Die österreichische Datenschutzbehörde stellte in einer Entscheidung fest, dass im Falle der Verwendung von Web-Analyse-Tools, bei denen es zu einer Datenübertragung in die USA kommt, auf die Einhaltung spezieller Voraussetzungen geachtet werden muss. In einem konkreten Beschwerdefall entschied die Aufsichtsbehörde, dass die Datenübertragung in die USA nicht datenschutzkonform erfolgte und dass daher vom Webseiten-Betreiber gegen die Datenschutzgrundverordnung verstoßen wurde.
Grundsätzlich ist eine Datenübertragung in sogenannte unsichere Drittländer nicht erlaubt, wenn diese keinen vergleichbaren Datenschutzstandard aufweisen wie die EU. Seit dem Urteil des Europäischen Gerichtshofes vom 16.07.2020, das vom österreichischen Datenschutzaktivisten Max Schrems herbeigeführt wurde und im Zuge dessen das sogenannte Privacy-Shield-Abkommen und damit der Angemessenheitsbeschluss der Europäischen Kommission für ungültig erklärt wurde, müssen die USA ebenfalls als unsicheres Drittland betrachtet werden. Für Datenübertragungen müssen nunmehr andere ausreichende rechtliche Grundlagen und zusätzlicher Garantien vorliegen und auch nachgewiesen werden können.
Um dem EuGH-Urteil mehr praktisches Gewicht zu geben, wurden von der Datenschutzorganisation NOYB insgesamt 101 Beschwerden bei den verschiedenen nationalen Datenschutzbehörden eingebracht und es werden laufend weitere Beschwerden angedroht, sofern nicht Missstände binnen 4 Wochen behoben werden. Im gegenständlichen Fall bezog sich die Beschwerde von Max Schrems auf die Einbindung von Google Analytics in einer Webseite. Google Analytics ist eine sehr verbreitete Anwendung zur Analyse des Nutzerverhaltens bei Webseiten. Die Betreiber nützen die Auswertungen für die Verbesserung des eigenen Leistungsangebotes, es werden damit aber auch umfangreiche Marketingmaßnahmen verbunden, die vor allem maßgeschneidert auf die Interessen der Nutzer sein sollen. Von Datenschutzexperten wird Google Analytics als das bekannteste, das leistungsstärkste, aber auch - auf Grund seiner Marktmacht - als das problematischste Werkzeug zur Beobachtung von Nutzerverhalten eingestuft. Google Analytics hatte im Dezember 2021 einen Marktanteil von 86% unter den Analysetools.
Die Beobachtung erfolgt unter Verwendung von eigenen Programmteilen, sogenannten Cookies, die es ermöglichen, die Aktionen des Users nachzuvollziehen. Dies wird schon jedem untergekommen sein, wenn er sich bei irgendeinem Online-Händler bestimmte Produkte angesehen hat und plötzlich genau diese Produkte überall in der Werbung auftauchen. Cookies ermöglichen diese Art der Beobachtung und bilden die Basis für die hohen Werbeeinnahmen der großen Social-Media-Plattformen.
Die österreichische Datenschutzbehörde hat in ihrem Bescheid festgestellt, dass im überprüften Fall keine ausreichenden rechtlichen Grundlagen für eine datenschutzkonforme Einbindung und somit Verwendung von Google Analytics bestanden haben. Weiters ist die Datenschutzbehörde der Ansicht, dass Google Analytics - zumindest was die Versionen vor Google Analytics 4 betrifft - nicht datenschutzkonform betrieben werden kann. In der Zwischenzeit wurde auch seitens der französischen Datenschutzbehörde CNIL eine gleichlautende Entscheidung getroffen und dem Verantwortlichen aufgetragen, innerhalb eines Monats einen rechtskonformen Zustand herbeizuführen, wenn notwendig auf die Verwendung zu verzichten oder ein Tool zu verwenden, das keinen Transfer von Daten außerhalb der EU umfasst. Eine solche Aufforderung ist nach Mitteilung der CNIL auch an andere Webseiten-Betreiber gegangen.
Aufgrund der Beispielwirkung eines solchen Bescheides, der zwar noch nicht rechtskräftig ist, von dem aber allgemein ausgegangen wird, dass er einer gerichtlichen Prüfung standhalten wird, müssen die Anwender von Google Analytics damit rechnen, dass sie Maßnahmen ergreifen müssen, um nicht im Falle einer Beschwerde ebenfalls eine nicht rechtskonforme Datenverarbeitung attestiert zu bekommen. Google Analytics 4 scheint hier eine mögliche Alternative zu sein. Vor allem, weil GA4 ohne den Einsatz von Cookies agiert.
Ein freiwilliges Opt-In durch den Nutzer der Webseite bleibt natürlich die rechtliche Voraussetzung.
Für Fragen stehen wir jederzeit zur Verfügung.