News

Google Analytics ist rechtswidrig

Die gegenständlichen Cookies “_ga” bzw. „cid“ (Client ID) und “_gid” (User ID) sind einzigartige Google Analytics Kennnummern und als solche personenbezogene Daten iSd Art 4 Z 1 DSGVO. Bei der Beurteilung, ob ein Personenbezug aus Daten herzgestellt werden kann oder nicht, ist nicht erforderlich, dass jemand (hier: Beschwerdegegner) jeweils alleine einen Personenbezug herstellen können muss, dass also alle für die Identifizierung erforderlichen Informationen bei diesen sind; Vielmehr ist ausreichend, dass irgendjemand – mit rechtlich zulässigen Mitteln und vertretbarem Aufwand – diesen Personenbezug herstellen kann.

Wer die Entscheidung trifft das Tool „Google Analytics“ auf der Website zu implementieren (hier: die Erstbeschwerdegegnerin als Website-Betreiberin), entscheidet über „Zwecke und Mittel“ der mit dem Tool in Verbindung stehenden Datenverarbeitung und ist daher (jedenfalls) als Verantwortlicher iSd Art. 4 Z 7 DSGVO anzusehen ist.

Wer lediglich das Tool zur Verfügung stellt (hier: Zweitbeschwerdegegner) nimmt keinen Einfluss darauf, ob überhaupt und inwiefern von den Toolfunktionen überhaupt Gebrauch gemacht wird und welche Einstellungen gewählt werden; soweit der Zweitbeschwerdegegner daher Google Analytics (als Dienstleistung) nur bereitstellt, nimmt dieser keinen Einfluss auf „Zwecke und Mittel“ der Datenverarbeitung und ist daher iSd Art. 4 Z 8 DSGVO fallbezogen als Auftragsverarbeiter zu qualifizieren.

Der EU-US Angemessenheitsbeschluss („Privacy Shield“) ist ohne Aufrechterhaltung seiner Wirkung ungültig (EuGH C-311/18 Rz 201 f); eine Datenübermittlung in die USA findet daher keine Deckung in Art. 45 DSGVO (Angemessenheitsbeschluss).

Standarddatenschutzklauseln („SDK“) sind als Instrument für den Internationalen Datenverkehr dem Grunde nach nicht zu beanstanden, allerdings hat der EuGH darauf hingewiesen, dass SDK ihrer Natur nach ein Vertrag sind und demnach Behörden aus einem Drittstaat nicht binden können.

Ein Datenimporteur (wie der Zweitbeschwerdegegner), der 50 U.S. Code § 1881a („FISA 702”) unterliegt, unterliegt hinsichtlich der importierten Daten, die sich in seinem Besitz oder Gewahrsam oder unter seiner Kontrolle befinden, einer direkten Verpflichtung, den Zugriff darauf zu gewähren oder diese herauszugeben. Diese Verpflichtung kann sich ausdrücklich auch auf die kryptografischen Schlüssel erstrecken, ohne die die Daten nicht lesbar sind. Solange daher der Zweitbeschwerdegegner selbst die Möglichkeit hat, auf Daten im Klartext zuzugreifen, sind die technischen Maßnahmen (hier: Verschlüsselung) nicht als effektive geeignete Garantien im Sinne des Art 46 DSGVO anzusehen.

Für den Fall das weder ein Angemessenheitsbeschluss (Art 45) noch geeignete Garantien (Art 46) vorgebracht werden können, ist eine Datenübermittlung an ein Drittland/internationale Organisation bspw möglich, wenn nach Art 49 Abs 1 lit a DSGVO die betroffene Person ausdrücklich eingewilligt hat, nachdem sie über die bestehenden Risken ohne Angemessenheitsbeschluss und geeigneter Garantien unterrichtet wurde (was gegenständlich ausdrücklich nicht der Fall war).