DSB Öster­reich: Ein­satz von Goog­le Ana­ly­tics unter­sagt; Stan­dard bei der Dritt­staats­prü­fung; Sin­gu­la­ri­sie­rung statt Identifizierung

Die Daten­schutz­be­hör­de Öster­reichs (DSB) hat einen aus­führ­li­chen Teil­ent­scheid vom 22. Dezem­ber 2021 gefällt, der eine Beschwer­de von (genau­er: ver­tre­ten durch) NOYB betrifft, dem NGO von Max Schrems. Die Beschwer­de rich­te­te sich gegen einen Ver­lag und gegen Goog­le LLC (USA).

NYOB hat­te gel­tend gemacht, der Ein­satz von Goog­le Ana­ly­tics auf der Ver­lags­web­site ver­let­ze die DSGVO, weil es dadurch zu einer Bekannt­ga­be von Per­so­nen­da­ten an Goog­le in den USA kom­me, ohne dass die Anfor­de­run­gen der DSGVO an die Bekannt­ga­be von Per­so­nen­da­ten in Dritt­staa­ten erfüllt waren.

Goog­le sah sich durch den Ent­scheid zu einer Erläu­te­rung von Goog­le Ana­ly­tics ver­an­lasst (22. Janu­ar 2022). Der Ent­scheid konn­te mit einer Frist von vier Wochen ange­foch­ten wer­den; ob er inzwi­schen rechts­kräf­tig ist, ist (uns) nicht bekannt.

Der offen­sicht­li­che Punkt: Über­mitt­lung in die USA

Durch den Ein­satz von Goog­le Ana­ly­tics kom­me es zu einer Über­mitt­lung von Per­so­nen­da­ten aus Öster­reich in die USA. Zwar wur­den mit Goog­le die Stan­dard­ver­trags­klau­seln geschlos­sen (noch die alten Klau­seln), aber bekannt­lich rei­chen die­se nicht tel quel.

Hier, bei Goog­le, sei es nun klar, dass Goog­le ein “Anbie­ter elek­tro­ni­scher Kom­mu­ni­ka­ti­ons­dien­ste” im Sin­ne von FISA 702 sei und die­sem Gesetz unter­liegt. Die Über­mitt­lung an Goog­le kön­ne gemäss dem Schrems II-Urteil daher nicht allein auf die Stan­dard­klau­seln gestützt werden.

Offen war, ob “zusätz­li­che Schutz­mass­nah­men” im Sin­ne der Leit­li­ni­en des EDSA Abhil­fe schaf­fen. Das war aus Sicht der DSB – nicht über­ra­schend – nicht der Fall:

  • Ein Trans­pa­renz­be­richt über Behör­den­an­fra­gen ist kei­ne wirk­sa­me Massnahme.
  • Der Schutz der Kom­mu­ni­ka­ti­on zwi­schen Goog­le-Dien­sten, der Schutz von Daten im Tran­sit zwi­schen Rechen­zen­tren, der Schutz der Kom­mu­ni­ka­ti­on zwi­schen Nut­zern und Web­sites oder eine “On-Site-Secu­ri­ty” ver­hin­dern oder begren­zen die Zugriffs­mög­lich­kei­ten von US-Nach­rich­ten­dien­sten auf der Grund­la­ge des US-Rechts auch nicht.
  • Die Ver­schlüs­se­lung von “Daten im Ruhe­zu­stand” in den Daten­zen­tren reicht eben­falls nicht: Wenn der Daten­im­por­teur FISA 702 unter­liegt, muss er ggf. Zugriff auf Daten gewäh­ren, und zwar u.U. auch auf den Schlüssel;
  • auch dass die frag­li­chen Daten pseud­ony­mi­siert sind, reicht nicht. Die DSB bezieht sich hier auf die “Ori­en­tie­rungs­hil­fe der Auf­sichts­be­hör­den für Anbie­ter von Tele­me­di­en” der Deut­schen Daten­schutz­kon­fe­renz. Dem­nach ist die Kenn­zeich­nung von Nut­zern durch eine ID kei­ne Pseud­ony­mi­sie­rungs­mass­nah­me i.S.d. DSGVO, weil IDs genutzt wer­den, “die ein­zel­nen Indi­vi­du­en unter­scheid­bar und adres­sier­bar zu machen. Eine Schutz­wir­kung stellt sich folg­lich nicht ein”. Die DSB begnügt sich mit die­sem Hin­weis, ohne sich selbst zu die­ser Fra­ge zu äussern, ins­be­son­de­re zur Fra­ge, wes­halb eine Pseud­ony­mi­sie­rung schei­tern soll­te, solan­ge Indi­vi­du­en noch “unter­scheid­bar” sind. In der Sache ent­spricht dies dem Ansatz der Sin­gu­la­ri­sie­rung, die die DSB der Iden­ti­fi­zie­rung gleich­stellt; dazu unten.

Die DSB hat zwar wohl recht, wenn sie Goog­le als “elec­tro­nic com­mu­ni­ca­ti­on ser­vices pro­vi­der” im Sin­ne von FISA 702 ein­stuft (auch wenn man sich fra­gen kann, ob dies auch im Zusam­men­hang mit Goog­le Ana­ly­tics der Fall ist). Die Fra­ge wäre aber, ob der Ver­lag einen Grund zur Annah­me hat, dass “die […] Rechts­vor­schrif­ten und Gepflo­gen­hei­ten im Bestim­mungs­dritt­land, ein­schließ­lich Anfor­de­run­gen zur Offen­le­gung per­so­nen­be­zo­ge­ner Daten oder Maß­nah­men, die öffent­li­chen Behör­den den Zugang zu die­sen Daten gestat­ten, den Daten­im­por­teur an der Erfül­lung sei­ner Pflich­ten gemäß die­sen Klau­seln hin­dern” (Klau­sel 14(a) der neu­en Stan­dard­ver­trags­klau­seln; ähn­lich, wenn auch weni­ger deut­lich, die Leit­li­ni­en des EDSA “on mea­su­res that sup­ple­ment trans­fer tools to ensu­re com­pli­an­ce with the EU level of pro­tec­tion of per­so­nal data”).

Die­se Fra­ge prüft die DSB indes­sen nicht, son­dern geht direkt von der Recht­spre­chung des EuGH aus (Schrems II). Nicht geprüft wur­de daher die Wahr­schein­lich­keit, dass sich eine theo­re­ti­sche Zugriffs­mög­lich­keit ame­ri­ka­ni­scher Behör­den mani­fe­stiert. Die­ser abso­lu­te Ansatz, den man im Schrems II-Urteil noch erken­nen kann, soll­te mit den Leit­li­ni­en des EDSA und beson­ders den neu­en Stan­dard­ver­trags­klau­seln eigent­lich über­wun­den sein. Zugleich wäre die Hoff­nung ver­mes­sen, dass ande­re euro­päi­sche Auf­sichts­be­hör­den flä­chen­deckend einen wahr­schein­lich­keits­ba­sier­ten Ansatz befür­wor­ten werden.

In Übri­gen ver­lei­he Art. 44 DSGVO (All­ge­mei­ne Grund­sät­ze der Daten­über­mitt­lung) den betrof­fe­nen Per­so­nen ein sub­jek­ti­ves Recht:

Vor dem Hin­ter­grund des Wort­lauts von Art. 77 Abs. 1 DSGVO sowie der ange­führ­ten Judi­ka­tur des EuGH und des VwGH ist als Zwi­schen­er­geb­nis fest­zu­hal­ten, dass die in Kapi­tel V und ins­be­son­de­re die in Art. 44 DSGVO nor­mier­te Ver­pflich­tung für Ver­ant­wort­li­che und Auf­trags­ver­ar­bei­ter, das durch die Ver­ord­nung gewähr­lei­ste­te Schutz­ni­veau für natür­li­che Per­so­nen sicher­zu­stel­len, umge­kehrt auch als sub­jek­ti­ves Recht vor der zustän­di­gen Auf­sichts­be­hör­de gemäß Art. 77 Abs. 1 DSGVO gel­tend gemacht wer­den kann.

Der lang­fri­stig viel­leicht heik­le­re Punkt: der Begriff der per­so­nen­be­zo­ge­nen Daten

Die DSB kommt zum Ergeb­nis, dass beim Ein­satz von Goog­le Ana­ly­tics Per­so­nen­da­ten bear­bei­tet wer­den. Er trifft damit eine Rei­he von heik­len Feststellungen:

Viel­leicht: Singularisierung

Bei der Ver­wen­dung von Goog­le Ana­ly­tics wer­den ein­zig­ar­ti­ge Online-Ken­nun­gen (“uni­que iden­ti­fier”) über­mit­telt, die sowohl den Brow­ser bzw. das Gerät des Beschwer­de­füh­rers als auch den Ver­lag (durch die Goog­le Ana­ly­tics Account ID des Ver­lags als Web­site­be­trei­ber) iden­ti­fi­zie­ren; fer­ner Anga­ben zur besuch­ten Web­site, Infor­ma­tio­nen zum Brow­ser und Betriebs­sy­stem etc. und IP-Adres­se des Geräts des Beschwerdeführers.

Die DSB geht bei der Qua­li­fi­ka­ti­on die­ser Daten in der Sache ten­den­zi­ell – aber nicht ein­deu­tig – vom Begriff der Sin­gu­la­ri­sie­rung aus. Es rei­che, wenn Mass­nah­men ergrif­fen wer­den, wie hier die Zuord­nung von Kenn­num­mern, um Web­site-Besu­cher der­art zu indi­vi­dua­li­sie­ren:

Ein Maß­stab an die „Iden­ti­fi­zier­bar­keit“ dahin­ge­hend, dass es sofort mög­lich sein muss, sol­che Kenn­num­mern auch mit einem bestimm­ten „Gesicht“ einer natür­li­chen Per­son – also ins­be­son­de­re mit dem Namen des Beschwer­de­füh­rers – in Ver­bin­dung zu brin­gen, ist nicht gebo­ten […].

Die DSB begrün­det dies mit der Auf­fas­sung der dama­li­gen Arti­kel-29-Grup­pe, die das Kon­zept der Sin­gu­la­ri­sie­rung in der Tat erwähnt hat­te (Opi­ni­on 4/2007 on the con­cept of per­so­nal data, 20. Juni 2007):

At this point, it should be noted that, while iden­ti­fi­ca­ti­on through the name is the most com­mon occur­rence in prac­ti­ce, a name may its­elf not be necessa­ry in all cases to iden­ti­fy an indi­vi­du­al. This may hap­pen when other “iden­ti­fiers” are used to sin­gle someo­ne out. Inde­ed, com­pu­te­ri­sed files regi­stering per­so­nal data usual­ly assign a uni­que iden­ti­fier to the per­sons regi­stered, in order to avoid con­fu­si­on bet­ween two per­sons in the file. Also on the Web, web traf­fic sur­veil­lan­ce tools make it easy to iden­ti­fy the beha­viour of a machi­ne and, behind the machi­ne, that of its user. Thus, the individual’s per­so­na­li­ty is pie­ced tog­e­ther in order to attri­bu­te cer­tain deci­si­ons to him or her. Without even enqui­ring about the name and address of the indi­vi­du­al it is pos­si­ble to cate­go­ri­se this per­son on the basis of socio-eco­no­mic, psy­cho­lo­gi­cal, phi­lo­so­phi­cal or other cri­te­ria and attri­bu­te cer­tain deci­si­ons to him or her sin­ce the individual’s con­ta­ct point (a com­pu­ter) no lon­ger necessa­ri­ly requi­res the dis­clo­sure of his or her iden­ti­ty in the nar­row sen­se. In other words, the pos­si­bi­li­ty of iden­ti­fy­ing an indi­vi­du­al no lon­ger necessa­ri­ly means the abi­li­ty to find out his or her name. The defi­ni­ti­on of per­so­nal data reflects this fact.

Die DSB bezieht sich fer­ner auf Erwä­gungs­grund 26 der DSGVO:

Für eine sol­che Aus­le­gung spricht Erw­Gr 26 DSGVO, wonach bei der Fra­ge, ob eine natür­li­che Per­son iden­ti­fi­zier­bar ist, „[…] alle Mit­tel berück­sich­tigt wer­den, die von dem Ver­ant­wort­li­chen oder einer ande­ren Per­son nach all­ge­mei­nem Ermes­sen wahr­schein­lich genutzt wer­den, um die natür­li­che Per­son direkt oder indi­rekt zu iden­ti­fi­zie­ren, wie bei­spiels­wei­se das Aus­son­dern“ (eng­li­sche Sprach­fas­sung der Ver­ord­nung: „sing­ling out“). Unter dem Begriff „Aus­son­dern“ ist das „Her­aus­su­chen aus einer Men­ge“ zu ver­ste­hen (vgl. https://www.duden.de/rechtschreibung/aussondern, abge­fragt am 22. Dezem­ber 2021), was den oben ange­führ­ten Über­le­gun­gen zur Indi­vi­dua­li­sie­rung von Web­site-Besu­chern entspricht.

Man kann der DSB also nicht vor­wer­fen, ihre Schluss­fol­ge­run­gen aus der Luft gegrif­fen zu haben. Gleich­zei­tig bleibt offen, ob die DSB den Begriff der Per­so­nen­da­ten ganz all­ge­mein so breit aus­ge­legt haben will oder ob ihre Erwä­gun­gen auf Online-Iden­ti­fier oder gar auf den Fall beschränkt blei­ben, dass – wie hier – zusätz­lich zur Aus­son­de­rung eine Kom­bi­na­ti­on mit wei­te­ren Ele­men­ten mög­lich ist, wofür fol­gen­de Aus­sa­ge spricht:

In der Lite­ra­tur wird eben­so aus­drück­lich ver­tre­ten, dass bereits ein „digi­ta­ler Fuß­ab­druck“, der es erlaubt, Gerä­te – und in wei­te­rer Fol­ge den kon­kre­ten Nut­zer – ein­deu­tig zu indi­vi­dua­li­sie­ren, ein per­so­nen­be­zo­ge­nes Datum dar­stellt […]. Die­se Über­le­gung kann auf­grund der Ein­zig­ar­tig­keit der Kenn­num­mern auf den gegen­ständ­li­chen Fall über­tra­gen wer­den, zumal – wor­auf sogleich näher ein­zu­ge­hen ist – die­se Kenn­num­mern auch mit wei­te­ren Ele­men­ten kom­bi­niert wer­den können.

Ob das Kon­zept der Sin­gu­la­ri­sie­rung damit schon aus dem Dorn­rös­chen­schlaf geküsst ist, kann daher nicht abschlie­ssend fest­ge­stellt wer­den. Der Ent­scheid des DSB hat aber immer­hin das Poten­ti­al, län­ger­fri­stig und viel­leicht als Teil einer Ent­wick­lung in die­se Rich­tung zu steu­ern. Wäre dem so, d.h. setz­te sich die Sin­gu­la­ri­sie­rung durch, müss­te dies auch dazu füh­ren, dass eine Bekannt­ga­be von Pseud­ony­men an Drit­te ohne Zuord­nungs­mög­lich­keit als Bekannt­ga­be von Per­so­nen­da­ten zu betrach­ten wäre, was heu­te nicht der Fall ist.

Immer­hin lässt die DSB aus­drück­lich offen, ob

  • die “Anony­mi­sie­rungs­funk­ti­on der IP-Adres­se” (IP Anony­miz­a­ti­on) zu einem ande­ren Ergeb­nis füh­ren wür­de, weil die­se Funk­ti­on nicht kor­rekt imple­men­tiert war;
  • ob eine IP-Adres­se iso­liert betrach­tet ein per­so­nen­be­zo­ge­nes Datum ist, weil die­se hier mit wei­te­ren Ele­men­ten (ins­be­son­de­re der Google
    Ana­ly­tics Kenn­num­mer) kom­bi­niert wurde.

Nicht: objek­ti­ver Ansatz bei der Bestim­mung des Personenbezugs

Wei­ter hält die DSB fest, dass der Beschwer­de­füh­rer im kon­kre­ten Fall sogar nament­lich iden­ti­fi­zier­bar war. Ihre Aus­füh­run­gen hier schei­nen zuerst dem objek­ti­ven Ansatz beim Per­so­nen­be­zug das Wort zu reden:

Es ist näm­lich nicht erfor­der­lich, dass die Beschwer­de­geg­ner jeweils allei­ne einen Per­so­nen­be­zug her­stel­len kön­nen, dass also alle für die Iden­ti­fi­zie­rung erfor­der­li­chen Infor­ma­tio­nen bei die­sen sind […]. Viel­mehr ist aus­rei­chend, dass irgend­je­mand – mit recht­lich zuläs­si­gen Mit­teln und ver­tret­ba­rem Auf­wand – die­sen Per­so­nen­be­zug her­stel­len kann […].

Der objek­ti­ve Ansatz besteht nicht etwa dar­in, den Fil­ter der Iden­ti­fi­zie­rung nied­ri­ger anzu­set­zen (d.h. die erfor­der­li­chen Iden­ti­fi­ka­ti­ons­mög­lich­kei­ten nicht ernst­haft zu prü­fen), son­dern der Kreis rele­van­ter Per­so­nen mit den ent­spre­chen­den Mög­lich­kei­ten weit zu zie­hen; im Extrem­fall wür­de es aus­rei­chen, wenn irgend­je­mand auf die Iden­ti­tät des Betrof­fe­nen schlie­ssen kann.

Das sagt die DSB hier aller­dings nicht, im Gegenteil:

Nicht über­se­hen wird, dass nach Erw­Gr 26 DSGVO auch zu berück­sich­ti­gen ist, mit wel­cher „Wahr­schein­lich­keit“ irgend­je­mand Mit­tel nutzt, um natür­li­che Per­son direkt oder indi­rekt zu iden­ti­fi­zie­ren. Tat­säch­lich ist nach Auf­fas­sung der Daten­schutz­be­hör­de der Begriff „irgend­je­mand“ – und somit der Anwen­dungs­be­reich des Art. 4 Z 1 DSGVO – zwar nicht der­art weit zu inter­pre­tie­ren, dass irgend­ein unbe­kann­ter Akteur theo­re­tisch Spe­zi­al­wis­sen haben könn­te, um einen Per­so­nen­be­zug her­zu­stel­len; dies wür­de näm­lich dazu füh­ren, dass bei­na­he jede Infor­ma­ti­on in den Anwen­dungs­be­reich der DSGVO fällt und eine Abgren­zung zu nicht-per­so­nen­be­zo­ge­nen Daten schwie­rig oder gar unmög­lich wird. Ent­schei­dend ist viel­mehr, ob mit ver­tret­ba­rem und zumut­ba­rem Auf­wand eine Iden­ti­fi­zier­bar­keit her­ge­stellt wer­den kann […]. Im gegen­ständ­li­chen Fall gibt es aber nun bestimm­te Akteu­re, die ein Spe­zi­al­wis­sen besit­zen, wel­ches es ermög­licht, im Sin­ne der obi­gen Aus­füh­run­gen einen Bezug zum Beschwer­de­füh­rer her­stel­len und ihn daher zu identifizieren.

Zur Iden­ti­fi­ka­ti­on in der Lage sei hier nament­lich Goog­le: Der Beschwer­de­füh­rer war bei sei­nem Besuch der Web­site in sei­nem Goog­le-Account ein­ge­loggt. Goog­le wis­se daher zumin­dest, dass der Nut­zer des betref­fen­den Goog­le-Accounts die Web­site besucht hat. Hier kom­me es zwar auf die Ein­stel­lun­gen im Goog­le-Account an. Wenn die Iden­ti­fi­zier­bar­keit aber nur davon abhängt, sol­len aus tech­ni­scher Sicht alle Mög­lich­kei­ten für eine Iden­ti­fi­zier­bar­keit vor­lie­gen – das genüge.

Abschlie­ssend ver­tritt die DSB im Ergeb­nis auch noch eine Beweis­last­um­kehr: 

Eben­so ist aus­drück­lich auf die in der DSGVO ver­an­ker­te Rechen­schafts­pflicht der Erst­be­schwer­de­geg­ne­rin – als Ver­ant­wort­li­che, hier­zu wei­ter unten – hin­zu­wei­sen, gemäß Art. 5 Abs. 2 iVm Art. 24 Abs. 1 iVm Art. 28 Abs. 1 DSGVO geeig­ne­te tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men ein­zu­set­zen, um sicher­zu­stel­len und den Nach­weis dafür erbrin­gen zu kön­nen, dass die Ver­ar­bei­tung (mit­hil­fe eines Auf­trags­ver­ar­bei­ters) gemäß der Ver­ord­nung erfolgt. Es han­delt sich daher um eine Bring­schuld. Hier­zu zählt auch der Nach­weis, dass eine Ver­ar­bei­tung gera­de nicht der Ver­ord­nung unter­liegt. Ein sol­cher wur­de – trotz mehr­fach ein­ge­räum­ter Mög­lich­kei­ten – nicht erbracht.

Über­dies könn­ten u.U. sogar ame­ri­ka­ni­sche Nach­rich­ten­dien­ste eine Iden­ti­fi­zie­rung vornehmen:

Wie der Beschwer­de­füh­rer eben­so zutref­fen­der Wei­se aus­ge­führt hat, neh­men Nach­rich­ten­dien­ste der USA gewis­se Online-Ken­nun­gen (wie die IP-Adres­se oder ein­zig­ar­ti­ge Kenn­num­mern) als Aus­gangs­punkt für die Über­wa­chung von Ein­zel­per­so­nen. So kann ins­be­son­de­re nicht aus­ge­schlos­sen wer­den, dass die­se Nach­rich­ten­dien­ste bereits Infor­ma­tio­nen gesam­melt haben, mit deren Hil­fe die hier über­tra­ge­nen Daten auf die Per­son des Beschwer­de­füh­rers rück­führ­bar sind.

Ein­schät­zung

Die DSB redet hier ten­den­zi­ell dem Kon­zept der Sin­gu­la­ri­sie­rung das Wort. Aus dis­kri­mi­nie­rungs­recht­li­cher Sicht ist das pri­ma vista zwar nach­voll­zieh­bar, weil eine Indi­vi­dua­li­sie­rung nicht nament­lich bekann­ter Per­so­nen genü­gen kann, die­se Per­son anders als ande­re zu behan­deln. Aller­dings beruht eine Ungleich­be­hand­lung in die­sem Fall nicht auf einer eigent­lich per­so­nen­be­zo­ge­nen Infor­ma­ti­on, denn die zur Unter­schei­dung ver­wen­de­ten Iden­ti­fier wären nur dann im eigent­li­chen Sin­ne per­so­nen­be­zo­gen, wenn sie all­ge­mein – auch durch Drit­te – zur Iden­ti­fi­zie­rung ver­wen­det wer­den (wie v.a der Name einer Per­son); dazu bereits Rosen­thal.

Die­nen sie dage­gen nur einer Stel­le als Iden­ti­fi­ka­tor, ist eine Ver­knüp­fung mit Anga­ben Drit­ter oder durch Drit­te nicht mög­lich, und in die­sem Fall kann man auch nicht von “Iden­ti­fi­ka­ti­on” spre­chen. Der Schutz­be­reich des Daten­schutz­rechts geht nicht soweit, dass es zu einem all­ge­mei­nen Dis­kri­mi­nie­rungs­schutz­recht wer­den kann, beson­ders nicht in der Schweiz mit einer bloss indi­rek­ten Schutz­wir­kung der Grund­rech­te zwi­schen Pri­va­ten. Aus die­sem Grund kön­nen auch grund­recht­lich gepräg­te euro­pa­recht­li­che Rege­lun­gen nicht unbe­se­hen über­nom­men werden.

Man muss sich ohne­hin fra­gen, wes­halb die DSB die­se Aus­füh­run­gen über­haupt macht. Es hät­te genügt, die kla­re Iden­ti­fi­ka­ti­on durch Goog­le – hier über das Log­in im Goog­le-Account des Beschwer­de­füh­rers – fest­zu­stel­len. Letzt­lich sind die Aus­sa­gen zur Sin­gu­la­ri­sie­rung damit obiter dic­ta. Gleich­zei­tig darf man nicht anneh­men, dass die DSB die Trag­wei­te ihrer Aus­sa­hen über­se­hen hat; ihre Stel­lung­nah­me lässt sich nicht als Betriebs­un­fall abtun, son­dern muss als bewuss­te Posi­tio­nie­rung gele­sen werden.

Rol­len­ver­tei­lung

Bei der Prü­fung der daten­schutz­recht­li­chen Rol­len­ver­tei­lung geht die DSB zunächst von der Ver­ant­wort­li­chen­stel­lung des Ver­lags aus, weil die­ser Goog­le Ana­ly­tics ein­setzt. Goog­le ande­rer­seits sei für Goog­le Ana­ly­tics ein Auf­trags­be­ar­bei­ter, was über­ra­schend, aber grund­sätz­lich – je nach Kon­fi­gu­ra­ti­on von Goog­le Ana­ly­tics – kor­rekt ist und auch der Hal­tung von Goog­le entspricht:

Was nun die Daten­ver­ar­bei­tun­gen im Zusam­men­hang mit dem Tool Goog­le Ana­ly­tics betrifft, ist fest­zu­hal­ten, dass [Goog­le] die­ses ledig­lich zur Ver­fü­gung stellt und auch kei­nen Ein­fluss dar­auf hat, ob über­haupt und inwie­fern die Erst­be­schwer­de­geg­ne­rin von den Tool­funk­tio­nen Gebrauch macht und wel­che kon­kre­ten Ein­stel­lun­gen sie wählt. Soweit [Goog­le] daher Goog­le Ana­ly­tics (als Dienst­lei­stung) nur bereit­stellt, nimmt die­ser kei­nen Ein­fluss auf „Zwecke und Mit­tel“ der Daten­ver­ar­bei­tung und ist daher iSd Art. 4 Z 8 DSGVO fall­be­zo­gen als Auf­trags­ver­ar­bei­ter zu qualifizieren.

Dies gel­te unbe­scha­det der daten­schutz­recht­li­chen Rol­le von Goog­le im Hin­blick auf eine mög­li­che wei­te­re Datenverarbeitung.

Teilen auf facebook
Teilen auf twitter
Teilen auf linkedin
Teilen auf email
Teilen auf print

Table of Contents