Ein Urteil der Österreichischen Datenschutzbehörde sorgt seit Tagen für Unsicherheit in den Compliance- und Marketingabteilungen und war sogar in chinesischen Medien ein Thema. Gleichzeitig kursieren unzählige Interpretationen, Kommentare und Falschmeldungen darüber. Im Grundsatz geht es beim Entscheid der Österreichischen Datenschutzbehörde darum, das nach geltendem EU Recht die USA nicht als sicherer Ort für Daten gilt und alle Anbieter, welche personenbezogene Daten in den USA speichern, gemäss dem Bescheid aus Österreich gegen geltendes Recht verstossen.
Im konkreten Fall ging es um den Umgang mit IP-Adressen und Nutzerdaten bei Google Analytics. Zwar bedeutet das Urteil nicht automatisch das Ende von Google Analytics und US Cloud-Diensten in der Europäischen Union, aber Unternehmen müssen ihre bestehenden Systeme hinterfragen, um rechtlich sicher zu sein.
Mit dem veröffentlichten Entscheid der Österreichischen Datenschutzbehörde reagiert die Behörde auf eine Musterbeschwerde, die der vom Juristen und Aktivisten Max Schrems gegründete Datenschutzverein Noyb im August 2020 erhoben hatte. Die Eingabe bezog sich zunächst auf einen österreichischen Verlag, der Google Analytics eingebunden hat. Eine weitergehende Beschwerde gegen Google selbst wies die Behörde ab und sieht die Verantwortung bei den Unternehmen, welche solche Dienste einsetzen und nicht bei Google!
Hintergrund
Im Jahr 2020 entschied der Europäische Gerichtshof (EuGH), dass die Nutzung von US-Anbietern gegen die DSGVO verstösst, da US-Überwachungsgesetze US-Anbieter wie Google oder Facebook dazu verpflichten, persönliche Daten an US-Behörden zu übermitteln. Während sich IT-Unternehmen zuerst schockiert gaben, haben die meisten EU-Unternehmen die Entscheidung weitgehend ignoriert. US-Anbieter wie Facebook, Google, Microsoft oder Amazon haben sich auf sogenannte “Standardvertragsklauseln” verlassen, um den Datentransfer fortzusetzen und seine europäischen Geschäftspartner zu beruhigen.
Google und die anderen Unternehmen hatten dabei angegeben “technische und organisatorische Massnahmen” (“TOMs”) umgesetzt zu haben, um die EU Gesetze einzuhalten. Dabei wurden Zäune um Datenzentren, die Überprüfung von Behördenanfragen oder eine Verschlüsselung vorgebracht. Wenig überraschend, hat die Österreichische Datenschutzbehörde diese Massnahmen als absolut nutzlos bewertet, wenn es um den Zugriff durch US-Behörden geht.
Hinter dem Urteil steckt der vermutlich bekannteste Europäische Datenschützer, Max Schrems, der bereits die EU/US-Abkommen Safe Harbor und Privacy Shield kippte. Im November 2017 gründete er die Datenschutz-NGO noyb (steht für „none of your business“ ‚Das geht dich nichts an‘). Die NGO geht gegen Datenschutzverletzungen von Unternehmen vor.
Die Organisation um Max Schrems hatte 101 Musterbeschwerden gegen Unternehmen in 30 EU- und EWR-Mitgliedsstaaten eingereicht, weil diese Tools wie Google Analytics und Facebook Connect einsetzten. Nun hat er von der Österreichischen Datenschutzbehörde Recht bekommen. Diese erliess in diesem Zusammenhang einen Bescheid gegen ein österreichisches Unternehmen, welches Google Analytics implementiert hat.
Eine ähnlich lautende Entscheidung hatte in Deutschland die Hochschule Rhein-Main im Dezember erhalten. Sie darf auf ihrer Website keinen Cookie-Dienst nutzen, der die vollständige IP-Adresse der Endnutzer auf Servern eines Unternehmens speichert oder dorthin weitergibt, dessen Unternehmenszentrale sich in den USA befindet.
Weitere Entscheidungen werden auch in anderen EU-Mitgliedstaaten erwartet, da die Datenschutzbehörden in diesen Fällen in einer “EDPB-Taskforce” zusammengearbeitet haben. Die niederländische Aufsichtsbehörde hat in der Sache bereits zwei Entscheidungen für Anfang 2022 angekündigt. Wenn andere Aufsichtsbehörden und anschliessend die Gerichte zu dem gleichen Ergebnis kommen, hat das nicht nur Folgen für den Einsatz von Google Analytics in Europa. Vielmehr dürften EU-Unternehmen in Zukunft eventuell keine US-Clouddienste oder SaaS-Angebote mehr nutzen, wenn die Daten nicht in Europa sind und sichergestellt ist, dass die Daten nie in die USA gelangen können.
Verantwortlich ist der Website-Betreiber, nicht Google
Die Entscheidung richtete sich explizit gegen den Webseitenbetreiber und nicht gegen Google, da die Vorschriften des Kapitel V der DSGVO nicht vom Datenimporteur einzuhalten seien, sondern nur vom Datenexporteur.
Durch die Nutzung von Google Analytics werden folgende Daten an die Server von Google und damit auch an die USA übermittelt:
- einzigartige Online-Kennungen („unique identifier“), die sowohl den Browser bzw. das Gerät des Websitebesuchers wie auch die Google-Analytics-Account-ID des Websitebetreibers übermitteln
- die Adresse und der HTML-Titel der Website sowie die Unterseiten, die der Websitebesucher besucht hat;
Informationen zum Browser, Betriebssystem, Bildschirmauflösung, Sprachauswahl sowie Datum und Uhrzeit des Website-Besuchs - die IP-Adresse des Geräts, welches der Websitebesucher verwendet hat
Die angeklagte Firma hatte mit Google Standardvertragsklauseln abgeschlossen. Diese bieten allerdings gemäss dem Entscheid kein angemessenes Schutzniveau nach Art. 44 DSGVO. Grund dafür ist, dass Google bedingt durch den 50 US Code § 1881a (auch FISA 702 genannt) der Überwachung durch US-Geheimdienste unterliegt und die vorhandenen zusätzlichen getroffenen Massnahmen nicht ausreichen, um die Überwachungs- und Zugriffsmöglichkeiten der Geheimdienste auszuschliessen.
Im vorliegenden Fall wurde mit Google vertraglich Folgendes vereinbart:
- Bei Datenanfragen der Geheimdienste würden die Betroffenen benachrichtigt, sollte dies im Einzelfall
überhaupt zulässig sein - in einem Transparenzbericht oder einer „Richtlinie für den Umgang mit Regierungsanfragen“ wird veröffentlicht, dass jede Datenzugriffsanfrage durch Geheimdienste sorgfältig zu prüfen sei.
Das Argument von Google, dass die Daten verschlüsselt würden, liess die Behörde nicht gelten, da die vorgebrachten Verschlüsselungstechnologien nicht ausreichen, wenn gemäss 50 US Code § 1881a (FISA 702) der Zugriff auf die Daten zu gewähren ist, was sich ausdrücklich auch auf die kryptografischen Schlüssel erstrecken könne.
IP Anonymisierung reicht nicht aus
Google Analytics bietet die Möglichkeit, IP Daten zu anonymisieren. Im vorliegenden Fall wurde Google Analytics zum beanstandeten Zeitpunkt nicht korrekt eingerichtet und die IP Anonymisierung nicht 100% umgesetzt. Dies ist auch heute noch bei vielen Unternehmen in der EU zu beobachten, obwohl dies zum Beispiel in Ländern wie Deutschland schon vor Einführung der DSGVO nach geltendem Recht notwendig war. Seit Einführung der DSGVO ist dies EU-weit zwingend vorgeschrieben.
Doch die Österreichische Datenschutzbehörde liess durchblicken, dass die korrekte Implementierung der IP Anonymisierung an der Bewertung nichts geändert hätte. Denn Google erhalte so vielen weitere Informationen, dass ein Personenbezug immer noch vorliege. Zudem muss man sich bewusst sein, dass die Daten zuerst in die USA übermittelt und erst dort auf dem Server anonymisiert werden. Gemäss Google wird dies “as soon as technically feasible” gemacht, was gemäss Juristen im Sinne der DSGVO nicht ausreichend ist. Denn wenn ein Datensatz erst einmal in die USA gelangt, ist es unerheblich, wie schnell Google diesen anonymisiert – und zudem eine Glaubensfrage und ein Vertrauensthema. Im Gegensatz zu vielen Falschmeldungen, ändert auch Google Analytics 4 nichts an diesem Umstand. Zwar ist dort die IP Anonymisierung standardmässig eingestellt, die Anonymisierung findet aber trotzdem erst in den USA statt.
Auch SaaS, Cloud-Dienste oder Marketing-Automationstools wie Hubspot betroffen
Google Analytics ist die am weitesten verbreitete Analytics-Software. Obwohl es Alternativen gibt, die in Europa gehostet werden oder selbst gehostet werden können, verlassen sich viele Websites auf Google oder andere US-Unternehmen und übermitteln ihre Nutzerdaten in die USA. Jedes Marketing-Tool sammelt Daten für sich selbst und Sie haben keinerlei Kontrolle darüber. Das kann gut gehen, ist aber ein Risiko.
Viele US-Unternehmen lassen sich viel Zeit, sich an die EU-Gesetzgebung anzupassen. Bei Hubspot heisst es zum Beispiel zur Frage, ab wann Bestandskundinnen und -kunden ihre Daten in das EU-Rechenzentrum migrieren können (was gemäss dem aktuellen Fall helfen würde): “Aktuell haben wir das Jahr 2022 anvisiert. Da es bei Entwicklungsprojekten dieser Art aber zu unvorhersehbaren Verzögerungen kommen kann, können sich Änderungen an diesem Zeitplan ergeben.” Andere US-Tools sind da nicht besser oder haben nicht einmal angefangen, an die Speicherung der Daten in Europa zu denken.
Die Entscheidung aus Österreich wird sicherlich weiter für Diskussionen sorgen. Einerseits müssen US-Unternehmen ihre Produkte DSGVO-konformer gestalten und andererseits sollten sich Unternehmen, die in der EU Kunden gewinnen wollen, gut absichern oder datenschutzfreundlichere Alternativen einsetzen.
Alternativen suchen oder verzichten?
Kein Unternehmen kann es sich leisten, die Digitalisierung des Marketings zu vernachlässigen. Im Zeitalter von Künstlicher Intelligenz (AI) stellt sich auch die Grundsatzfrage, ob man auf Dienste setzt, welche in diesem Bereich viel Know-how haben oder ob es für das eigene Unternehmen wichtiger ist, die notwendigen Rohdaten selber zu besitzen. Was mehr gewichtet wird, ist ein individueller Entscheid jedes Unternehmens und der eigenen Digital Compliance Regeln.
Das reine Abschalten von Tools wie Google Analytics wäre sicher keine wirtschaftlich zielführende Lösung. Denn Website-Daten sind oftmals der Anfang einer Kundenbeziehung und eine Basis für die Steuerung des Marketing ROI. Sie ermöglichen eine zielgerichtete und effiziente Marktbearbeitung. Kein Unternehmen kann es sich leisten, Daten und Informationen über das Verhalten von Kunden und Interessenten nicht aktiv zu nutzen, sondern den Wettbewerbsvorteil durch die Nutzung solcher Daten ungenutzt zu lassen.
Zudem sind Website-Daten für Unternehmen der zentrale Steuerungsfaktor für die Kommunikation mit und Leistungen für Bestandskunden. Genau dieser grosse Einfluss auf den Erfolg der Unternehmenstätigkeit ist der Hauptgrund, warum Google Analytics weltweit zum dominanten Anbieter werden konnte. Es ist bezeichnend, dass sogar in China, wo sämtliche Google Dienste gesperrt sind, bei Google Analytics eine Ausnahme gemacht wurde. Der Staat weiss genau, wie wichtig solche Informationen für den Erfolg der eigenen Unternehmen ist.
Tools wie Matomo oder serverseitiges Tracking können für Rechtssicherheit sorgen
Firmen und Organisationen, welche Daten über ihre Kunden, Interessenten oder Bürger nicht auf einem Server in den USA haben wollen, setzen bevorzugt auf Matomo. Matomo Analytics wird deswegen von den meisten Bundesämtern und anderen staatlichen Stellen wie Kantonen oder Gemeinden, aber auch von Banken und vielen Firmen und Institutionen eingesetzt, denen die Hoheit über ihre Daten wichtig ist. Doch nicht für jedes Unternehmen ist das die richtige Lösung.
Eine andere Lösung, um sich abzusichern, ist serverseitiges Tracking. Der Websitebetreiber wird damit zum First-Party-Daten-Owner und ermöglicht dadurch eine DSGVO-konforme Verarbeitung. Serverseitiges Tracking ist der kleinste gemeinsame Nenner: Ich entkoppele Google und den Besucher meiner Website. Bei dieser Lösung hat man die Kontrolle darüber, welche Daten an wen weitergegeben werden. Bedenken sollte man hier allerdings, dass Informationen der Toolanbieter durchaus zu hinterfragen sind. Das Eigeninteresse an den Lösungen schafft nicht unbedingt eine neutrale Position.
In der EU ist sowieso der Einsatz eines Compliance-Tools notwendig, das nicht von Google selbst kommen sollte, sondern die Verschlüsselung personenbezogener Daten bereits auf europäischem Boden ermöglicht, also vor der Übertragung an Google oder ein anderes Analytics-Tool. Denn anonymisieren oder verschlüsseln kann der Websitebetreiber nur, wenn er hierüber die Hoheit hat. Unternehmen und Werbetreibende sind aufgrund anstehender EU-Gesetze und vor allem angesichts der Entscheidungen der Browser-Hersteller gezwungen, ihre Cookie-Verwaltung im Rahmen des Online-Marketings zu überdenken. Der aktuelle Anlass ist also eine gute Gelegenheit, die eigene Strategie hier auf den Prüfstand zu stellen.
Dabei mache es keinen Sinn, die Schuld für die Misere bei Anbietern wie Google zu suchen. Google bietet Tools wie Google Analytics oder Google Ads an, die Werbetreibende selbst wollen und bereitwillig nutzen. Nun ist es an den Unternehmen, zu entscheiden, welche Kundendaten sie Google und anderen Werbenetzwerken zur Verfügung stellen und welche nicht.
Fazit
Der Entscheid der Österreichischen Datenschutzbehörde wird sicher noch die Gerichte beschäftigen und bis dies durch alle Instanzen gegangen ist, kann es noch eine Weile dauern. Wichtig ist, dass man die geltenden Regeln kennt und die technischen Möglichkeiten richtig einschätzt. Wir haben schon auf Websites von Anwälten, welche zur DSGVO beraten, extreme Verstösse gegen die DSGVO gefunden. Nicht weil wir Juristen sind, sondern weil wir viele Schwachstellen von Tools wie Google Analytics kennen und vor allem den Umgang von Programmieren mit der DSGVO.
Es ist aktuell noch nicht zu erwarten, dass grossflächig sämtliche Website-Betreiber welche in der EU Kunden gewinnen wollen, datenschutzrechtlich zur Verantwortung gezogen werden. Sie sollten sich aber informieren und solche Themen nicht ausblenden. Anders als beim Inkrafttreten der DSGVO gibt es hier auch kein fixes Datum. Eigentlich geht es mehr darum, geltendes Recht korrekt umzusetzen.
Langfristig scheint es zwei Möglichkeiten zu geben: Entweder bieten US-Gesetze besseren Datenschutz für Ausländer, um die US-Konzerne zu unterstützen, oder US-Anbieter müssen ausländische Daten ausserhalb der Vereinigten Staaten verarbeiten und sicherstellen, dass keine heiklen Daten in die USA zurückfliessen. Bei einem Treffen mit Google am 01.12.2021 informierte der europäische Kommissar für Justiz darüber, dass man sehr viele Fortschritte bei den Verhandlungen über ein Nachfolgeabkommen für das Privacy Shield mit den USA erzielen konnte.
Wir raten immer noch dazu, so lange es sinnvoll scheint, Cookies, Tracking und andere Technologien einzusetzen, sich dabei an die Gesetze zu halten aber auch die Wettbewerbsvorteile, welche diese bieten so lange zu nutzen, wie es möglich ist.
Wenn aber zum Beispiel Datenschützer viele Anzeigen auf Facebook und Instagram als illegal betrachten, ist es eine Frage der eigenen Digital Marketing Compliance Regeln, wie man sich diesbezüglich absichert. Klar ist, dass sich alle wünschen, dass vor allem der Transfer personenbezogener Daten zwischen Europa und den USA dringend neu und rechtssicher geklärt werden muss. Darauf zu warten ist aber keine Lösung.
Haben Sie Fragen?
Will Ihr Unternehmen Kunden in der EU gewinnen? Möchten Sie sicher sein, dass Sie mit Ihren Marketing-Massnahmen die Daten Ihrer Kunden und Interessenten rechtskonform verarbeiten?
Weitere Artikel von Beat Z'graggen
Thought Leader Marketing: Ads auf LinkedIn vs. SEO
LinkedIn Ads URL-Trackingparameter: Neu & einfacher
Demand Generation: Google Ads für mehr Nachfrage
Online-Marketing Erfahrung seit 27 Jahren, in 87 Ländern
- 27 Jahre Erfahrung mit Suchmaschinenmarketing
- Lokale Spezialisten in 87 Ländern mit langjähriger Erfahrung (z.B. in China)
- Spezialisten mit Branchenerfahrung und Ausrichtung auf Ihre Businessziele
- Top-Positionen für die umsatzstärksten Suchbegriffe
- Sie erhalten neue Kunden, ohne Folgeinvestitionen.
- Sie erfahren, wie Sie Ihren Umsatz am stärksten erhöhen können.
- Sie profitieren von Erfahrungen in Ihren Exportmärkten.
- Sie profitieren von bewährten Prozessen.
- Weil Sie von jahrelanger Marketing- und Vertriebserfahrung profitieren und weil wir über breit aufgestellte Branchenkenntnisse verfügen.
