Unsere Datenschutzexperten Christian Gusenbauer und Ermano Geuer haben gemeinsam mit Gerhard Kürner von 506 zu dem brisanten Datenschutz-Recht Thema rund um den Einsatz des beliebten Tracking-Tools für Firmen-Websites – Google Analytics gesprochen.
Treffen Sie für Ihr Unternehmen die richtige Entscheidung für DSGVO-konforme Einstellungen in Google Analytics oder informieren Sie sich über Alternativen, wie Sie Zugriffe und ähnliche KPIs Ihrer Website datschutz-legal messen können. Hier finden Sie einen Beitrag unserer Rechtsanwälte, im Zuge eines Webinars mit 506 im März 2022 verfasst haben.
Einsatz von GA unter bestimmten Voraussetzungen illegal
Am 13. Jänner 2022 hat die österreichische Datenschutzbehörde eine weitreichende juristische Entscheidung getroffen, die Auswirkungen auf alle Unternehmer:innen haben, die Ihre Website-Zugriffe mit Hilfe von Google Analytics messen: Der Einsatz von Google Analytics, dem weltweit dominierenden Tracking Tool des US-amerikanischen Google-Konzerns zur Datenverkehrsanalyse von Websites, widerspricht in der behandelten Form der Datenschutz Grundverordnung (DSGVO).
Der Verein des österreichischen Datenschützers Max Schrems, My Privacy is Non of Your Business („NOYB“), hat in einer für die Datenschutz-Community aufsehenerregenden Aktion erreicht, dass die österreichische Datenschutzbehörde („DSB“) den Einsatz des beliebten Tracking-Tools Google Analytics („GA“), das von fast jeder kommerziell betriebenen Website eingesetzt wird, unter bestimmten Voraussetzungen für illegal befindet; es drohen hohe Strafen.
Max Schrems hat dafür die bekannte österreichische Website „netdoctor.at“ mittels Beschwerde wegen des Einsatzes von Google Analytics bei der Behörde angezeigt, sodass diese ein Verfahren gegen den Betreiber eingeleitet hat. Da viele Unternehmen (auch) in Österreich auf deren Websites GA auf die gleiche Weise wie beispielsweise Netdoctor einsetzen, wollte NOYB mit dieser Aktion ein Zeichen setzen und die Datenschutz-Behörde zum Handeln zwingen.
Was bedeutet Datenübermittlung gem. Art 44 DSGVO?
Die österreichische Datenschutz-Behörde hat in ihrer Entscheidung festgestellt, dass „eine Verletzung der allgemeinen Grundsätze der Datenübermittlung gem Art 44 DSGVO“, welche die Übermittlung von personenbezogenen Daten an ein Drittland – in diesem Fall die USA – regelt. Das personenbezogene Datum in diesem Fall war die Nutzer-ID, welche das Tracking-Tool Google Analytics für jeden User generiert und diesem zuordnet, und als sogenannte „unique identifier“ von der Behörde eingestuft wurde. Damit lag eine Übermittlung von personenbezogenen Daten an ein Drittland vor.
Viele Unternehmen gehen den Weg des geringsten Widerstandes und vereinbarten mit Google sogenannten Standarddatenschutzklauseln, um diesen Transfer von Daten rechtlich abzusichern, so auch Netdoctor. Die Behörde hat in diesem Zusammenhang erkannt, dass der Abschluss von solchen Klauseln ohne zusätzliche Garantien für die Sicherheit der Daten kein angemessenes Schutzniveau bieten, da diese nicht vor dem Zugriff von US-Nachrichtendiensten oder Behörden schützen.
Die DSGVO schreibt vor, dass personenbezogene Daten durch technische und organisatorische Maßnahmen adäquat geschützt werden müssen, was in diesem Fall nicht bewerkstelligt wurde. Der Einsatz von solchen Standardvertragsklauseln ist auf diese Weise daher nicht mehr möglich, sodass Alternativen gefunden werden müssen. Obwohl der Bescheid der DSB nur gegenüber Netdoctor unmittelbare Geltung erzeugt, sind potentiell alle österreichischen Unternehmen, die auf diese Weise GA auf deren Websites implementiert haben, betroffen und setzen sich dem Risiko einer Strafe durch die DSB aus.
Welche Alternativen gibt es zu Google Analytics für Unternehmen in Österreich?
Entweder weichen Unternehmen auf andere Tracking-Tools aus, die keine Daten in Drittländer übertragen, um Rechtssicherheit zu erlangen. Oder man sucht nach einer alternativen Rechtsgrundlage, um den Transfer in die USA und andere Drittländer zu rechtfertigen, was jedoch auch weiterhin ein Risiko birgt.
So ist es denkbar, auf eine ausdrückliche Einwilligung des Website-Nutzers gem Art 49 Abs 1 lit a DSGVO zurückzugreifen, die jedoch gewissen Einschränkungen unterworfen ist. Dazu kommt, dass der Nutzer vor Abgabe der Einwilligung transparent über die Nutzung von GA und das Risiko des Datentransfers in die USA aufgeklärt werden muss, da anderenfalls die Einwilligung ungültig sein kann.
Bei genauer Analyse der Entscheidung zeigt sich, dass der Einsatz von GA nicht uneingeschränkt verboten wurde, vielmehr konkretisierte die Aufsichtsbehörde, wie der Datentransfer in die USA ausgestaltet sein muss. Wir evaluieren gerne die konkrete Situation in Ihrem Unternehmen und erarbeiten gemeinsam mit Ihnen eine maßgeschneiderte Lösung.
Haben Sie Fragen zum Datenschutz?
Der Schutz von Daten – vor allem von personenbezogenen Daten – wirkt sich auf viele Bereiche Ihres Unternehmens aus und sollte als wichtiger Bestandteil Ihrer Unternehmensstrategie auf Führungsebene fest verankert sein. Unser Netzwerk von Spezialisten für Recht und IT-Sicherheit deckt mehr als 80 verschiedene Zuständigkeitsbereiche ab. Es beschäftigt sich weltweit mit Datenschutz- und Cybersecurity-Themen, wie regelkonforme Big-Data-Projekte, Erfüllung der EU-Datenschutz-Grundverordnung (DSGVO), Wirksamkeitsstudien zu Datenschutzfaktoren, Regelkonformität für die Nutzung von Social Media, Management von Verstößen in der Cybersecurity, künstliche Intelligenz, Smart Contracts und vieles mehr.
Wie können sich Unternehmen gegen Cyberangriffe schützen?
Es ist Zeit, dass sich Unternehmer:innen in Österreich die permanente Bedrohung bewusst machen und ihre Bemühungen um eine stabile und erfolgreiche Abwehr gegen Cyberangriffe und Datendiebstahl von sensibler Unternehmens- oder Kundendaten verstärken. Denn auch Cyberkriminelle bereiten sich immer besser auf Angriffe vor: Phishing-Mails enthalten bereits interne Informationen und sind immer öfter in perfektem Deutsch geschrieben und sind immer schwieriger von den Originalen zu unterscheiden.
Der Schaden, der im Fall von Cyberangriffen und Datendiebstahl droht, kann für Unternehmen immens sein: Die Täter:innen haben es mittlerweile überwiegend auf Kundendaten und Know-how abgesehen — beides gehört zu den wichtigsten Werten eines Unternehmens. Hinzu kommt, dass die Bedrohungen aus dem Netz definitiv weiter ansteigen werden, wenn neue Technologien wie Blockchain und künstliche Intelligenz (KI) in unserem Arbeiten fest verankert sein werden; sie können sich sogar vervielfachen. Im Darknet wird schon länger mit „Crime as a Service“ geworben und Kriminalität als Dienstleistung verkauft. Mehr zum Thema Cyberkriminalität in Österreich sowie alle Zahlen, Details und Expertenmeinungen finden Sie in der neuen EY Law und EY Studie.
- Alle aktuellen Legal News von EY Law
- Ihre Rechtsberatung: Datenschutz & Cyber-Kryiminalität