Datentransfer durch Google Analytics nicht DSGVO konform (Winklbauer/Horner, CR 2022, 84)

Die österreichische Datenschutzbehörde (DSB) hat sich in einem kürzlich erlassenen Bescheid mit der Vereinbarkeit von Google Analytics und der DSGVO befasst. Vor allem die Übermittlung personenbezogener Daten in die USA im Hinblick auf die Schrems-​II-​Entscheidung wurde von der DSB als problematisch angesehen. Neben dieser erwartbaren Problematik finden sich noch weitere bemerkenswerte Aussagen über die Definition des personenbezogenen Datums i.S.d. DSGVO und über die datenschutzrechtliche Rollenverteilung. Der Beitrag analysiert im ersten Schritt die wichtigsten Entscheidungspunkte des Bescheids und befasst sich im zweiten Schritt mit alternativen rechtlichen Lösungsansätzen.

Bedeutung und Tragweite der Grundsatzentscheidung der österreichischen Datenschutzbehörde

INHALTSVERZEICHNIS:

I. Ausgangslage und rechtliche Analyse

1. Anwendbarkeit der DSGVO und Zuständigkeit der DSB

2. Personenbezug im Sinne der DSGVO

a) Personenbezug der übermittelten Daten selbst

b) Personenbezug aus Kombination übermittelter Daten

3. Website-Betreiber als Verantwortlicher

4. Datentransfer in die USA bei Nutzung von Google Analytics

II. Alternative Lösungswege für Nutzung von Google Analytics

1. Datenschutzrechtliche Zulässigkeit aufgrund neuer SDKs und neuer technischer Maßnahmen

2. Datentransfer auf Basis einer Einwilligung nach Art. 49 Abs. 1 lit. a DSGVO

III. Conclusio
 

Leseprobe:
 

"I. Ausgangslage und rechtliche Analyse

 [1]

Am 13.1.2022 veröffentlichte die NGO „NOYB - Europäisches Zentrum für digitale Rechte“ (NOYB) auf ihrer Website eine (derzeit¹ nicht rechtskräftige) Entscheidung² der DSB vom 22.12.2021 über die Zulässigkeit der Nutzung von Google Analytics eines (zum verfahrensgegenständlichen Zeitpunkt³) österreichischen Website-​Betreibers.

1. Anwendbarkeit der DSGVO und Zuständigkeit der DSB

 [2]

Die DSB hält im Bescheid richtigerweise fest, dass die Umsetzungsbestimmungen der e-​Privacy-​RL⁴ - in Österreich das TKG 2021⁵ - als leges speciales der DSGVO vorgehen⁶. Jedoch finden sich in der e-​Privacy-​RL keine Regeln zur Übermittlung von personenbezogenen Daten an Drittländer, weshalb diesbezüglich das Kapitel V der DSGVO zur Anwendung kommt.⁷ Auch erklärt sich die DSB für das Verfahren allein zuständig, weil keine grenzüberschreitende Datenverarbeitung zur Auslösung des „One-​Stop-​Shop“-​Mechanismus nach Art. 60 DSGVO vorliegt.⁸

2. Personenbezug im Sinne der DSGVO

 [3]

Im von der DSB beurteilten Sachverhalt kommt es durch Google Analytics beim Aufruf der Website zur Übermittlung der folgenden Daten⁹ an Google LLC in die USA: …"

Hier direkt weiterlesen im juris PartnerModul IT-Recht