Wer sich eine professionelle Homepage programmieren lässt – sei es als Unternehmen oder öffentliche Körperschaft – nutzt auch meist Google Analytics. Google Analytics bietet umfassende Analysemöglichkeiten für den Traffic auf der Homepage und ist gratis – ein attraktives Angebot. Der Service hat jedoch einen datenschutzrechtlichen Pferdefuß, der den meisten nicht bewusst ist und nach einer Entscheidung im Dezember letzten Jahres (DSB 22.12.2021, DSB-D155.027) jetzt wieder Gegenstand einer bis dato nur von noyb veröffentlichten (Öffnet in einem neuen Tab oder Fenster) Entscheidung der Datenschutzbehörde war.
Mittels Google Analytics werden eine Online-Kennung und die IP-Adresse des Website-Besuchers an Google LLC in die USA übermittelt. Diese Datenübermittlung ist datenschutzrechtlich problematisch.
Für eine rechtskonforme Datenübermittlung in ein Drittland wie die USA kann es datenschutzrechtlich mehrere Grundlagen geben, von denen – nachdem der EuGH den Privacy Shield-Angemessenheitsbeschluss für ungültig erklärt hat – hier zwei in Betracht kommen: Der Abschluss von Standarddatenschutzklauseln oder die ausdrückliche Einwilligung des Website-Besuchers in die Datenübermittlung.
Google ist den Weg der Standarddatenschutzklauseln gegangen und hat darüber hinaus noch zusätzliche Maßnahmen für den Datenschutz vorgesehen. Die Datenschutzbehörde hat jedoch entschieden, dass diese Klauseln aufgrund der Zugriffs- und Überwachungsrechte der US-Nachrichtendienste allein nicht für eine rechtmäßige Übermittlung der Daten in die USA ausreichen. Auch die von Google LLC implementierten ergänzenden Maßnahmen sind nach Ansicht der DSB nicht effektiv, um die Daten vor Zugriffe durch die US-Nachrichtendienste zu schützen. Die Datenschutzbehörde hat daher die Datenübermittlung in die USA im Rahmen von Google Analytics als rechtswidrig qualifiziert.
Die Datenschutzbehörde hat dabei das im Verfahren vorgebrachte Argument, es sei das mit der Datenübermittlung in die USA tatsächliche verbundene Risiko zu berücksichtigen („risikobasierter Ansatz“), abgelehnt: Die Datenübermittlung in die USA ohne entsprechende Rechtsgrundlage ist rechtswidrig unabhängig davon, ob ein gewisses Mindestrisiko besteht oder US-Nachrichtendienste tatsächlich auf die Daten zugreifen.
In der Praxis bleibt somit für eine rechtmäßige Datenübermittlung bei der Nutzung von Google Analytics nur die ausdrückliche Einwilligung des Website-Besuchers als Rechtsgrundlage über. Die Einwilligung ist aber nur rechtswirksam, wenn sie freiwillig erfolgt, gesondert erklärt wird (eigene Checkbox erforderlich) und mit einer Information über die mit der Datenübermittlung verbundenen Risiken einher geht. Das ist nicht einfach zu implementieren und macht eine Webseite auch nicht attraktiver.