Die Datenschutzbehörde Österreichs (DSB) hat einen ausführlichen Teilentscheid vom 22. Dezember 2021 gefällt, der eine Beschwerde von (genauer: vertreten durch) NOYB betrifft, dem NGO von Max Schrems. Die Beschwerde richtete sich gegen einen Verlag und gegen Google LLC (USA).
NYOB hatte geltend gemacht, der Einsatz von Google Analytics auf der Verlagswebsite verletze die DSGVO, weil es dadurch zu einer Bekanntgabe von Personendaten an Google in den USA komme, ohne dass die Anforderungen der DSGVO an die Bekanntgabe von Personendaten in Drittstaaten erfüllt waren.
Google sah sich durch den Entscheid zu einer Erläuterung von Google Analytics veranlasst (22. Januar 2022). Der Entscheid konnte mit einer Frist von vier Wochen angefochten werden; ob er inzwischen rechtskräftig ist, ist (uns) nicht bekannt.
Der offensichtliche Punkt: Übermittlung in die USA
Durch den Einsatz von Google Analytics komme es zu einer Übermittlung von Personendaten aus Österreich in die USA. Zwar wurden mit Google die Standardvertragsklauseln geschlossen (noch die alten Klauseln), aber bekanntlich reichen diese nicht tel quel.
Hier, bei Google, sei es nun klar, dass Google ein “Anbieter elektronischer Kommunikationsdienste” im Sinne von FISA 702 sei und diesem Gesetz unterliegt. Die Übermittlung an Google könne gemäss dem Schrems II-Urteil daher nicht allein auf die Standardklauseln gestützt werden.
Offen war, ob “zusätzliche Schutzmassnahmen” im Sinne der Leitlinien des EDSA Abhilfe schaffen. Das war aus Sicht der DSB – nicht überraschend – nicht der Fall:
- Ein Transparenzbericht über Behördenanfragen ist keine wirksame Massnahme.
- Der Schutz der Kommunikation zwischen Google-Diensten, der Schutz von Daten im Transit zwischen Rechenzentren, der Schutz der Kommunikation zwischen Nutzern und Websites oder eine “On-Site-Security” verhindern oder begrenzen die Zugriffsmöglichkeiten von US-Nachrichtendiensten auf der Grundlage des US-Rechts auch nicht.
- Die Verschlüsselung von “Daten im Ruhezustand” in den Datenzentren reicht ebenfalls nicht: Wenn der Datenimporteur FISA 702 unterliegt, muss er ggf. Zugriff auf Daten gewähren, und zwar u.U. auch auf den Schlüssel;
- auch dass die fraglichen Daten pseudonymisiert sind, reicht nicht. Die DSB bezieht sich hier auf die “Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien” der Deutschen Datenschutzkonferenz. Demnach ist die Kennzeichnung von Nutzern durch eine ID keine Pseudonymisierungsmassnahme i.S.d. DSGVO, weil IDs genutzt werden, “die einzelnen Individuen unterscheidbar und adressierbar zu machen. Eine Schutzwirkung stellt sich folglich nicht ein”. Die DSB begnügt sich mit diesem Hinweis, ohne sich selbst zu dieser Frage zu äussern, insbesondere zur Frage, weshalb eine Pseudonymisierung scheitern sollte, solange Individuen noch “unterscheidbar” sind. In der Sache entspricht dies dem Ansatz der Singularisierung, die die DSB der Identifizierung gleichstellt; dazu unten.
Die DSB hat zwar wohl recht, wenn sie Google als “electronic communication services provider” im Sinne von FISA 702 einstuft (auch wenn man sich fragen kann, ob dies auch im Zusammenhang mit Google Analytics der Fall ist). Die Frage wäre aber, ob der Verlag einen Grund zur Annahme hat, dass “die […] Rechtsvorschriften und Gepflogenheiten im Bestimmungsdrittland, einschließlich Anforderungen zur Offenlegung personenbezogener Daten oder Maßnahmen, die öffentlichen Behörden den Zugang zu diesen Daten gestatten, den Datenimporteur an der Erfüllung seiner Pflichten gemäß diesen Klauseln hindern” (Klausel 14(a) der neuen Standardvertragsklauseln; ähnlich, wenn auch weniger deutlich, die Leitlinien des EDSA “on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data”).
Diese Frage prüft die DSB indessen nicht, sondern geht direkt von der Rechtsprechung des EuGH aus (Schrems II). Nicht geprüft wurde daher die Wahrscheinlichkeit, dass sich eine theoretische Zugriffsmöglichkeit amerikanischer Behörden manifestiert. Dieser absolute Ansatz, den man im Schrems II-Urteil noch erkennen kann, sollte mit den Leitlinien des EDSA und besonders den neuen Standardvertragsklauseln eigentlich überwunden sein. Zugleich wäre die Hoffnung vermessen, dass andere europäische Aufsichtsbehörden flächendeckend einen wahrscheinlichkeitsbasierten Ansatz befürworten werden.
In Übrigen verleihe Art. 44 DSGVO (Allgemeine Grundsätze der Datenübermittlung) den betroffenen Personen ein subjektives Recht:
Vor dem Hintergrund des Wortlauts von Art. 77 Abs. 1 DSGVO sowie der angeführten Judikatur des EuGH und des VwGH ist als Zwischenergebnis festzuhalten, dass die in Kapitel V und insbesondere die in Art. 44 DSGVO normierte Verpflichtung für Verantwortliche und Auftragsverarbeiter, das durch die Verordnung gewährleistete Schutzniveau für natürliche Personen sicherzustellen, umgekehrt auch als subjektives Recht vor der zuständigen Aufsichtsbehörde gemäß Art. 77 Abs. 1 DSGVO geltend gemacht werden kann.
Der langfristig vielleicht heiklere Punkt: der Begriff der personenbezogenen Daten
Die DSB kommt zum Ergebnis, dass beim Einsatz von Google Analytics Personendaten bearbeitet werden. Er trifft damit eine Reihe von heiklen Feststellungen:
Vielleicht: Singularisierung
Bei der Verwendung von Google Analytics werden einzigartige Online-Kennungen (“unique identifier”) übermittelt, die sowohl den Browser bzw. das Gerät des Beschwerdeführers als auch den Verlag (durch die Google Analytics Account ID des Verlags als Websitebetreiber) identifizieren; ferner Angaben zur besuchten Website, Informationen zum Browser und Betriebssystem etc. und IP-Adresse des Geräts des Beschwerdeführers.
Die DSB geht bei der Qualifikation dieser Daten in der Sache tendenziell – aber nicht eindeutig – vom Begriff der Singularisierung aus. Es reiche, wenn Massnahmen ergriffen werden, wie hier die Zuordnung von Kennnummern, um Website-Besucher derart zu individualisieren:
Ein Maßstab an die „Identifizierbarkeit“ dahingehend, dass es sofort möglich sein muss, solche Kennnummern auch mit einem bestimmten „Gesicht“ einer natürlichen Person – also insbesondere mit dem Namen des Beschwerdeführers – in Verbindung zu bringen, ist nicht geboten […].
Die DSB begründet dies mit der Auffassung der damaligen Artikel-29-Gruppe, die das Konzept der Singularisierung in der Tat erwähnt hatte (Opinion 4/2007 on the concept of personal data, 20. Juni 2007):
At this point, it should be noted that, while identification through the name is the most common occurrence in practice, a name may itself not be necessary in all cases to identify an individual. This may happen when other “identifiers” are used to single someone out. Indeed, computerised files registering personal data usually assign a unique identifier to the persons registered, in order to avoid confusion between two persons in the file. Also on the Web, web traffic surveillance tools make it easy to identify the behaviour of a machine and, behind the machine, that of its user. Thus, the individual’s personality is pieced together in order to attribute certain decisions to him or her. Without even enquiring about the name and address of the individual it is possible to categorise this person on the basis of socio-economic, psychological, philosophical or other criteria and attribute certain decisions to him or her since the individual’s contact point (a computer) no longer necessarily requires the disclosure of his or her identity in the narrow sense. In other words, the possibility of identifying an individual no longer necessarily means the ability to find out his or her name. The definition of personal data reflects this fact.
Die DSB bezieht sich ferner auf Erwägungsgrund 26 der DSGVO:
Für eine solche Auslegung spricht ErwGr 26 DSGVO, wonach bei der Frage, ob eine natürliche Person identifizierbar ist, „[…] alle Mittel berücksichtigt werden, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren, wie beispielsweise das Aussondern“ (englische Sprachfassung der Verordnung: „singling out“). Unter dem Begriff „Aussondern“ ist das „Heraussuchen aus einer Menge“ zu verstehen (vgl. https://www.duden.de/rechtschreibung/aussondern, abgefragt am 22. Dezember 2021), was den oben angeführten Überlegungen zur Individualisierung von Website-Besuchern entspricht.
Man kann der DSB also nicht vorwerfen, ihre Schlussfolgerungen aus der Luft gegriffen zu haben. Gleichzeitig bleibt offen, ob die DSB den Begriff der Personendaten ganz allgemein so breit ausgelegt haben will oder ob ihre Erwägungen auf Online-Identifier oder gar auf den Fall beschränkt bleiben, dass – wie hier – zusätzlich zur Aussonderung eine Kombination mit weiteren Elementen möglich ist, wofür folgende Aussage spricht:
In der Literatur wird ebenso ausdrücklich vertreten, dass bereits ein „digitaler Fußabdruck“, der es erlaubt, Geräte – und in weiterer Folge den konkreten Nutzer – eindeutig zu individualisieren, ein personenbezogenes Datum darstellt […]. Diese Überlegung kann aufgrund der Einzigartigkeit der Kennnummern auf den gegenständlichen Fall übertragen werden, zumal – worauf sogleich näher einzugehen ist – diese Kennnummern auch mit weiteren Elementen kombiniert werden können.
Ob das Konzept der Singularisierung damit schon aus dem Dornröschenschlaf geküsst ist, kann daher nicht abschliessend festgestellt werden. Der Entscheid des DSB hat aber immerhin das Potential, längerfristig und vielleicht als Teil einer Entwicklung in diese Richtung zu steuern. Wäre dem so, d.h. setzte sich die Singularisierung durch, müsste dies auch dazu führen, dass eine Bekanntgabe von Pseudonymen an Dritte ohne Zuordnungsmöglichkeit als Bekanntgabe von Personendaten zu betrachten wäre, was heute nicht der Fall ist.
Immerhin lässt die DSB ausdrücklich offen, ob
- die “Anonymisierungsfunktion der IP-Adresse” (IP Anonymization) zu einem anderen Ergebnis führen würde, weil diese Funktion nicht korrekt implementiert war;
- ob eine IP-Adresse isoliert betrachtet ein personenbezogenes Datum ist, weil diese hier mit weiteren Elementen (insbesondere der Google
Analytics Kennnummer) kombiniert wurde.
Nicht: objektiver Ansatz bei der Bestimmung des Personenbezugs
Weiter hält die DSB fest, dass der Beschwerdeführer im konkreten Fall sogar namentlich identifizierbar war. Ihre Ausführungen hier scheinen zuerst dem objektiven Ansatz beim Personenbezug das Wort zu reden:
Es ist nämlich nicht erforderlich, dass die Beschwerdegegner jeweils alleine einen Personenbezug herstellen können, dass also alle für die Identifizierung erforderlichen Informationen bei diesen sind […]. Vielmehr ist ausreichend, dass irgendjemand – mit rechtlich zulässigen Mitteln und vertretbarem Aufwand – diesen Personenbezug herstellen kann […].
Der objektive Ansatz besteht nicht etwa darin, den Filter der Identifizierung niedriger anzusetzen (d.h. die erforderlichen Identifikationsmöglichkeiten nicht ernsthaft zu prüfen), sondern der Kreis relevanter Personen mit den entsprechenden Möglichkeiten weit zu ziehen; im Extremfall würde es ausreichen, wenn irgendjemand auf die Identität des Betroffenen schliessen kann.
Das sagt die DSB hier allerdings nicht, im Gegenteil:
Nicht übersehen wird, dass nach ErwGr 26 DSGVO auch zu berücksichtigen ist, mit welcher „Wahrscheinlichkeit“ irgendjemand Mittel nutzt, um natürliche Person direkt oder indirekt zu identifizieren. Tatsächlich ist nach Auffassung der Datenschutzbehörde der Begriff „irgendjemand“ – und somit der Anwendungsbereich des Art. 4 Z 1 DSGVO – zwar nicht derart weit zu interpretieren, dass irgendein unbekannter Akteur theoretisch Spezialwissen haben könnte, um einen Personenbezug herzustellen; dies würde nämlich dazu führen, dass beinahe jede Information in den Anwendungsbereich der DSGVO fällt und eine Abgrenzung zu nicht-personenbezogenen Daten schwierig oder gar unmöglich wird. Entscheidend ist vielmehr, ob mit vertretbarem und zumutbarem Aufwand eine Identifizierbarkeit hergestellt werden kann […]. Im gegenständlichen Fall gibt es aber nun bestimmte Akteure, die ein Spezialwissen besitzen, welches es ermöglicht, im Sinne der obigen Ausführungen einen Bezug zum Beschwerdeführer herstellen und ihn daher zu identifizieren.
Zur Identifikation in der Lage sei hier namentlich Google: Der Beschwerdeführer war bei seinem Besuch der Website in seinem Google-Account eingeloggt. Google wisse daher zumindest, dass der Nutzer des betreffenden Google-Accounts die Website besucht hat. Hier komme es zwar auf die Einstellungen im Google-Account an. Wenn die Identifizierbarkeit aber nur davon abhängt, sollen aus technischer Sicht alle Möglichkeiten für eine Identifizierbarkeit vorliegen – das genüge.
Abschliessend vertritt die DSB im Ergebnis auch noch eine Beweislastumkehr:
Ebenso ist ausdrücklich auf die in der DSGVO verankerte Rechenschaftspflicht der Erstbeschwerdegegnerin – als Verantwortliche, hierzu weiter unten – hinzuweisen, gemäß Art. 5 Abs. 2 iVm Art. 24 Abs. 1 iVm Art. 28 Abs. 1 DSGVO geeignete technische und organisatorische Maßnahmen einzusetzen, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung (mithilfe eines Auftragsverarbeiters) gemäß der Verordnung erfolgt. Es handelt sich daher um eine Bringschuld. Hierzu zählt auch der Nachweis, dass eine Verarbeitung gerade nicht der Verordnung unterliegt. Ein solcher wurde – trotz mehrfach eingeräumter Möglichkeiten – nicht erbracht.
Überdies könnten u.U. sogar amerikanische Nachrichtendienste eine Identifizierung vornehmen:
Wie der Beschwerdeführer ebenso zutreffender Weise ausgeführt hat, nehmen Nachrichtendienste der USA gewisse Online-Kennungen (wie die IP-Adresse oder einzigartige Kennnummern) als Ausgangspunkt für die Überwachung von Einzelpersonen. So kann insbesondere nicht ausgeschlossen werden, dass diese Nachrichtendienste bereits Informationen gesammelt haben, mit deren Hilfe die hier übertragenen Daten auf die Person des Beschwerdeführers rückführbar sind.
Einschätzung
Die DSB redet hier tendenziell dem Konzept der Singularisierung das Wort. Aus diskriminierungsrechtlicher Sicht ist das prima vista zwar nachvollziehbar, weil eine Individualisierung nicht namentlich bekannter Personen genügen kann, diese Person anders als andere zu behandeln. Allerdings beruht eine Ungleichbehandlung in diesem Fall nicht auf einer eigentlich personenbezogenen Information, denn die zur Unterscheidung verwendeten Identifier wären nur dann im eigentlichen Sinne personenbezogen, wenn sie allgemein – auch durch Dritte – zur Identifizierung verwendet werden (wie v.a der Name einer Person); dazu bereits Rosenthal.
Dienen sie dagegen nur einer Stelle als Identifikator, ist eine Verknüpfung mit Angaben Dritter oder durch Dritte nicht möglich, und in diesem Fall kann man auch nicht von “Identifikation” sprechen. Der Schutzbereich des Datenschutzrechts geht nicht soweit, dass es zu einem allgemeinen Diskriminierungsschutzrecht werden kann, besonders nicht in der Schweiz mit einer bloss indirekten Schutzwirkung der Grundrechte zwischen Privaten. Aus diesem Grund können auch grundrechtlich geprägte europarechtliche Regelungen nicht unbesehen übernommen werden.
Man muss sich ohnehin fragen, weshalb die DSB diese Ausführungen überhaupt macht. Es hätte genügt, die klare Identifikation durch Google – hier über das Login im Google-Account des Beschwerdeführers – festzustellen. Letztlich sind die Aussagen zur Singularisierung damit obiter dicta. Gleichzeitig darf man nicht annehmen, dass die DSB die Tragweite ihrer Aussahen übersehen hat; ihre Stellungnahme lässt sich nicht als Betriebsunfall abtun, sondern muss als bewusste Positionierung gelesen werden.
Rollenverteilung
Bei der Prüfung der datenschutzrechtlichen Rollenverteilung geht die DSB zunächst von der Verantwortlichenstellung des Verlags aus, weil dieser Google Analytics einsetzt. Google andererseits sei für Google Analytics ein Auftragsbearbeiter, was überraschend, aber grundsätzlich – je nach Konfiguration von Google Analytics – korrekt ist und auch der Haltung von Google entspricht:
Was nun die Datenverarbeitungen im Zusammenhang mit dem Tool Google Analytics betrifft, ist festzuhalten, dass [Google] dieses lediglich zur Verfügung stellt und auch keinen Einfluss darauf hat, ob überhaupt und inwiefern die Erstbeschwerdegegnerin von den Toolfunktionen Gebrauch macht und welche konkreten Einstellungen sie wählt. Soweit [Google] daher Google Analytics (als Dienstleistung) nur bereitstellt, nimmt dieser keinen Einfluss auf „Zwecke und Mittel“ der Datenverarbeitung und ist daher iSd Art. 4 Z 8 DSGVO fallbezogen als Auftragsverarbeiter zu qualifizieren.
Dies gelte unbeschadet der datenschutzrechtlichen Rolle von Google im Hinblick auf eine mögliche weitere Datenverarbeitung.