Google Analytics: Neuer Vertrag zur Auftragsdatenverarbeitung für deutsche Unternehmen verfügbar

Im Juni diesen Jahres informierte der Hamburger Datenschutzbeauftragte darüber, dass sich die Aufhebung der Safe Harbor Entscheidung durch den Europäischen Gerichtshof unmittelbar auf den Einsatz des Dienstes Google Analytics auswirke (hier mein Beitrag dazu). In dem ursprünglich von Google zur Verfügung gestellten Vertrag zur Auftragsdatenverarbeitung wurde nämlich in Ziffer 4.7 auf die „Safe Harbor-Vereinbarung“ verwiesen. Diese Angemessenheitsentscheidung der Europäischen Kommission konnte jedoch nach dem Urteil des Europäischen Gerichtshofs nicht mehr als Grundlage einer Datenübermittlung von personenbezogenen Daten auf Server von Google in die USA dienen. Daher wurde damals durch die Behörde auch eine Überprüfung der empfohlenen Maßnahmen eingeleitet und Gespräche mit Google geführt.

Nun hat Google für deutsche Kunden des Dienstes Google Analytics einen neuen Vertrag zur Auftragsdatenverarbeitung bereitgestellt. Dieser ist hier abrufbar (PDF). In diesem Vertrag wird in Ziffer 4.7 nun auch nicht mehr auf Safe Harbor verwiesen. Es scheint sich bei diesem Vertragsformular, welches von deutschen Webseiten- oder App-Betreibern, die Analytics einsetzen möchten, unterzeichnet werden muss, um eine mit Blick auf den seit kurzem in Kraft getretenen EU-US Datenschutzschild (Privacy Shield) angefertigte Vertragsversion zu handeln. Der Titel des Dokuments wird als “(Privacy Shield version)” bezeichnet.

Das passt. Denn seit dem 22. September 2016 ist die Google Inc. auch offiziell unter dem EU-US Datenschutzschild zertifiziert. Unternehmen, die den Dienst Google Analytics einsetzen möchten, können sich für eine Übermittlung personenbezogener Daten an Google in den USA daher nun auf die Teilnahme des US-Unternehmens an dem Datenschutzschild berufen (vgl. auch die Information in der Datenschutzerklärung von Google).

Allein die Zertifizierung von Google unter dem Datenschutzschild reicht jedoch noch nicht aus, damit personenbezogene Daten zulässigerweise auf dieser Grundlage in die USA übermittelt werden dürfen. Erforderlich ist zudem, dass das jeweilige deutsche Unternehmen ein Vertrag zur Auftragsdatenverarbeitung mit Google abschließt (vgl. auch Anhang II, III. Zusatzgrundsätze, Ziffer 10 a. i. des Beschlusses zum Datenschutzschild). Diese Auffassung haben auch bisher die deutschen Datenschutzbehörden zu Safe Harbor vertreten und die Landesdatenschutzbeauftragte in Nordrhein-Westfalen hat erst kürzlich einen Leitfaden zur Anwendung des Datenschutzschildes veröffentlicht, in dem diese Auffassung bestätigt wurde (mein Beitrag dazu hier). Hierüber informiert Google auch in den Google Analytics Bedingungen. Neben dem Abschluss dieses Vertrages zur Auftragsdatenverarbeitung muss insbesondere darauf geachtet werden, in der eigenen Datenschutzerklärung auf den Einsatz des Dienstes hinzuweisen, eine Widerspruchsmöglichkeit bereitzustellen und durch entsprechende Einstellungen im Google-Analytics-Programmcode die Kürzung von IP-Adressen in Auftrag zu geben (Funktion „_anonymizeIp()). Vielleicht gibt es in näherer Zukunft auch noch eine offizielle Information des Hamburger Datenschutzbeauftragten oder einer anderen Aufsichtsbehörde.

 

Hamburger Datenschützer: Safe Harbor-Urteil wirkt sich auf Einsatz von Analysetools aus

Seit Jahren herrschte in Deutschland bei der Einbindung von Analysetools durch Webseitenbetreiber, z.B. auch von Google Analytics, eine bewährte und durch die Datenschutzbehörden akzeptierte Praxis. Im Jahre 2009 hatten sich die deutschen Datenschutzbehörden auf Vorgaben für eine datenschutzkonforme Ausgestaltung von „Analyseverfahren zur Reichweitenmessung bei Internet-Angeboten“ (PDF) geeinigt. Auf Betreiben der Datenschutzbehörde in Hamburg hin hat zudem Ende 2009 auch Google verschiedene Anpassungen an seinem Produkt Google Analytics vorgenommen, um einen aus Sicht der Datenschutzbehörden beanstandungsfreien Betrieb durch Webseitenbetreiber gewährleisten zu können.

Webseitenbetreiber mussten den von Google vorbereiteten Vertrag zur Auftragsdatenverarbeitung schriftlich abschließen. Zudem mussten Nutzer der Webseite in der Datenschutzerklärung über die Verarbeitung personenbezogener Daten im Rahmen von Google Analytics aufgeklärt und auf die Widerspruchsmöglichkeiten gegen die Erhebung personenbezogener Daten durch Google Analytics hingewiesen werden. Hierbei sollte auf die entsprechende Seite „http://tools.google.com/dlpage/gaoptout?hl=de“ verlinkt werden. Durch entsprechende Einstellungen im Google-Analytics-Programmcode musste die Kürzung von IP-Adressen in Auftrag gegeben werden (Funktion „_anonymizeIp()). Zuvor erhobene Altdaten mussten gelöscht werden. Diese Anforderung finden sich etwa noch auf der Webseite der Datenschutzbehörde in Nordrhein-Westfalen. Von der Webseite des Hamburgischen Beauftragten für Datenschutz wurden sie entfernt.

Der Grund: nach einer Mitteilung des Datenschutzbeauftragten aus Hamburg (Stand: Juni 2016) unterliegt die bisher veröffentlichte Handreichung zu den datenschutzrechtlichen Anforderungen an Webseitenbetreiber mit Sitz in Hamburg beim Einsatz von Google Analytics unter anderem wegen des Urteils des EuGH vom 06.10.2015 (C-362/14- Schrems) zur Ungültigkeit der Entscheidung der Kommission zum sogenannten Safe-Harbor-Abkommen mit den Vereinigten Staaten von Amerika zur Herstellung eines angemessenes Schutzniveaus einer datenschutzrechtlichen Überprüfung und gegebenenfalls einer Überarbeitung.

Der Hamburger Datenschützer weist in seiner Mitteilung darauf hin, dass nach Ziffer 4.7 der Anlage 1 “Regelungen zur Auftragsdatenverarbeitung” der Google Analytics-Bedingungen zur Herstellung der Angemessenheit des Datenschutzniveaus für Datenübermittlungen in die USA auf die für ungültig erklärte Safe-Harbor-Entscheidung verwiesen wird. Die Angemessenheit des Datenschutzniveaus kann auf dieser Grundlage rechtlich jedoch nicht mehr sichergestellt werden. Die Schlussfolgerung des Datenschutzbeauftragten:

Dies wirkt sich unmittelbar auf den Einsatz des Dienstes aus. Eine Überprüfung der von uns empfohlenen Maßnahmen ist eingeleitet, allerdings noch nicht abgeschlossen. Wir stehen dabei auch im Gespräch mit dem Unternehmen Google.

Man wird nun abwarten müssen, welches Ergebnis nach der Überprüfung durch die Behörde und auch nach den Gesprächen mit Google selbst am Ende herauskommt. Eventuell wird die Behörde von Google fordern, dass Kunden ab sofort die EU-Standardvertragsklauseln abschließen müssen. Diese alternativen Übermittlungsinstrumente werden, so der Hamburgische Datenschutzbeauftragte in einer Pressemitteilung vom 6. Juni 2016, „derzeit nicht beanstandet“.

Hamburg Authority Reviews Recommendations For The Implementation Of Google Analytics

The previously published handout by the Data Protection Commissioner of Hamburg (“Commissioner”) about the data protection requirements for website operators based in Hamburg and their use of Google Analytics is subject to a review and possibly revision. According to a statement (German) by the Commissioner, this review is necessary inter alia because of the judgment of the European Court of Justice of 6.10.2016 (Case C-362/14 – Schrems) in which the court invalidated the adequacy decision of the European Commission for so-called Safe Harbor Agreement with the United States of America.

Paragraph 4.7 of Appendix 1 of the “Data Processing Agreement” for the Google Analytics terms (PDF, German) refers to the now invalidated Safe Harbor Decision in order to create an adequate level of protection for personal data when it is transferred to the USA.

The adequacy of the level of data protection can no longer be guaranteed on this basis. According to the Commissioner, this “directly affects the use of the service”. A review of the recommendations has been initiated, but is not yet completed. The Commissioner is also in contact with Google.

In the past, the Data Protection Authority of Hamburg negotiated a solution for website operators in Hamburg to lawfully use Google Analytics. This solution was also acknowledged by the other German Data Protection Authorities. In the view of the authorities, the implementation of the tool required the following measures:

  • Conclusion of a data processing agreement (PDF, German) with Google
  • Activation of anonymization of the IP address (IP masking)
  • Information and link to an opt-out Add-on for Browsers and link to an opt-out Cookie
  • Amendment of the privacy policy with additional information about Google Analytics and the possibility to opt-out

This whole process was necessary because the authorities are of the opinion that an IP address must be considered “personal data”. This week, the Commissioner clarified that the use of alternative instruments for data transfers to third countries, especially the EU Model Clauses, will currently not be challenged. Perhaps the Commissioner will require Google to offer such EU Model Clauses for Google Analytics.

Google wehrt sich gegen französische Behörde: gilt das „Recht auf Vergessenwerden“ weltweit?

Heute hat Google in einem Blogpost bekannt gegeben, dass sich das Unternehmen gegen eine durch die französische Datenschutzbehörde (CNIL) verhängte Geldstrafe in Höhe von 100.000 EUR juristisch zur Wehr setzen wird. Informationen zu dem Verfahren gibt es auf der Seite der CNIL. Dort ist auch eine inoffizielle Übersetzung des entsprechenden Beschlusses (PDF) ins Englische verfügbar.

Insbesondere vertritt die CNIL die Auffassung, dass es unter dem geltenden europäischen Datenschutzrecht und mit Blick auf das Urteil des Europäischen Gerichtshofs (EuGH) in seinem Google-Urteil (C-131/12) nicht ausreicht, wenn nach einer Beschwerde einer betroffenen Person Links aus Suchergebnislisten allein auf Webseiten mit europäischen Endungen (z.B. .de, .es oder .fr) und auch bei Suchanfragen aus dem jeweiligen Mitgliedstaat des Beschwerdeführers auf allen Webseiten der Suchmaschine (also auch auf Google.com) unterdrückt werden. Dieses Vorgehen hatte Google zuletzt gewählt. Die französische Behörde verlangt vielmehr, dass Links aus Ergebnislisten von allen Webseiten der Suchmaschine entfernt werden müssen und zudem unabhängig davon, in welchem Mitgliedstaat der Beschwerdeführer sitzt und von wo aus die Suchanfrage gestellt wird.

Im Ergebnis stellt sich die Frage, ob das europäische Datenschutzrecht und insbesondere seine Durchsetzung durch die Datenschutzbehörden globale Geltung beanspruchen. Ob also etwa auf Anweisung einer französischen Behörde zum einen Nutzer der Suchmaschine in anderen Mitgliedstaaten (z.B. in Deutschland oder Spanien) und zum anderen in Staaten außerhalb des EWR wie z.B. den USA (Google.com) oder Japan (Google.co.jp) nur die veränderte Ergebnisliste angezeigt bekommen dürfen.

Dazu nachfolgend einige Gedanken, die sicherlich nicht abschließend sind, jedoch eventuell zur Diskussion anregen.

Grundsätzlich lässt sich die Feststellung treffen, dass der EuGH in seinem Google-Urteil keine konkreten Aussagen zur territorialen Reichweite des sog. „Recht auf Vergessenwerden“ getroffen hat. Was er in seinem Urteil jedoch stets betont, ist die Bedeutung, die der Durchsetzung und vollen Entfaltung der in der Datenschutzrichtlinie (DS-RL) aufgestellten Garantien für betroffene Personen zukommt.

Der EuGH führt in seinem Google Urteil aus, dass der für Verarbeitung Verantwortliche (also etwa der Suchmaschinenbetreiber)

in seinem Verantwortungsbereich im Rahmen seiner Befugnisse und Möglichkeiten dafür zu sorgen [hat], dass die Verarbeitung den Anforderungen der Richtlinie 95/46 genügt, so dass die von dieser vorgesehenen Garantien ihre volle Wirkung entfalten können (Rz. 83)

Eine wichtige Rolle bei der Erreichung dieses Ziels der Durchsetzung des europäischen Rechts spielen natürlich die Aufsichtsbehörden. Hierauf weist auch der EuGH in seinem Urteil hin:

In diesem Zusammenhang ist darauf hinzuweisen, dass sich nach Art. 28 Abs. 3 und 4 der Richtlinie 95/46 jede Person zum Schutz ihrer Rechte und Freiheiten bei der Verarbeitung personenbezogener Daten an jede Kontrollstelle mit einer Eingabe wenden kann und jede Kontrollstelle über Untersuchungsbefugnisse und wirksame Einwirkungsbefugnisse verfügt, aufgrund deren sie u. a. die Sperrung, Löschung oder Vernichtung von Daten oder das vorläufige oder endgültige Verbot einer Verarbeitung personenbezogener Daten anordnen kann. (Rz. 78)

Hieraus lässt sich bereits der Schluss ziehen, dass die Frage, ob europäisches Datenschutzrecht weltweit gelten soll, stets auch im Zusammenhang mit seiner Durchsetzung durch die Aufsichtsbehörden zu sehen ist. Denn allein die Anwendbarkeit europäischen Datenschutzrechts hat noch nichts mit der Verwirklichung der vorgesehenen Garantien aus der DS-RL oder auch aus der Charta der Grundrechte der Europäischen Union für die betroffenen Personen zu tun.

Ich möchte, zur Untermauerung dieser Ansicht, auf das bekannte Urteil des EuGH zur Aufhebung der Vorratsdatenspeicherungsrichtlinie hinweisen (C?293/12 und C?594/12). Dort kritisiert das Gericht nämlich, dass die betreffende Richtlinie keine Pflicht vorsieht,

dass die fraglichen Daten im Unionsgebiet auf Vorrat gespeichert werden, so dass es nicht als vollumfänglich gewährleistet angesehen werden kann, dass die Einhaltung der in den beiden vorstehenden Randnummern angesprochenen Erfordernisse des Datenschutzes und der Datensicherheit, wie in Art. 8 Abs. 3 der Charta ausdrücklich gefordert, durch eine unabhängige Stelle überwacht wird. Eine solche Überwachung auf der Grundlage des Unionsrechts ist aber ein wesentlicher Bestandteil der Wahrung des Schutzes der Betroffenen bei der Verarbeitung personenbezogener Daten (vgl. in diesem Sinne Urteil Kommission/Österreich, C 614/10, EU:C:2012:631, Rn. 37) (Rz. 68).

Der EuGH geht also selbst davon aus, dass überhaupt nur dann eine den Anforderungen der Charta der Grundrechte und auch der DS-RL entsprechende Garantie für den Schutz personenbezogener Daten möglich ist, wenn die Einhaltung der Vorschriften durch die jeweils zuständigen europäischen Datenschutzbehörden überwacht und gegebenenfalls auch durchgesetzt werden kann. Dies kann allein im Unionsgebiet möglich sein.

Geht man also, mit der vorstehenden Argumentation davon aus, dass neben der reinen Anwendbarkeit europäischen Datenschutzrechts auch immer die Möglichkeit seiner Einhaltung und insbesondere Durchsetzung als inhärente Garantie zu sehen ist, stellt sich unweigerlich die Frage, wie weit die Befugnisse europäischer Datenschutzbehörden, insbesondere territorial, reichen.

Hierzu möchte ich auf eine weitere Entscheidung des EuGH, die sog. Weltimmo-Entscheidung (C-230/14) hinweisen. In diesem Urteil befasst sich das Gericht mit der Frage, wie weit die Kompetenzen der europäischen Aufsichtsbehörden reichen.

So hat nach Art. 28 Abs. 1 DS-RL jede von einem Mitgliedstaat eingeführte Kontrollstelle dafür Sorge zu tragen hat, dass die von den Mitgliedstaaten zur Umsetzung der DS-RL erlassenen Vorschriften im Hoheitsgebiet dieses Mitgliedstaats eingehalten werden (Rz. 47; Hervorhebung durch mich). Zudem, so der EuGH, ergibt sich aus Art. 28 Abs. 1 und 3 DS-RL, dass jede Kontrollstelle sämtliche Befugnisse ausübt, die ihr im Hoheitsgebiet ihres Mitgliedstaats übertragen wurden, um in diesem Hoheitsgebiet die Einhaltung der Datenschutzvorschriften sicherzustellen (Rz. 51; Hervorhebung durch mich). Auch stellt der EuGH klar, dass aus den Anforderungen, die sich aus der territorialen Souveränität des betreffenden Mitgliedstaats, der Gesetzmäßigkeit der Verwaltung und dem Begriff des Rechtsstaats ergeben, folgt, dass die Sanktionsgewalt grundsätzlich nicht außerhalb der gesetzlichen Grenzen stattfinden kann, in denen eine Behörde nach dem Recht ihres Mitgliedstaats ermächtigt ist (Rz. 56; Hervorhebung durch mich).

In dem Fall Weltimmo ging es um einen innereuropäischen Sachverhalt, also die Frage, inwieweit die Aufsichtsbehörde eines Mitgliedstaates im Territorium eines anderen Mitgliedstaates Sanktionsgewalt ausüben darf. Dies lehnt das Gericht mit obiger Begründung ab. Die Sanktionsgewalt darf nicht außerhalb der gesetzlichen Grenzen des eigenen Mitgliedstaates ausgeübt werden.

Übertragen auf die Auseinandersetzung zwischen Google und der französischen Behörde stellt sich nun die Frage, ob es mit der vorgenannten Rechtsprechung des EuGH konform wäre, einer europäischen Aufsichtsbehörde die Befugnis zuzugestehen, Datenverarbeitungen, die zum einen entweder von Personen in anderen europäischen Mitgliedstaaten (der jeweilige Nutzer der Suchmaschine, der nach einem Namen einer betroffenen Person sucht) oder die zum anderen von Personen auf einem Territorium eines Staates außerhalb der Europäischen Union durchgeführt werden, zu regulieren und am Ende mit einem entsprechenden verwaltungsrechtlichen Beschluss, der von seinem Anwendungsbereich her eigentlich nur auf das Territorium des jeweiligen Mitgliedstaates begrenzt ist, zu beeinflussen. Die Maßnahme einer europäischen Behörde hätte dann direkte Auswirkungen in anderen Staaten. Bereits für die erste Konstellation, dass sich ein entsprechender französischer Beschluss etwa auf deutsches oder spanisches Territorium bzw. die dortigen Personen auswirkt, hätte ich meine Zweifel. Dies gilt freilich erst recht in der zweiten Konstellation, also außerhalb der Europäischen Union und damit auch des Kompetenzbereichs der europäischen Datenschutzbehörden.

Nun wird man sicher als Gegenargument anführen können, dass der territoriale Anwendungsbereich europäischen Datenschutzrechts aber doch auch durch den EuGH sehr weit interpretiert wird und eben auch europäisches Datenschutzrecht für die Tätigkeiten einer Google Inc. mit Sitz in den USA gilt. Das ist korrekt. Doch meiner Ansicht nach ist, wie oben beschrieben, für die Verwirklichung der in der europäischen Datenschutzrichtlinie und auch in der Charta der Grundrechte der Europäischen Union festgelegten Rechte und Garantien unweigerlich erforderlich, dass diese durchgesetzt werden (ich verweise noch einmal auf das Urteil des EuGH zur Vorratsdatenspeicherungsrichtlinie). Eine solche Durchsetzung ist aber, aufgrund des Prinzips der territorialen Souveränität von Staaten, nicht immer möglich. Im Ergebnis scheint mir der aktuelle Ansatz von Google zumindest nicht außerhalb der Vorgaben europäischen Rechts zu liegen.

Dieser Problematik scheinen sich im Prinzip auch die europäischen Datenschutzbehörden bewusst zu sein. Wenn man sich die Leitlinien der europäischen Behörden zur Umsetzung des Google-Urteils anschaut (WP 225, PDF), so findet sich auf Seite 8 unter Ziffer 19 der Hinweis, dass die Behörden sich in der Praxis auf solche Fälle „fokussieren“ werden, die einen deutlichen Bezug zum Territorium eines europäischen Mitgliedstaates aufweisen, insbesondere, wenn es sich um ein EU-Bürger handelt.

Am Ende bleibt wohl nur festzustellen, dass die territoriale Durchsetzung europäischen Datenschutzrechts sicherlich kein einfaches und auch ein streitbares Thema darstellt. Man darf gespannt sein, wie dieses Verfahren in Frankreich weitergeht. Am Ende könnte erneut eine Entscheidung des Europäischen Gerichtshofs stehen.

Aufsichtsbehörde: Unternehmen müssen Datenschutzrecht bei „Google Apps for Work“ beachten

Letzte Woche hat der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit seinen 25. Tätigkeitsbericht für die Jahre 2014/2015 veröffentlicht (pdf)

Ein Thema im Bereich der Telemedien stellt dabei die Frage der datenschutzrechtskonformen Nutzung der cloudbasierten Dienste von Google für Unternehmen im Rahmen von „Google Apps for Work“ dar (ab S. 127).

Vor dem Hintergrund des EuGH-Urteils zu Safe Harbor und der weiterhin teilweise unklaren Rechtslage für Datenflüsse in Staaten außerhalb der EU, stellt der Datenschutzbeauftragte zunächst fest, dass eine abschließende Antwort auf die Frage der datenschutzrechtlichen Zulässigkeit dieses Angebotes seiner Ansicht nach nicht leicht falle.

Bereits diese Information sollte Unternehmen, die „Google Apps for Work“ nutzen, aufhorchen lassen und zumindest zu einer internen Prüfung bewegen, welche Dienste konkret zum Einsatz kommen und ob zumindest jene (nachfolgend benannten) Anforderungen eingehalten werden.

Nach Auffassung der Behörde verarbeitet, bei der Verwendung dieser Dienste, die jeweils verantwortliche Stelle ggfs. nicht nur personenbezogene Daten zur Erfüllung des eigenen Geschäftszwecks (z.B. für das Kundenmanagement).

Auch die Nutzungs- und Bestandsdaten von Beschäftigten werden durch Google verarbeitet, wenn die Mitarbeiter die Dienste nutzen.

Das datenschutzrechtliche Verhältnis zwischen dem Unternehmen (dem Kunden von Google) und Google selbst (als Dienstleister) stellt sich als Auftragsdatenverarbeitung (§ 11 BDSG) dar. Google agiert hierbei als Auftragnehmer und verarbeitet im Auftrag des Kunden personenbezogene Daten.

Als Folge ergibt sich hieraus, dass das Unternehmen, welches Google Apps professionell einsetzt, gegenüber den eigenen Mitarbeitern und sonstigen Betroffenen (wie Kunden) datenschutzrechtlich auch für den Umgang mit diesen Daten durch Google verantwortlich. Google wird durch das Konstrukt der Auftragsdatenverarbeitung sozusagen Teil der verantwortlichen Stelle. Die datenschutzrechtliche Verantwortlichkeit, auch für die Datenverarbeitungen durch Google, verbleibt damit bei dem Unternehmen.

Nach Ansicht der Behörde sind in diesem Zusammenhang zwei Themen problematisch.

Zum einen existiert die datenschutzrechtliche Privilegierung der Auftragsdatenverarbeitung bei Auftragnehmern mit Sitz außerhalb der EU nicht. „Auftragnehmer“ i. S. d. BDSG sind allein Stellen, die innerhalb des WER sitzen.
Dies führt dazu, dass die Weitergabe von Daten durch ein Unternehmen an Google eine datenschutzrechtliche Erlaubnis (Einwilligung oder gesetzliche Vorschrift) erfordert. Denn es liegt, anders als bei der Auftragsdatenverarbeitung innerhalb des EWR, eine „Übermittlung“ von Daten i.S.d. BDSG vor.

Zweitens weißt der Datenschutzbeauftragte darauf hin, dass in dem „letztlich entscheidenderen Schritt“ der Verwender der Dienstleistungen gemäß den §§ 4b und 4c BDSG sicherstellen müsse, dass Google bei dem Umgang mit den Daten ein angemessenes Datenschutzniveau gewährleistet. Diese Voraussetzung ist nicht alternativ zu ersten zu erfüllen, sondern besteht daneben. Hintergrund ist, dass personenbezogene Daten in Drittstaaten grundsätzlich nur übermittelt werden dürfen, wenn dort ein angemessenes Schutzniveau für die Daten existiert. Für die USA hatte die, nun ungültige, Safe Harbor-Entscheidung der Europäischen Kommission dies für Unternehmen festgestellt, die sich gewissen Prinzipien verpflichtet hatten. Dieses Instrument existiert jedoch, nach dem Urteil des EuGH, nicht mehr. Doch es gibt auch Alternativen. Die bekanntesten dürften wohl die Standardvertragsklauseln der Europäischen Kommission sein. Daneben kann man aber z.B. auch die Einwilligung der Betroffenen einholen.

Die Aufsichtsbehörde betont, dass Google einen Vertrag auf Grundlage der sogenannten Standardvertragsklauseln anbiete, der durch die Unternehmen abzuschließen ist.

Jedoch weißt der Datenschutzbeauftragte auch darauf hin, dass fraglich sei, ob diese Losung nach dem Urteil des EuGH zu Safe Harbor Bestand haben kann. Es geht konkret um die Frage, ob auch die Standardvertragsklauseln von dem Urteil des EuGH beeinflusst sind und eventuell nicht mehr eingesetzt werden können. Nach Angaben der Behörde wird dies derzeit durch die europäischen und nationalen Aufsichtsbehörden geprüft.

Wichtige Änderung bei Google: Einwilligung beim Einsatz von AdSense und DoubleClick erforderlich

Am 27. Juli 2015 hat Google wichtige Änderungen seiner Produkte AdSense und DoubleClick bekanntgegeben (hier der offizielle Beitrag im AdSense-Blog. Diese Änderungen betreffen alle Webseitenbetreiber, die an den benannten Programmen teilnehmen.

Die Änderungen beziehen sich auf das Erfordernis der Einholung einer datenschutzrechtlichen Einwilligung von Webseitenbesuchern. Google hat im Zuge dessen eine neue „Richtlinie über die Zustimmung der Nutzer in der EU“ veröffentlicht. Wenn ein Webseitenbetreiber ein Google-Produkt verwendet, für das diese Richtlinie gilt, muss der Webseitenbetreiber in Zukunft Endnutzern in der Europäischen Union zum einen bestimmte Informationen offenlegen und es müssen zum anderen Einwilligungen der Endnutzer in die Datenverarbeitung eingeholt werden.

Welche Werbeprodukte für Publisher sind betroffen?
Nach Angaben von Google müssen alle Publisher die Richtlinie über die Zustimmung der Nutzer in der EU befolgen, einschließlich aller Nutzer von AdSense, DoubleClick Ad Exchange und DoubleClick for Publishers.

Was verlangt Google?
Die „Richtlinie zur Einwilligung der Nutzer in der EU“ besteht aus zwei Maßnahmen.

  • Zum einen müssen Publisher wirtschaftlich vertretbare Maßnahmen ergreifen, damit jegliche Datenerfassung, -weitergabe und -nutzung klar offengelegt wird, die auf Websites, in Apps, E-Mails oder anderen Inhalten infolge Ihrer Verwendung von Google-Produkten erfolgt, und sie müssen eine entsprechende Einwilligung einholen.
  • Zum anderen müssen wirtschaftlich angemessene Maßnahmen ergriffen werden, um sicherzustellen, dass ein Endnutzer verständliche und umfassende Informationen zur Speicherung von und zum Zugriff auf Cookies und Daten auf dem Gerät des Endnutzers erhält und diesen Aktivitäten zustimmt, wenn derartige Aktivitäten im Zusammenhang mit der Verwendung eines Produkts erfolgen, für das die Richtlinie gilt.

Bin ich zur Umsetzung der Maßnahmen verpflichtet?
Bei der Antwort auf diese Frage sollte man eine gesetzliche Verpflichtung auf der einen Seite und eine vertragliche Verpflichtung (gegenüber Google) auf der anderen Seite unterscheiden.

Ob man als Webseitenbetreiber, der an ein entsprechendes Google-Produkt nutzt, tatsächlich gesetzlich dazu verpflichtet ist, die Einwilligung der Nutzer in die Datenverarbeitung einzuholen, ist meines Erachtens zumindest diskutabel. Google verweist in den Informationen im AdSense-Blog auf Forderungen der europäischen Datenschützer, die eine Anpassung der bestehenden Umstände zur Einholung einer Einwilligung der Nutzer verlangen. Diesen Forderungen möchte Google nun anscheinend nachkommen. Zu beachten ist, dass es sich hierbei um Anforderungen an die Datenverarbeitung durch Google, bzw. durch seine Produkte, handelt. Mein Eindruck ist, dass die von Google nun verlangte Einholung der Einwilligung also nicht den Webseitenbetreiber als Adressaten der Erlaubnis betrifft, sondern Google selbst. Die Einwilligung wird dann von Google über die Webseitenbetreiber an die teilnehmenden Publisher sozusagen weitergereicht.

Dass Webseitenbetreiber selbst keine datenschutzrechtliche Pflicht zur Einholung einer Einwilligung besitzen, wenn auf ihrer Webseite Anzeigen geschaltet sind, die von einem Anbieter eines Werbenetzwerks mit Inhalten befüllt werden, haben die europäischen Datenschütze in einer Stellungnahme aus dem Jahre 2010 festgesellt (WP 171, PDF). Informationspflichten dazu, ob Cookies gesetzt werden und wenn ja, welche Arten von Informationen in dem Cookie gespeichert werden, sollen für Webseitenbetreiber aber in jedem Fall bestehen.

Wichtig ist jedoch auch die vertragliche Ebene zu betrachten. Google selbst informiert die teilnehmenden Publisher, dass wenn sie Google-Produkte wie Google AdSense oder DoubleClick for Publishers verwenden, sie vertraglich gegenüber Google dazu verpflichtet, die EU-Richtlinie zum Einholen der Zustimmung von Google zu befolgen. Unabhängig von gesetzlichen Pflichten, besteht also eine vertragliche Pflicht gegenüber Google, wenn man ein entsprechendes Produkt verwendet.

Wie muss man die Anforderungen umsetzen?
Google selbst bietet hierzu Informationen auf einer Hilfe-Seite an. Dort finden sich Lösungen dazu, wie Zustimmungsmechanismen in Webseiten und Apps integriert werden können. Außerdem sind hier Beispieltexte für Nachrichten verfügbar, mit denen die Einwilligung der Nutzer eingeholt werden kann. Dort wird auch deutlich, dass Google mit den nun vorgestellten Änderungen die Anforderungen der Datenschutzbehörden beim Einsatz von Cookies auf Webseiten umsetzen möchte. Diese Forderung, beim Einsatz von bestimmten Cookies eine Einwilligung einzuholen, entspringt einer europäischen Richtlinie (2002/58/EG, sog. ePrivacy Richtlinie). Die Umsetzung der ePrivacy Richtlinie in den europäischen Mitgliedstaaten ist jedoch recht unterschiedlich erfolgt. Teilweise wird von dem Erfordernis eines Opt-ins, teilweise von einem Opt-out ausgegangen.

Fazit
Die nun von Google vorgestellten Änderungen betreffen alle Webseiten/App-Betreiber, die bestimmte Google-Produkte nutzen. Unabhängig von der Frage einer gesetzlichen Verpflichtung zur Einholung einer Einwilligung, sind die Betreiber vertraglich zur Umsetzung der Vorgaben verpflichtet. Google selbst macht mit diesem Anpassungsprozess meines Erachtens einen großen Schritt auf die europäischen Datenschützer und deren Forderungen zu.

Update
Der Kollege Thomas Schwenke informiert in seinem Blog ebenfalls über die Änderungen bei Google.

Bundesregierung: Datensammlungen stellen einen Wettbewerbsvorteil dar

Die deutsche Bundesregierung hat sich in einer Stellungnahme vom 22. April 2015 zum XX. Hauptgutachten der Monopolkommission 2012/2013 und dabei insbesondere auch zu dem Themenkreis Datenschutz, Wettbewerb und Markmacht geäußert.

Das referenzierte Hauptgutachten der Monopolkommission hatte ich bereits einmal hier im Blog besprochen. Die Monopolkommission widmet sich darin unter anderem auch der Internetökonomie und den Problemkreisen Datenschutz, Wettbewerb und Verbraucherschutz. Inbesondere geht es dabei auch um die Auswirkungen der Sammlung von großen Mengen personenbezogener Daten und wie sich das Datenschutz- und Kartellrecht hier ergänzen können oder sollten.

In ihrer Stellungnahme geht die Bundesregierung zunächst auf die geplante Datenschutz-Grundverordnung (DS-GVO) auf europäischer Ebene ein. Ihrer Ansicht nach wird die DS-GVO eine wettbewerbsfördernde Dimension besitzen, welche insbesondere durch die Harmonisierung des derzeitigen EU-Datenschutzrechts und eine damit angestrebte Angleichung der Anwendungspraxis zum Ausdruck kommen soll. (S. 3) Nicht erwähnt wird freilich, dass die DS-GVO möglicherweise weitreichende Ausnahmeklauseln enthalten könnte, die es den Mitgliedstaaten erlauben würden, jeweils eigene nationale Regelungen zum Umgang etwa mit bestimmten Arten von personenbezogenen Daten zu schaffen. Wo dann der Harmonisierungseffekt einer Verordnung bleibt, wird sich zeigen.

Weiter trifft die Bundesregierung dann eine klare Aussage:

Eine (oft langfristig aufgebaute) Sammlung von personenbezogenen Daten über das Verhalten von Nutzern stellt jedenfalls gegenüber Wettbewerbern, die nicht über eine solche Sammlung verfügen, einen erheblichen Wettbewerbsvorteil dar und kann so die Marktzutrittsschranken erhöhen.

Nach Ansicht der Bundesregierung soll das Allheilmittel gegen solche Tendenzen das in der DS-GVO neu zu schaffende „Recht auf Datenportabilität“ sein, welches eine leichte Übertragung von Datensätzen ermöglichen soll und den

Wechsel von einem Internetdiensteanbieter zum anderen erleichtert.

Dass freilich in der DS-GVO nichts davon steht, dass das Recht auf Datenportabilität allein auf Internetdiensteanbieter anwendbar ist und damit faktisch jede (!) verantwortliche Stelle trifft (den Handwerksbetrieb ebenso wie den Stromanbieter), wird auch hier nicht näher beleuchtet. Nicht nur die Internetdiensteanbieter wären also derzeit von der Pflicht zur Datenportabilität erfasst. Die Regierung geht davon aus, dass es wettbewerbsbehindernde Lock-in-Effekte verringern kann.

Auch äußert sich die Bundesregierung zu der generellen Bedeutung und den Auswirkungen des Datenschutzrechts auf den Märkten im Internet. Die Bundesregierung teilt hier nämlich die Auffassung der Monopolkommission,

dass dem Datenschutzrecht auf Internetmärkten eine wichtige wettbewerbspolitische Bedeutung zukommt.

Fast im unmittelbaren Zusammenhang gesteht die Bundesregierung jedoch auch ein, dass das Zusammenspiel von Wettbewerbs- und Datenschutzaspekten weitgehend ungeklärt und insbesondere zu diesen Fragen eine vertiefte Sachverhaltsaufklärung erforderlich ist (S. 4).

Weitergehend stellt die Bundesregierung klar, dass der Schutz vor Marktmachtmissbrauch sowie eine effektive Zusammenschlusskontrolle gesichert sein müssen. Dass die geltenden rechtlichen Vorschriften insoweit möglicherweise defizitär sind, erkennt die Regierung. Sie wird daher den bestehenden Ordnungsrahmen umfassend auf eventuellen Anpassungsbedarf prüfen und

dabei auf eine sorgfältig austarierte Balance zwischen technologieoffenen, innovationsfreundlichen Rahmenbedingungen auf der einen und einer Marktmachtbegrenzung auf der anderen Seite achten.

Konkret nennt die Bundesregierung auch ein Beispiel. Ihrer Ansicht nach wirft der Erwerb von WhatsApp durch Facebook die Frage auf, inwieweit bei der Prüfung, ob ein Zusammenschluss der Fusionskontrolle unterfällt, nicht nur die aktuellen Umsätze der Unternehmen berücksichtigt werden sollten, sondern auch der Wert einer Transaktion. Nach Auffassung der Regierung wird dieser Wert maßgeblich durch die Zahl der Nutzer und den Wert der Daten bestimmt.

Und wie sieht es mit einer möglichen Monopolstellung von Google aus? Die Monopolkommission war zu dem Ergebnis gelangt, dass Internetsuchmaschinen keine wesentlichen Einrichtungen darstellen und auch nicht unerlässlich seien, um das Internet zu nutzen. Die Bundesregierung scheint diese Auffassung zumindest nicht vollumfänglich zu teilen. Sie sieht hier weiteren Klärungsbedarf und eventuell einen Ansatz für weitergehende Regelungen. Insbesondere sollte ihrer Ansicht nach auf europäischer Ebene geprüft werden,

inwieweit für marktmächtige Plattformbetreiber über das Wettbewerbsrecht hinausgehende Regeln erforderlich sind.

Besuch von EU-Datenschützern: Google stimmt Vor-Ort-Kontrollen in den USA zu

Am 20. Februar 2015 gab die italienische Datenschutzbehörde bekannt, dass man sich im Rahmen eines Prüfverfahrens der Datenschutzrichtlinie des Suchmaschinenbetreibers Google und der Verarbeitung von personenbezogenen Daten von Nutzern, auf verschiedene Umsetzungs- und Änderungsmaßnahmen geeinigt habe, die von der Behörde vorgeschlagen wurden.

Danach wird Google bis zum Januar 2016 unter anderem die Art und die Form seiner Datenschutzhinweise überarbeiten. Die Informationen darüber, wie Google personenbezogene Daten verarbeitet sollen noch deutlicher und klarer abgefasst werden. Zudem soll der Suchmaschinenbetreiber auch die Einwilligung von Nutzern einholen, wenn deren Verhalten über verschiedene angebotene Dienste hinweg in Profilen gespeichert werden soll. Auch bei der Speicherdauer von Kundendaten soll Google nach den Wünschen den italienischen Datenschützer nachbessern. Insbesondere soll es in Zukunft festgelegte Zeiträume geben, nach denen nicht mehr erforderliche Nutzerdaten und Backups gelöscht werden müssen.

Google hat den durch die italienische Behörde vorgegebenen Änderungsmaßnahmen zugestimmt und hat nun bis Januar 2016 Zeit, diese umzusetzen. Um den Fortgang der Maßnahmen zu prüfen, erhält die italienische Datenschutzbehörde das Recht, Vor-Ort-Kontrollen am Hauptsitz des Suchmaschinenbetreibers in Kalifornien durchzuführen. Nach den Informationen der Behörde, ist dieses Vorgehen und auch das Zugeständnis von Google, die italienischen Datenschützer am Hauptsitz in den USA die Kontrolle der Änderungen zu ermöglichen, eine Premiere im europäischen Datenschutzrecht.

Das Verfahren der italienischen Behörde steht im Zusammenhang mit einer breiter angelegten Prüfaktion verschiedener Datenschutzbehörden in ganz Europa. Diese begannen mit der Einführung der neuen Datenschutzerklärung beim Suchmaschinenbetreiber im Jahre 2012. Erst kürzlich einigte sich Google etwa auch mit der Datenschutzbehörde in England (hierzu mein Beitrag). In Deutschland läuft derzeit noch ein Verfahren beim Hamburgischen Beauftragten für den Datenschutz.

UK: Google einigt sich mit Aufsichtsbehörde auf Änderungen beim Datenschutz

Am 30. Januar 2015 gab die englische Datenschutzbehörde (ICO) bekannt, dass man sich im Rahmen eines Prüfverfahrens, welches die Verarbeitung von Nutzerdaten bei Google und den Inhalt der Datenschutzerklärung zum Gegenstand hatte, darüber verständigt hat, dass das US-Unternehmen eine Verpflichtungserklärung unterzeichnet und die Behörde im Gegenzug keine Zwangsmaßnahmen durchführt.

Hintergrund des Verfahrens ist eine europaweite und seit Jahren andauernde Überprüfung der Datenschutzerklärung und Verarbeitungstätigkeiten von Google, welche in verschiedenen europäischen Ländern von den jeweils zuständigen nationalen Behörden vorgenommen wurde und teilweise auch noch wird. Zuletzt hatte die niederländische Datenschutzbehörde für Aufsehen gesorgt, nachdem sie im Dezember 2014 ankündigte, gegen Google ein Bußgeld zu verhängen, welches mit fortschreitender Zeit bis zu 15 Million Euro betragen kann (hierzu mein Beitrag).

Die nun in England unterzeichnete Verpflichtungserklärung (PDF) beinhaltet unter anderem folgende Maßnahmen:

  • Google sorgt für eine fortgesetzte Bewertung der Auswirkungen zukünftiger Veränderungen der Datenverarbeitungsprozesse auf die Privatsphäre der Nutzer
  • Wesentliche Änderungen der Datenschutzerklärung sollen von Spezialisten für die Nutzererwartung begutachtet und mit repräsentativen Gruppen von Nutzern getestet werden
  • Auch in Zukunft wird Google proaktiv mit der Aufsichtsbehörde in England zusammenarbeiten und vor wesentlichen Änderungen der Datenverarbeitungsprozesse die Behörde rechtzeitig hierauf hinweisen

Zudem verpflichtet sich Google spezifische Änderungen an der Datenschutzerklärung bis zum 30. Juni 2015 vorzunehmen. Zu diesen Anpassungen gehören unter anderem:

  •  Google wird die Erreichbarkeit der Datenschutzhinweise verbessern
  • Google wird die Informationen über die Datenverarbeitung in der Datenschutzerklärung verbessern und deutlicher über die Zwecke der Verarbeitung und die Arten der Daten informieren
  • Google wird den Nutzern Informationen dazu bereitstellen, wie sie ihre gesetzlichen Rechte ausüben können
  • Zudem wird Google zwei Abschnitte der Nutzungsbedingungen (unter anderem jenen zur Verarbeitung von Daten im Rahmen des E-Mail-Dienstes) in die Datenschutzerklärung integrieren
  • Auch wird Google die gesamte Datenschutzerklärung mit Blick auf unscharfe und unbestimmte Begriffe und Informationen überarbeiten
  • Google wird eine überarbeitete Version der Account-Einstellungen entwickeln, welche es den Nutzern ermöglichen verschiedene Kontrollmöglichkeiten zu den Diensten auszuüben

Die Verpflichtungserklärung und die dort enthaltenen Vorgaben gelten nur für die englische Version der Datenschutzerklärung von Google.

Auch die Versammlung der europäischen Datenschützer, die sog. Art. 29 Gruppe, hatte im letzten Jahr Vorschläge veröffentlicht, wie Google seine Datenschutzerklärungen ihrer Ansicht nach verbessern könne (hierzu mein Beitrag). Die Verpflichtungserklärung aus England kopiert einige der dort entwickelten „Hausaufgaben“. In Deutschland läuft in diesem Zusammenhang derzeit ein durch den Hamburgischen Beauftragten für Datenschutz angestrengtes Verwaltungsverfahren gegen Google.

Datenschutz-Deutschland: Geprägt von Uneinigkeit

Die Pressemitteilung der Landesbeauftragten für den Datenschutz und für das Recht auf Akteneinsicht in Brandenburg, dass Datenschutzverstöße von Kommunen im Rahmen des Einsatzes des Analysetools Google Analytics nach Überprüfungen abgestellt wurden, hat mich stutzig gemacht. Anhand dieses Beispiels “Google Analytics” kann man jedoch erkennen, mit welchen tatsächlichen Schwierigkeiten sowohl Unternehmen als auch Behörden derzeit bei der Beachtung der gesetzlichen Vorgaben zum Datenschutz umgehen müssen, wenn sie weder völlig auf neue Technologien verzichten möchten, noch gesetzliche Standards völlig unbeachtet lassen wollen.

Einheitliche Position der Behörden
Für den privaten Bereich hatten sich alle deutschen Landesdatenschutzbehörden auf ein einheitliches Vorgehen in Sachen „Google Analytics“ verständigt. Unter Federführung des Hamburger Datenschützers wurde ein Verfahren mit Google abgestimmt, welches den (nach Ansicht der Behörden) datenschutzrechtskonformen Einsatz des Tools ermöglicht. Ein solches Ergebnis ist aus Sicht der Praxis und in diesem Fall der privatwirtschaftlichen Betreiber von Webseiten absolut zu begrüßen. Denn es wäre kaum verständlich und vermittelbar, warum etwa ein Unternehmen in Bayern Google Analytics nutzen dürfte und z. B. ein Unternehmen in Hessen nicht. Daneben könnten sich aus einer solchen Situation auch wirtschaftliche Nach- bzw. Vorteile für die Unternehmen ergeben, je nachdem in welchem Bundesland sie sitzen und welche Landesbehörde zuständig ist.

Aber: der öffentliche Bereich
Die angesprochene Mitteilung der Landesdatenschutzbeauftragten aus Brandenburg betrifft nun aber öffentliche Stellen. Hier gelten (teilweise) andere Datenschutzgesetze als im privatwirtschaftlichen Bereich. Einige sind aber auch gleich, gerade was die hier in Rede stehenden Voraussetzungen des § 15 Abs. 3 TMG betrifft (vgl. etwa 16. Tätigkeitsbericht des Sächsischen Datenschutzbeauftragten, S. 122, PDF). Nach Aussage in der Pressemitteilung der Landesdatenschutzbeauftragten in Brandenburg schließt der „Einsatz von Google Analytics durch öffentliche Stellen in Brandenburg“ die Möglichkeit des datenschutzgerechten Betriebes von Internetangeboten aus. Man geht also von der absoluten Unzulässigkeit aus.

Doch warum soll hier etwas anderes gelten, als im privaten Bereich? Können öffentliche Stellen nicht auf die durch die Datenschutzbehörden mit Google ausgehandelten Kriterien zurückgreifen? Auch der Landesdatenschützer in Hessen geht von der Unzulässigkeit des Einsatzes von Google Analytics durch öffentliche Stellen aus. Grund hierfür ist oft, dass im öffentlichen Datenschutzrecht spezielle Anforderungen an die Auftragsdatenverarbeitung gestellt werden, die Google nicht erfüllen kann. Auf der anderen Seite ging bereits im Jahre 2010 der Bayerischen Landesbeauftragten für den Datenschutz davon aus, dass Google Analytics auch durch Behörden grundsätzlich rechtskonform eingesetzt werden kann. In einer Pressemitteilung, die im Rahmen der Prüfung bayerischer Behörden entstand, führt er aus:

Bei der Anfang November durchgeführten Nachprüfung hat sich gezeigt, dass nunmehr nur noch 159 bayerische Behörden Google Analytics einsetzen. 25 dieser Behörden tun dies in Verbindung mit einer Anonymisierungsfunktion, eine datenschutzkonforme Vorgehensweise ist danach zumindest möglich. (Hervorhebung durch mich).

Der Hamburgische Beauftragte für Datenschutz geht davon aus, dass für öffentliche Stellen in Hamburg andere rechtliche Voraussetzungen und zusätzliche Anforderungen gelten, die einen Einsatz von Google Analytics oder anderer Tracking-Dienste nur eingeschränkt ermöglichen (PDF). Ausgeschlossen ist der Einsatz danach aber nicht, wie sich etwa am Beispiel der Webseite des Hamburger Senats zeigt, auf der Google Analytics zum Einsatz kommt.

Quintessenz
Was möchte ich mit diesen Feststellungen sagen? Offensichtlich ist man sich bezüglich der Voraussetzungen des Einsatzes von Google Analytics in den Datenschutzbehörden in Deutschland uneins, was jedoch leider für den praktischen Umgang mit den Datenschutzgesetzen ein erhebliches und Rechtsunsicherheit schaffendes Problem darstellen kann. Gerade wenn solche landesspezifischen Abweichungen im Bereich der Durchsetzung des Datenschutzrechts in der Privatwirtschaft entstehen. Nach dem Motto: “Warum dürfen die Bayern das und wir nicht?”. Im konkreten Fall betrifft es beispielhaft das Thema „Google Analytics“ und den öffentlichen Bereich. Doch abweichende Rechtsanschauungen und damit einhergehend eine abweichende Rechtsdurchsetzung (immerhin mit der Möglichkeit Bußgelder zu verhängen), treten ebenso im privatwirtschaftlichen Bereich zu Tage. Man muss daher im Interesse aller Beteiligten hoffen, dass ein einheitliches Vorgehen der Aufsichtsbehörden in Zukunft, ja wenn nicht sogar eine gesetzliche Pflicht (man denke an die Vorgaben der Datenschutz-Grundverordnung zum sog. „one-stop-shop“) zum kohärenten Vollzug der Datenschutzgesetze, die Regel sein wird.