Die französische Kommission für Informatik und Freiheiten (CNIL) hat mehrere Organisationen aufgefordert, die Vorschriften bezüglich der Nutzung von Google Analytics einzuhalten, da die Daten ohne ausreichende Schutzmaßnahmen für die Rechte der europäischen Nutzer in die USA übertragen wurden. Welche Lösungen gibt es für die Kunden in Bezug auf dieses in Frankreich und in anderen EU-Ländern weit verbreitete Tool?
Die von der CNIL ausgesprochenen Aufforderungen folgen auf das „Schrems II“-Urteil des Gerichtshofs der Europäischen Union (EuGH) vom 16. Juli 2020, dass das Privacy Shield für ungültig erklärt hat. Dieses von der EU und den USA unterzeichnete Abkommen, das den Datenaustausch zwischen der EU und den USA regelte, wurde für ungültig erklärt, da es keine angemessenen Garantien gegen das Risiko eines unrechtmäßigen Zugriffs durch US-Behörden vorsieht. Vor allem die Garantien im Zusammenhang mit Geheimdienstinformationen, personenbezogenen Daten von in der EU ansässigen Bürgern.
Dieser aktuelle Trend von Gerichtsbeschlüssen gegen Google Analytics ist Teil eines größeren rechtlichen Puzzles über die Datenübermittlung zwischen dem Europäischen Wirtschaftsraum und den USA. Es ist also viel größer als einzelne Länder wie Deutschland, und es ist auch größer als Google Analytics.
Das zentrale Thema ist die staatliche Überwachung. Nach der DSGVO dürfen europäische personenbezogene Daten nur dann außerhalb des EWR übermittelt werden, wenn dies auf sichere Weise geschieht. Dies ist bei der Übermittlung von US-Daten schwierig, da der US-amerikanische Rechtsrahmen eine umfassende und invasive Überwachung der Daten ausländischer Bürger, einschließlich deutscher Bürger, ermöglicht.
Ein dritter Rahmen für die Datenübermittlung ist auf dem Weg, aber er wird sicherlich vor einer rechtlichen Herausforderung stehen. Mit einem Schrems-III-Urteil bereits am Horizont, bleibt die Zukunft des Datenflusses zwischen der EU und den USA ungewiss.
Die abgemahnten Organisationen und die deutschen Unternehmen hatten mit Google Standardvertragsklauseln ausgearbeitet, die Google seinen Nutzern standardmäßig anbietet. Problematisch an diesen Vertragsklauseln ist jedoch, dass sie keinen Schutz vor staatlicher Überwachung bieten. Deshalb hat der Gerichtshof im Fall Schrems II klargestellt, dass sie jedes Mal, wenn Daten in „unsichere“ Länder gesendet werden, durch zusätzliche Maßnahmen zum Schutz der Privatsphäre ergänzt werden müssen. Bei Übermittlungen, die für bestimmte cloudbasierte Dienste wie Google Analytics erforderlich sind, ist dies schwierig und völlig unmöglich.
Maßnahmen zur DSGVO unzureichend
Google gab in seiner Antwort auf die Anfragen der CNIL an, zusätzliche rechtliche, organisatorische und technische Maßnahmen eingeführt und umgesetzt zu haben. Diese wurden jedoch von der CNIL als unzureichend bewertet, um einen wirksamen Schutz der übermittelten personenbezogenen Daten zu gewährleisten, insbesondere vor Datenzugriffsanfragen von amerikanischen Geheimdiensten.
Es ist ebenfalls unmöglich, Google Analytics in der Weise einzustellen, dass keine personenbezogenen Daten außerhalb der Europäischen Union übertragen werden. In Beantwortung des von der CNIL gesendeten Fragebogens gab Google nämlich an, dass alle über Google Analytics gesammelten Daten in den USA gehostet werden.
Google hat auch mitgeteilt, dass es Maßnahmen zur Pseudonymisierung, aber nicht zur Anonymisierung verwendet. Google bietet zwar eine Möglichkeit zur Anonymisierung von IP-Adressen, aber diese ist nicht auf alle Transfers anwendbar. Außerdem lässt sich anhand der von Google bereitgestellten Materialien nicht feststellen, ob diese Anonymisierung vor der Übertragung in die USA stattfindet.
Hinzu kommt, dass allein die Verwendung eindeutiger Identifikationsmerkmale zur Unterscheidung von Einzelpersonen dazu führen kann, dass Daten identifizierbar sind, insbesondere wenn sie mit anderen Informationen wie Metadaten über den Browser und das Betriebssystem verbunden werden. Diese Daten ermöglichen eine eindeutige Überwachung der Nutzer, in einigen Fällen über mehrere getrennten Geräte hinweg.
Zur Problematik des direkten Umgangs über die Https-Verbindung
Keine der zusätzlichen Schutzmaßnahmen, die der CNIL im Rahmen der Unterlassungsaufforderung vorgelegt wurden, ist daher geeignet, den Zugriff der US-Geheimdienste auf die personenbezogenen Daten europäischer Nutzer zu verhindern oder unwirksam zu machen. Dies gilt allein für die Google Analytics-Verwendung.
Die grundlegende Herausforderung, die diese Maßnahmen daran hindert, das Problem des Datenzugriffs durch außereuropäische Behörden zu lösen, ist der direkte HTTPS-Kontakt zwischen dem menschlichen Endgerät und den von Google betriebenen Servern. Die daraus folgenden Anfragen ermöglichen es diesen Servern nämlich, die IP-Adresse des Internetnutzers sowie zahlreiche Informationen über dessen Endgerät zu erhalten.
Diese können realistischer Weise eine Nutzer-Wiedererkennung und folglich den Zugriff auf die Navigation des Nutzers auf allen Websites, die Google Analytics verwenden, ermöglichen. Antworten auf diese Problematik können nur Lösungen geben, die diesen Kontakt zwischen Terminal und Server unterbrechen.
Die Proxy-Server-Lösung?
Denkbar wäre eine Lösung, bei der ein Proxy-Server einbezogen wird, um den direkten Kontakt zwischen dem Endgerät des Internetnutzers und den Servern des Messinstruments zu vermeiden. Es muss jedoch sichergestellt werden, dass dieser Server eine Reihe von Kriterien erfüllt, damit diese zusätzliche Maßnahme als Teil dessen angesehen werden kann, was der EDSB, Europäischer Datenschutzausschuss, in seinen Empfehlungen vom 18. Juni 2021 vorsieht.
Eine solche Maßnahme würde dem Anwendungsfall der Pseudonymisierung vor dem Datenexport entsprechen. Wie bereits in den Empfehlungen der EDSB erwähnt, ist ein solcher Export nur möglich, wenn der Datenverwalter durch eine gründliche Analyse festgestellt hat, dass die pseudonymisierten personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugeordnet werden können, auch wenn sie mit anderen Informationen abgeglichen werden.
Der Server, der die Proxyisierung vornimmt, muss daher eine Reihe von Maßnahmen umsetzen, um die übertragenen Daten zu begrenzen. Die CNIL hält grundsätzlich die folgenden Kriterien für erforderlich :
- Die fehlende IP-Adresse-Übertragung an die Messgeräte-Server;
- Das Ersetzen der Benutzerkennung durch den Proxyfication Server;
- Die Löschung der Daten über die verweisende Seite oder Referer außerhalb der Seite;
- Löschung aller Parameter, die in den gesammelten URLs enthalten sind, zum Beispiel UTM, aber auch URL-Parameter, die das interne Routing der Website ermöglichen;
- Die Neuverarbeitung von Informationen, die an der Erzeugung eines Fingerabdrucks beteiligt sein können, wie zum Beispiel User Agent, um die seltensten Konfigurationen zu entfernen, die zu einer erneuten Identifikation führen könnten;
- Das Vermeiden jeglicher standortübergreifender (Cross-site) oder -bestimmter (CRM, unique ID) Sammlung von Identifikatoren;
- Die Löschung aller anderen Daten, die zu einer erneuten Identifizierung führen könnten.
Darf Google Analytics in Deutschland noch verwendet werden?
Für Deutschland ist das alles nicht ganz neu. Schon Ende 2021 wurde vom Verwaltungsgericht (VG) Wiesbaden ein Eilbeschluss gegen die Fachhochschule Rhein-Main erlassen. Die Website hatte nicht anonymisierte IP-Adressen in die USA übermittelt.
Darüber hinaus traf die deutsche Aufsichtsbehörde im Rahmen der neuen Leitlinien für Anbieter von Telemediendiensten (das heißt von Websites oder Anwendungen) vom 20. Dezember 2021 eine ähnliche Entscheidung wie die Österreichische. Es vertritt die folgende Auffassung:
„Der bloße Abschluss von Standarddatenschutzklauseln wie den von der Europäischen Kommission angenommenen Standardvertragsklauseln ist nicht ausreichend. Darüber hinaus muss in jedem Einzelfall geprüft werden, ob die Rechtsvorschriften oder die Praxis des Drittlandes den durch die Standardvertragsklauseln garantierten Schutz beeinträchtigen und ob gegebenenfalls zusätzliche Maßnahmen ergriffen werden müssen, um dieses Schutzniveau einzuhalten. Der Europäische Datenschutzausschuss hat detaillierte Leitlinien für die Durchführung des erforderlichen Audits veröffentlicht.
Insbesondere bei der Einbindung von Drittinhalten und der Nutzung von Tracking-Diensten werden ausreichende zusätzliche Maßnahmen jedoch häufig nicht möglich sein. In diesem Fall können die betreffenden Dienste nicht genutzt, d. h. nicht in die Website integriert werden. Personenbezogene Daten, die im Rahmen der regelmäßigen Verfolgung des Nutzerverhaltens auf Websites oder in Anwendungen verarbeitet werden, dürfen grundsätzlich nicht auf der Grundlage einer Einwilligung gemäß Art. 49 Abs. 1 Buchstabe a DSGVO in ein Drittland verarbeitet werden. Der Umfang und die Regelmäßigkeit dieser Übermittlungen widersprechen regelmäßig dem Ausnahmecharakter des Art. 49 DSGVO und den Anforderungen des Art. 44, S. 2 DSGVO.“
Alternativen zu Google Analytics
Es handelt sich hierbei um eine sehr lange Liste für einen Webanalyse-Spezialisten wie Google Analytics, der seinen Erfolg, wie viele andere Tools auf dem Markt, der immer feineren Genauigkeit seiner Daten zu verdanken hat. Es ist davon auszugehen, dass diese Anforderungen nicht erreichbar sind, es sei denn, man ändert sein Datenerhebungsmodell drastisch und wandelt seinen Produktansatz grundlegend um.
In Deutschland gibt es sehr gute Alternativen zur Webanalyse mit Google Analytics.
Die CNIL in Frankreich hat in der Zwischenzeit eine Liste von Webanalysetools veröffentlicht, die von der Zustimmungspflicht befreit werden können, wenn sie richtig konfiguriert sind. Auf dieser Liste stehen Tools, die der CNIL bereits gezeigt haben, dass sie auf das für die Bereitstellung des Dienstes unbedingt notwendige Maß beschränkt werden können. Das bedeutet, dass die Zustimmung des Nutzers gemäß Artikel 82 des französischen Datenschutzgesetzes (Loi Informatique et Libertés) nicht erforderlich ist.
Diese Liste befasst sich jedoch derzeit nicht mit den Herausforderungen, die internationale Transfers mit sich bringen, insbesondere nicht mit den Folgen des „Schrems II“-Urteils.