Es mag verlockend sein, auf der eigenen Webseite das kostenlose „Google Analytics“ einzubinden, oder sich der Schriftarten von „Google Fonts“ zu bedienen. Wie aber die aktuelle Entwicklung in der Rechtsprechung und Praxis der Datenschutzaufsichtsbehörden zeigt, ist es nicht ganz risikofrei. Dieser Beitrag soll einen Überblick darüber verschaffen, worum es bei diesen Entscheidungen geht und welche datenschutzrechtlichen Herausforderungen Webseitenbetreiber bei der Einbindung von Drittanbieter-Tools wie Google Analytics, Google Fonts und vergleichbaren Angeboten im Blick haben sollten.
Table of Contents
I. Was ist – datenschutzrechtlich – das Problem beim Einsatz von Google Analytics & Co.?
Jeder, der eine Webseite kommerziell betreibt, hat ein nachvollziehbares Interesse daran, diese attraktiv zu gestalten sowie die Reichweite seines Webangebots zu erfahren, um die daraus gewonnenen Erkenntnisse zur Optimierung seiner Produkte oder zur besseren Webseitengestaltung einsetzen zu können. Das sollte möglichst kosten- und zeiteffizient und – aus Sicht eines Rechtsanwalts – natürlich möglichst rechtssicher erfolgen.
„Rechtssicher“ bedeutet im Datenschutz, dass wenn für diese Zwecke Drittanbieter-Tools eingebunden werden, die personenbezogene Daten der Webseitenbesucher verarbeiten, diese Verarbeitung unter Einhaltung der Anforderungen der EU-Datenschutzgrundverordnung (DS-GVO) und des Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) erfolgen muss. Dazu gehört zum Beispiel die Anforderung, dass solche Datenverarbeitungen – einschließlich der Übermittlung der Daten in ein Land außerhalb des Gebiets der EU bzw. des EWR (ein sogenanntes „Drittland“), nach der DS-GVO erlaubt sein müssen. Dementsprechend ist die Verarbeitung dann zulässig, wenn, zum Beispiel, eine „Einwilligung des Betroffenen“ oder ein „überwiegendes berechtigtes Interesse des Webseitenbetreibers“ für die Datenverarbeitung vorliegt. Bei einem Transfer in Drittländer kann die Übermittlung aufgrund eines „Angemessenheitsbeschlusses“ der EU-Kommission erlaubt sein, oder sie erfolgt aufgrund von sogenannten „Standardvertragsklauseln“ (SCC). Ferner verlangt die DS-GVO, dass die an der Datenverarbeitung Beteiligten in bestimmten Fällen bestimmte Verträge miteinander abschließen.
Beim Einsatz von Google Analytics und Google Fonts ist der Webseitenbetreiber allerdings faktisch auf die von Google vorgegebenen Modalitäten und Bedingungen der Datenverarbeitung angewiesen, da diese sogenannten „One for many“-Lösungen nicht darauf angelegt sind, zu individuell ausgehandelten Vertragsbedingungen angeboten zu werden. Google stellt in seinen Nutzungsbedingungen klar, dass beispielsweiser die mittels Google Analytics mit Standardeinstellungen erhobenen Daten von Google auch zu eigenen Zwecken und unter anderem auch in den USA verarbeitet werden können. Selbst wenn die Daten im Territorium der EU bzw. des EWR verbleiben würden, kann die Möglichkeit des Zugriffs auf diese Daten durch die in den USA ansässige Google LLC nicht ausgeschlossen werden.
II. Wie ist der aktuelle Stand der Entscheidungspraxis zu Google Analytics & Co.?
In der letzten Zeit wurden mehrere praxisrelevante Entscheidungen zu Diensten von Google veröffentlicht. In diesen Entscheidungen wurden im Einzelnen folgende Aussagen zu den vorstehend angesprochenen datenschutzrechtlichen Anforderungen getroffen:
1. Werden beim Einsatz von Google Analytics auf einer Webseite personenbezogene Daten der Webseitenbesucher an Google übermittelt?
JA, sagt die österreichische Datenschutzaufsichtsbehörde (DSB) in einer Entscheidung, die Ende des Jahres 2021 aufgrund einer Musterbeschwerde der Nichtregierungsorganisation (NGO) „noyb“ gegen den Betreiber einer Website mit eingebundenem Google Analytics Dienst ergangen ist. Zu personenbezogenen Daten gehören danach die einzigartigen „Online-Kennungen“ („unique identifier“), die IP-Adresse, Browser-Parameter, Betriebssystemeinstellungen wie z.B. Bildschirmauflösung und Sprache, Datum und Uhrzeit des Website-Besuchs, die Adressen der besuchten Seiten (URL).
Zwar werden nach Google-Angaben bei der korrekten Anwendung der „IP-Anonymisierung (oder IP-Maskierung)“ die IP-Adressen „gekürzt oder maskiert, sobald die Daten bei Google Analytics eingehen und noch bevor sie gespeichert oder verarbeitet werden“. Diese Funktion wurde in dem zur Entscheidung der DPA vorliegenden Fall „aufgrund eines Codefehlers nicht korrekt implementiert“. In der Begründung der Entscheidung ließ die DSB jedoch erkennen, dass eine korrekte Implementierung an der Entscheidung nichts geändert hätte. Denn die IP-Adresse sei, so die DSB, nur eines von vielen „Puzzleteilen“ des digitalen Fußabdrucks des Webseitenbesuchers. Die Kennung werde mit so vielen weiteren Elementen verknüpft, dass ein Personenbezug immer noch vorliegen würde.
Google reagierte auf die Entscheidung in einem Blogbeitrag mit dem Argument, dass es sich um ein grundlegendes Missverständnis der Funktionsweise von Google Analytics handele. Der Webseitenbetreiber kann innerhalb von vier Wochen nach Zustellung der Entscheidung Rechtsmittel einlegen.
2. Erfolgt die Übermittlung der Nutzerdaten durch Google in die USA rechtmäßig?
NEIN, sagt die österreichische Datenschutzaufsichtsbehörde (DSB) in der vorstehend erläuterten Entscheidung.
Hintergrund dieser Aussage ist zunächst, dass der Europäische Gerichtshof (EuGH) in seinem sog. „Schrems II“-Urteil (EuGH, Urt. 16.07.2020, Rs. C‑311/18) die USA wegen der weitreichenden Überwachungs- und Zugriffsmöglichkeiten der US-Geheimdienste auf die EU-Daten sowie fehlender effektiver Rechtsschutzmöglichkeiten für die betroffenen EU-Bürger für ein unsicheres Drittland erklärt hat, in dem kein angemessenes Schutzniveau für die EU-Daten besteht. Da der EuGH damit den Angemessenheitsbeschluss der EU-Kommission (sog. „Privacy Shield“) gekippt hat, bedarf der Datentransfer in die USA seitdem einer besonderen Rechtsgrundlage. Im der DSB zur Entscheidung vorgelegenem Fall hat sich der Webseitenbetreiber darauf berufen, dass er mit Google die sog. Standardvertragsklauseln (das ist ein von der EU-Kommission herausgegebener standardisierter Datenverarbeitungsvertrag) abgeschlossen habe. Der EuGH hat jedoch im „Schrems II“-Urteil festgestellt, dass die Rechtmäßigkeit des Datentransfers in die USA nur dann auf solche Standardvertragsklauseln gestützt werden kann, wenn die Parteien „zusätzliche Maßnahmen“ ergreifen, die für die Herbeiführung eines gleichwertigen Schutzniveaus wie in der EU geeignet sind.
Die DSB stellte in ihrer Entscheidung jedoch fest, dass die von Google vorgetragenen zusätzlichen Maßnahmen – wie die Veröffentlichung von Transparenzberichten, die Überprüfung von Behördenanfragen, „On-Site-Security“ und der Einsatz von Verschlüsselungstechniken – nicht ausreichend sind, um in der Praxis den effektiven Schutz der in die USA übermittelten personenbezogenen Daten zu gewährleisten. Die DSB hielt fest, „dass die gegenständlichen zusätzlichen Maßnahmen nicht effektiv sind, da diese die im Rahmen des „Schrems II“ EuGH-Urteils aufgezeigten Rechtsschutzlücken – also die Zugriffs- und Überwachungsmöglichkeiten von US-Nachrichtendiensten – nicht schließen“. Dabei bezieht sich die DSB auf die „Empfehlungen des Europäischen Datenschutzausschusses 01/2020 zu Maßnahmen zur Ergänzung von Übermittlungstools zur Gewährleistung des unionsrechtlichen Schutzniveaus für personenbezogene Daten“.
Der Europäische Datenschutzbeauftragte (EDSB) hat eine ähnliche Entscheidung in Bezug auf die Verwendung von Google Analytics durch das Europäische Parlament (EP) im Zusammenhang mit der im Auftrag von EP betriebenen COVID-Test-Website getroffen.
3. Gibt es ähnliche Entscheidungen zu weiteren Drittanbieter-Diensten?
a) Fall “Cookiebot”
In einem Fall, der aktuell die deutschen Gerichte beschäftigt, geht es um die Vereinbarkeit der Consent-Management-Plattform „Cookiebot“ mit der DS-GVO. Dieses Tool wurde von der Hochschule RheinMain zur Verwaltung von Einwilligungen der Webseitenbesucher zur Verwendung von Cookies eingesetzt. Am 01. Dezember 2021 hat das Verwaltungsgericht Wiesbaden der Hochschule RheinMain auf Basis des „Schrems II“ EuGH-Urteils per einstweilige Anordnung untersagt, „Cookiebot“ auf ihrer Homepage einzubinden und dadurch Daten in die USA zu übertragen. Im konkreten Fall nutzte Cybot, der Anbieter von Cookiebot, die Server des Cloud-Anbieters „Akamai Technologies Inc.“, einem Unternehmen dessen Muttergesellschaft in den USA sitzt. Dabei betonten die Richter, dass eine Drittlandübertragung bereits dann vorliege, wenn die Konzernmutter eines Cloud-Anbieters in den USA sitzt. Ob die Daten tatsächlich in die USA gelangten oder auf einem Server in der EU blieben und ob Vertragspartner von Cybot die US-Mutter oder ein deutsches Tochterunternehmen gewesen ist, sei unerheblich. Entscheidend sei, dass aufgrund des CLOUD-Act („Clarifying Lawful Overseas Use of Data Act“ eines US-amerikanischen Gesetzes aus dem Jahr 2018) ein US-Cloud-Anbieter zur Herausgabe von IP-Adressen, die auch außerhalb der USA von ihren Tochtergesellschaften gespeichert sind, angehalten werden könne.
Auf die Beschwerde der Hochschule hat nunmehr der Hessische Verwaltungsgerichtshof (VGH) die einstweilige Anordnung des Verwaltungsgerichts Wiesbaden aus formellen Gründen aufgehoben (10 B 2486/21 vom 17. Januar 2022). Nach Ansicht des VGH habe der Antragsteller die Eilbedürftigkeit einer Entscheidung im einstweiligen Anordnungsverfahren – insbesondere die Notwendigkeit der Nutzung der Website der Hochschule für seine Berufsausübung oder sonstige Grundrechtsausübung – nicht ausreichend dargelegt. Nun muss das Verwaltungsgericht in einem Hauptsacheverfahren nochmals entscheiden.
b) Fall „Google Fonts“
Ferner ging es in einem vom Landgericht München entschiedenen Fall (3 O 17493/20 vom 20. Januar 2022) um die Übermittlung der dynamischen IP-Adresse an Server von Google in den USA, die beim Einsatz des Schriftartendienstes „Google Fonts“ stattfindet und in die der Kläger nicht eingewilligt hatte. Das Gericht befand, dass die dynamische IP-Adresse ein personenbezogenes Datum darstellt und dass der streitgegenständliche Einsatz von Google Fonts auf einer Webseite nicht auf ein „überwiegendes berechtigtes Interesse“ des Webseitenbetreibers (Artikel 6 Abs. 1 S.1 lit. f DS-GVO) gestützt werden kann.
Tatsächlich funktioniert Google Fonts so, dass beim Aufruf einer mit den Schriften von Google Fonts ausgestatteten Webseite eine Verbindung zu den Servern von Google aufbaut wird, um die Schriftart herunterzuladen. Während dessen übermittelt der Browser des Webseitennutzers zwangsläufig verschiedene Informationen, u.a. verschiedene Browser- und Gerätedaten und auch die IP-Adresse des Nutzers. Da sich die Server mit Google Fonts in den USA befinden, werden durch die Einbindung von Google Fonts personenbezogene Daten in die USA übermittelt.
Im Hinblick auf die Interessensabwägung begründete das Gericht seine Entscheidung damit, dass die Google Schriftarten auch so genutzt werden können, dass beim Aufruf der Webseite keine Verbindung zu einem Google-Server hergestellt wird und damit eine Übertragung der IP-Adresse der Webseitennutzer an Google nicht stattfindet. Gemeint könnte hier die lokale Speicherung der Google Fonts auf dem Webserver des Webseitenbetreibers und ihre Nutzung im „Offline“-Modus sein. Dabei lädt man die benötigten Fonts von den Google-Servern und speichert sie lokal auf dem Webserver des Webseitenbetreibers. Die Verwaltung der Fonts ist dann wie bei jeder anderen lokalen Schriftart möglich. Eine Übertragung der IP-Adresse an Google findet dann nicht mehr statt.
Das Gericht gab den Unterlassungs- und Schadensersatzansprüchen des Klägers statt.
4. Welche Verträge muss ein Webseitenbetreiber mit Google beim Einsatz von Google Analytics abschließen?
Das Landgericht Rostock hält in seinem Urteil vom 15. September 2020 (3 O 762/19) den Abschluss eines Joint Controller Agreements (JCA) zwischen Google und dem Google-Analytics-Anwender im Sinne des Artikels 26 DS-GVO für erforderlich. Dieses Ergebnis begründet das Gericht damit, dass durch die Einbindung der Drittanbieter-Cookies von Google Analytics personenbezogene Daten an Google übertragen und von Google (auch) für eigene Zwecke verarbeitet werden können. Dies stellt nach Ansicht des Gerichts einen Fall der gemeinsamen Verantwortung nach Artikel 26 DS-GVO und keine bloße Auftragsverarbeitung gemäß Artikel 28 DS-GVO dar. Das Gericht gab dem Unterlassungsanspruch statt, was impliziert, dass in diesem Fall das Wesentliche der zwischen den gemeinsam für die Verarbeitung der Daten Verantwortlichen (Google und Google-Analytics-Anwender) abzuschließenden Vereinbarung den Webseitennutzern zur Verfügung gestellt werden muss.
Zum gleichen Ergebnis, nämlich dem Vorliegen der gemeinsamen Verantwortlichkeit von Google und dem Google-Analytics-Anwender, kommt auch die Datenschutzkonferenz in ihren Hinweisen zum Einsatz von Google Analytics aus dem Jahr 2020. Das in den Jahren 2009/2010 noch unter Geltung der damaligen EU-Datenschutzrichtlinie zwischen Google und der Hamburger Datenschutzaufsichtsbehörde vereinbarte „Hamburger Modell“, bei dem Google sich einer physisch unterzeichneten (!) Vereinbarung zur Auftragsdatenverarbeitung unterwarf, ist damit endgültig überholt.
III. Ausblick
Über die rechtlichen Fallstricke der komplexen Datenverarbeitungen beim Einsatz von Drittanbieter-Tools wie Google Analytics können sich die Webseitenbetreiber oft ohne Hinzuziehung eines Rechtsrates kein eigenes Urteil bilden. Noch nie war es so schwierig, rechtssicher die Nutzung der eigenen Website zu analysieren.
Die Webseitenbetreiber, bei denen die bequemen Angebote der großen US-Anbieter genutzt werden, müssen die technische Gestaltung ihrer Webseiten hinterfragen und auf datenschutzrechtliche Risiken überprüfen. Als Faustregel kann man aktuell wohl nur empfehlen, personenbezogene Daten möglichst nur lokal, d.h. auf dem eigenen Server, zu verarbeiten und entsprechende Dienste auch dort zu betreiben. Die Einbindung externer Angebote und der damit zusammenhängende Datenfluss sollte genau geprüft werden – bleiben die Daten wirklich in der EU bzw. dem EWR? Die oben zitierte Entscheidung des Verwaltungsgerichts Wiesbaden zeigt, dass selbst wenn die Daten im Hoheitsgebiet der EU oder des EWR verbleiben, die gesellschaftsrechtlich verankerten Möglichkeit, aus dem Ausland auf diese Daten zuzugreifen (durch Einflussnahme der Mutter- auf die Tochtergesellschaft), ebenfalls eine Rolle spielen kann.
Und schließlich sind auch die Geschäftsmodelle der Drittanbieter betroffen. Sie müssen die heute üblichen Software-as-a-Service Modelle hinterfragen, bei denen oft die bequemen Angebote der großen US-Anbieter genutzt werden. Gleichzeitig eröffnen sich für kleinere, unabhängige europäische oder auch nationale Anbieter von Cloud-Leistungen neue Marktchancen.
Die Kenntnis der aktuellen Entscheidungspraxis sollte Webseitenbetreibern und Anbietern von Analysetools jedoch helfen, für bestimmte Problempunkte sensibilisiert zu sein und die eine oder andere Einstellung der jeweiligen Tools kritisch zu hinterfragen.
Cover picture: Copyright © Adobe Stock / pickup