern dies gefordert bzw. eingeklagt wird). Der in diesem konkreten Fall ausgeurteilte Schadensersatz betrug zwar "nur" 100 Euro - wenn in einem solchen Fall allerdings alle Website-Besucher Klage erheben, kann man leicht erahnen, dass hier ein immens hohes Kostenrisiko besteht. Insofern kann nur empfohlen werden, entweder eine datenschutzfreundliche Alternative zu Google Fonts zu nutzen oder diese jedenfalls lokal auf dem eigenen Server abzulegen (z.B. mit Hilfe des Google WebFonts Helper), damit gerade kein Datentransfer zu Google bzw. in die USA erfolgt.