Zeitschrift für Informationsrecht

Heft 1, März 2022, Band 10

DSB: Google Analytics – Verletzung der Grundsätze der Datenübermittlung

eJournal-Artikel

20,00 €

inkl MwSt
Sofortiger PDF-Download

Die ePrivacy-RL (bzw die jeweils nationale Umsetzungsbestimmung) geht der DSGVO als lex specialis vor.

Das Recht und die Praxis eines Landes kein angemessenes Schutzniveau zu gewährleisten sowie die (Un-)Vereinbarkeit des (Angemessenheits-)Beschlusses mit dem Schutz der Privatsphäre sowie der Freiheiten und Grundrechte von Personen können im Rahmen einer Beschwerde nach Art 77 Abs 1 DSGVO als subjektive Rechte geltend gemacht werden.

Der Datenschutzbehörde kommt eine Feststellungskompetenz im Hinblick auf Verletzungen des Rechts auf Geheimhaltung in Beschwerdeverfahren zu.

Die gegenständlichen Cookies „_ga“ bzw „cid“ (Client ID) und „_gid“ (User ID) sind einzigartige Google Analytics Kennnummern und als solche personenbezogene Daten iSd Art 4 Z 1 DSGVO.

Bei der Beurteilung, ob ein Personenbezug aus Daten hergestellt werden kann oder nicht, ist nicht erforderlich, dass jemand (hier: Beschwerdegegner) jeweils alleine einen Personenbezug herstellen können muss, dass also alle für die Identifizierung erforderlichen Informationen bei diesem sind; Vielmehr ist ausreichend, dass irgendjemand – mit rechtlich zulässigen Mitteln und vertretbarem Aufwand – diesen Personenbezug herstellen kann.

Wer die Entscheidung trifft, das Tool „Google Analytics“ auf der Website zu implementieren (hier: die Erstbeschwerdegegnerin als Website-Betreiberin), entscheidet über „Zwecke und Mittel“ der mit dem Tool in Verbindung stehenden Datenverarbeitung und ist daher (jedenfalls) als Verantwortlicher iSd Art 4 Z 7 DSGVO anzusehen.

Wer lediglich das Tool zur Verfügung stellt (hier: Zweitbeschwerdegegner) nimmt keinen Einfluss darauf, ob überhaupt und inwiefern von den Toolfunktionen Gebrauch gemacht wird und welche Einstellungen gewählt werden; soweit der Zweitbeschwerdegegner daher Google Analytics (als Dienstleistung) nur bereitstellt, nimmt dieser keinen Einfluss auf „Zwecke und Mittel“ der Datenverarbeitung und ist daher iSd Art 4 Z 8 DSGVO fallbezogen als Auftragsverarbeiter zu qualifizieren.

Der EU-US Angemessenheitsbeschluss („Privacy Shield“) ist ohne Aufrechterhaltung seiner Wirkung ungültig; eine Datenübermittlung in die USA findet daher keine Deckung in Art 45 DSGVO (Angemessenheitsbeschluss).

Standarddatenschutzklauseln („SDK“) sind als Instrument für den Internationalen Datenverkehr dem Grunde nach nicht zu beanstanden, allerdings hat der EuGH darauf hingewiesen, dass SDK ihrer Natur nach ein Vertrag sind und demnach Behörden aus einem Drittstaat nicht binden können.

Der EU-US Angemessenheitsbeschluss („Privacy Shield“) bietet aufgrund des einschlägigen Rechts der USA und der Durchführung von behördlichen Überwachungsprogrammen – ua gestützt auf Section 702 des FISA und die E.O. 12333 in Verbindung mit der PPD-28 – kein angemessenes Schutzniveau für natürliche Personen.

Ein Datenimporteur (wie der Zweitbeschwerdegegner), der 50 U.S. Code § 1881a („FISA 702”) unterliegt, hat für die importierten Daten, die sich in seinem Besitz oder Gewahrsam oder unter seiner Kontrolle befinden, eine direkte Verpflichtung, den Zugriff darauf zu gewähren oder diese herauszugeben. Diese Verpflichtung kann sich ausdrücklich auch auf die kryptografischen Schlüssel erstrecken, ohne die die Daten nicht lesbar sind. Solange daher der Zweitbeschwerdegegner selbst die Möglichkeit hat, auf Daten im Klartext zuzugreifen, sind die technischen Maßnahmen (hier: Verschlüsselung) nicht als effektive geeignete Garantien im Sinne des Art 46 DSGVO anzusehen.

Für den Fall das weder ein Angemessenheitsbeschluss (Art 45 DSGVO) noch geeignete Garantien (Art 46 DSGVO) vorgebracht werden können, ist eine Datenübermittlung an ein Drittland/internationale Organisation etwa dann möglich, wenn nach Art 49 Abs 1 lit a DSGVO die betroffene Person ausdrücklich eingewilligt hat, nachdem sie über die bestehenden Risken ohne Angemessenheitsbeschluss und geeigneter Garantien unterrichtet wurde (was gegenständlich ausdrücklich nicht der Fall war).

Die Vorgaben von Kapitel V DSGVO (Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen) sind vom Datenexporteur (hier: Erstbeschwerdegegner), nicht jedoch vom Datenimporteur (hier: Zweitbeschwerdegegner) einzuhalten.

Redaktionelle Leitsätze

  • E.O. 12333
  • Art 8 EU-GRC
  • ZIIR 2022, 40
  • Art 49 DSGVO
  • geeignete Garantien
  • Google Analytics
  • Art 55 DSGVO
  • FISA
  • Medienrecht
  • Art 46 DSGVO
  • Datenübermittlung
  • Anonymisierungsfunktion
  • Angemessenheitsbeschluss
  • DSB, 22.12.2021, DSB-D155.027, (nrk) – Google Analytics
  • 50 U.S. Code § 1881a (FISA 702)
  • Art 44 DSGVO

Weitere Artikel aus diesem Heft

ZIIR
OGH: Zur Herstellerbezeichnung beim Laufbildschutz
Band 10, Ausgabe 1, März 2022
eJournal-Artikel

20,00 €

ZIIR
EuGH: Zur Unlauterkeit der elektronischen „Inbox-Werbung“
Band 10, Ausgabe 1, März 2022
eJournal-Artikel

20,00 €

ZIIR
OGH: Facebook-Posting zu Familieninterna – Einstweilige Verfügung
Band 10, Ausgabe 1, März 2022
eJournal-Artikel

20,00 €

ZIIR
EuGH Vorlagefragen
Band 10, Ausgabe 1, März 2022
eJournal-Artikel

20,00 €

ZIIR
Neue, digitale Beweismittel im Zivilprozess
Band 10, Ausgabe 1, März 2022
eJournal-Artikel

20,00 €

20,00 €

ZIIR
Doppelschlag aus Luxemburg: Lauterkeits- und datenschutzwidrige Inbox-Werbung
Band 10, Ausgabe 1, März 2022
eJournal-Artikel

20,00 €

ZIIR
OGH Urteil 22.9.2021, 4 Ob 114/21z – UWG-Schadenersatz und Stufenklage
Band 10, Ausgabe 1, März 2022
eJournal-Artikel

20,00 €

ZIIR
OGH Beschluss 22.9.2021, 4 Ob 139/21a – „kopflastiges Vorspannangebot“
Band 10, Ausgabe 1, März 2022
eJournal-Artikel

20,00 €

ZIIR
OGH Beschluss 17.9.2021, 4 Ob 82/21v – Schutzumfang eines Patents
Band 10, Ausgabe 1, März 2022
eJournal-Artikel

20,00 €

ZIIR
OGH Urteil 28.9.2021, 4 Ob 86/21g – Online-Angebote nach FAGG
Band 10, Ausgabe 1, März 2022
eJournal-Artikel

20,00 €

ZIIR
OGH Urteil 22.9.2021, 4 Ob 55/21y – nemo auditur turpitudinem suam allegans
Band 10, Ausgabe 1, März 2022
eJournal-Artikel

20,00 €

ZIIR
OGH Beschluss 20.10.2021, 6 Ob 132/21m – DSG-/DSGVO-Schutzbereich/-zwecke
Band 10, Ausgabe 1, März 2022
eJournal-Artikel

20,00 €

ZIIR
OGH Beschluss 28.9.2021, 4 Ob 147/21b – zur Anwendbaren Rechtslage
Band 10, Ausgabe 1, März 2022
eJournal-Artikel

20,00 €

20,00 €

ZIIR
EuGH Urteil 25.11.2021, C-102/20 – Inbox Advertising ist Werbenachricht
Band 10, Ausgabe 1, März 2022
eJournal-Artikel

20,00 €

ZIIR
DSB 22.12.2021, D155.027 – Datenübermittlung in die USA/Google Analytics
Band 10, Ausgabe 1, März 2022
eJournal-Artikel

20,00 €

ZIIR
OGH 15.12.2021, 7 Ob 197/21b – Facebook-Posting zu Familiendrama
Band 10, Ausgabe 1, März 2022
eJournal-Artikel

20,00 €

ZIIR
Aktuelle Ereignisse und Entwicklungen zum Informationsrecht
Band 10, Ausgabe 1, März 2022
eJournal-Artikel

20,00 €

ZIIR
DSB: Google Analytics – Verletzung der Grundsätze der Datenübermittlung
Band 10, Ausgabe 1, März 2022
eJournal-Artikel

20,00 €

20,00 €

ZIIR
Dein Handy, aber nicht deine Daten?
Band 10, Ausgabe 1, März 2022
eJournal-Artikel

20,00 €

20,00 €

ZIIR
OGH: Zur Frage nach dem „Schutzbereich“ der DSGVO
Band 10, Ausgabe 1, März 2022
eJournal-Artikel

20,00 €

20,00 €

ZIIR
EuGH: Elektronische Lieferung eines Computerprogramms als Verkauf einer Ware
Band 10, Ausgabe 1, März 2022
eJournal-Artikel

20,00 €