Rechtliche Unsicherheiten beim Website-Tracking umgehen

Bisweilen sind in der Praxis erhebliche Rechtsunsicherheiten in Bezug auf die datenschutzrechtlichen Anforderungen beim Website-Tracking aufgekommen. Die Rechtsunsicherheiten betreffen in erster Linie die Frage, welche Anforderungen an die Abfrage einer Einwilligung für die Übermittlung in ein Drittland ohne angemessenes Schutzniveau über eine Consent-Management-Platform zu stellen sind und was unter „zusätzlichen Maßnahmen“ zur Absicherung von Drittlandtransfers aufgrund der Nutzung von cloudbasierten Anwendungen für die Realisierung von Server Side Tracking-Mechanismen nach Maßgabe der neuen Standardvertragsklauseln der EU-Kommission zu verstehen ist.

Jüngere Entscheidungen der Aufsichtsbehörden zu Google Analytics belegen die hohen Anforderungen an die rechtskonforme Gestaltung von Standardvertragsklauseln, insbesondere mit Blick auf die Bewertung der in den Anlagen der SCC bezeichneten „zusätzlichen Maßnahmen“.

Schließlich ist die am 25.03.2022 verkündete Einigung zwischen US-Präsident Biden und Präsidentin der EU-Kommission Ursula von der Leyen auf ein neuen „Trans Atlantic Data Privacy Framework“ („TADPF“) als Nachfolgeabkommen für das vom EuGH für unwirksam erklärte EU-US Privacy Shield derzeit erheblichen Rechtsunsicherheiten ausgesetzt.

Wir haben uns mit Tilman Herbrich von Spirit Legal zusammengesetzt, um die Rechtsunsicherheiten bei der Übermittlung personenbezogener Daten in ein Land außerhalb der Europäischen Union zu untersuchen. In diesem gemeinsamen Artikel möchten wir auf die häufigsten Fragen im Zusammenhang mit dem internationalen Datentransfer und dem Website-Tracking eingehen:

1. Ist die Übermittlung von Daten in ein Drittland unter Berufung auf eine Einwilligung als Rechtsgrundlage zulässig
2. Was ist unter “zusätzlichen Maßnahmen” zu verstehen, wenn es um internationale Datenübermittlungen gemäß der DSGVO geht?
3. Sind die von Google & Co. angebotenen “zusätzlichen Maßnahmen” ausreichend, um die GDPR einzuhalten?
4. Wird es jemals einen Angemessenheitsbeschluss für die Übermittlungen in die USA geben?

1. Rechtsunsicherheit Einwilligung für Drittlandtransfer: Ist eine praktikable Umsetzung möglich?

Bereits die Nutzung von Consent-Management-Plattformen, die auf Cloud-Lösungen z. B. von AWS, Microsoft Azure oder Google als Infrastruktur aufbauen, kann die Compliance mit den Vorgaben aus dem EuGH-Urteil „Schrems II“ von vornherein verhindern, wie der Fall vor dem VG Wiesbaden (Beschl. v. 01.12.2021 – 6 L 738/21.WI, nicht rechtskräftig) angedeutet hat. Selbst wenn man eine CMP ohne jedwedes Drittlandrisiko in Anspruch nimmt, ist die Abfrage einer Einwilligung für den Drittlandtransfer aufgrund von Tracking-Diensten wie Google Analytics mit kaum überwindbaren praktischen Hürden verbunden.

Als Ausnahme für einen Drittlandtransfer ist die Umsetzung einer ausdrücklichen Einwilligung gemäß Art. 49 Abs. 1 S. 1 lit. a) DSGVO mit erheblicher Komplexität und Risiken verbunden. Zum einen lehnen Aufsichtsbehörden die rechtliche Zulässigkeit einer Einwilligung für die Übermittlung an Tracking-Dienste in Drittländern ab. Zum anderen ist die Erfüllung der Informationspflichten in Bezug auf Empfänger und sämtliche Drittländer im Rahmen der Abfrage einer Einwilligung in einer CMP mit kaum überwindbaren praktischen Hürden verbunden:

Nach Art. 49 Abs. 1 S. 1 lit. a) DSGVO ist die Übermittlung in ein Drittland ohne angemessenes Schutzniveau ausnahmsweise zulässig, wenn die betroffene Person in die vorgeschlagene Datenübermittlung ausdrücklich eingewilligt hat, nachdem sie über die für sie bestehenden möglichen Risiken derartiger Datenübermittlungen ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien unterrichtet wurde. Auf diese Ausnahme kann ausweislich der Kommentarliteratur zurückgegriffen werden, wenn einem Technology-Provider im Drittstaat personenbezogene Daten übermittelt werden [vgl. Schantz, in: Simitis/Hornung/Spiecker, gen. Döhmann, DSGVO, Art. 49 Rn. 19 m.w.N.].

Bei der Prüfung, welche Verarbeitungen von Art. 49 Abs. 1 S. 1 lit. a) DSGVO erfasst sind, ist ein vorsichtiger Maßstab anzuwenden. Der Europäische Datenschutzausschuss („EDPB“) fordert eine vorherige Unterrichtung über die konkreten bestehenden Risiken, die aus dem fehlenden Schutzniveau im Drittland herrühren. Abstrakte Hinweise auf eine fehlende Angemessenheit im Drittland seien nicht ausreichend [vgl. EDPB Guidelines 2/2018 on derogations of Article 49 under Regulation 2016/679 vom 25.5.2018, S. 9 f.]. So muss hervorgehoben werden, welche möglichen Risiken sich für die betroffenen Personen aus der Tatsache ergeben, dass das Drittland kein angemessenes Schutzniveau bietet und dass keine geeigneten Garantien vorliegen.
Eine solche Einwilligungserklärung kann zwar standardisiert sein, sollte jedoch nach Ansicht des EDPB unter anderem folgende Information – soweit im jeweiligen Drittland zutreffend – enthalten:

• Fehlen einer Aufsichtsbehörde für Beschwerdemöglichkeiten,
• Fehlen von Betroffenenrechten und/oder
• Fehlen von Datenverarbeitungsgrundsätzen (Art. 5 DSGVO).

Außerdem sei die „umfassende Angabe“ von Empfängern im Drittland und das jeweilige Drittland genau zu bezeichnen. Werden diese Informationen nicht zur Verfügung gestellt, kommt die Ausnahmeregelung daher nicht zur Anwendung [vgl. EDPB Guidelines 2/2018 on derogations of Article 49 under Regulation 2016/679 vom 25.5.2018, S. 9].

Nach Ansicht der Datenschutzkonferenz kann der Einsatz von Tracking-Tools zur Nachverfolgung des Nutzerverhaltens grundsätzlich nicht auf Grundlage einer Einwilligung nach Art. 49 Abs. 1 S. 1 lit. a) DSGVO gestützt werden [DSK, Orientierungshilfe für Anbieter:innen von Telemedien, 2021, S. 32]. Umfang und Regelmäßigkeit solcher Transfers widersprächen regelmäßig dem Charakter des Art. 49 DSGVO als Ausnahmevorschrift und den Anforderungen aus Art. 44 S. 2 DSGVO [vgl. hierzu auch EDPB Guidelines 2/2018 on derogations of Article 49 under Regulation 2016/679 vom 25.5.2018, S. 9]. Nach Art. 44 S. 2 DSGVO sind alle Bestimmungen des Kapitels 5 anzuwenden, um sicherzustellen, dass das durch diese Verordnung gewährleistete Schutzniveau für natürliche Personen nicht untergraben wird.

Es ist zwar vertretbar, eine Einwilligung für den Drittlandtransfer in einer Consent-Management-Plattform (CMP) auf der Website an eine Einwilligung für das jeweilige Tracking-Tool zu koppeln [Moos/Strassemeyer, DSB 2020, 207, 210].

In der praktischen Umsetzung wird man jedoch z. B. beim Einsatz von Google Analytics regelmäßig daran scheitern, die umfangreichen Informationspflichten des EDPB in einem Consent-Layer transparent abbilden zu können, um eine akzeptable Consent-Rate zu erzielen. Denn die Auflistung des jeweiligen Drittlandes, in welches die Daten übermittelt werden, sowie aller über 50 Unterauftragnehmer für den Google Analytics als Empfänger ist aufgrund des Umfangs rechtssicher kaum praktisch handzuhaben. Google behält sich z. B. in Ziff. 10.1 Datenverarbeitungsbedingungen für Google Ads vor, personenbezogene Daten in jedem Land zu verarbeiten, in dem Google oder Unterauftragnehmer Einrichtungen vorhalten.

Im Fall von Google Analytics müssten Website-Besucher in einer CMP jeweils für das Drittland über fehlende Betroffenenrechten, Beschwerdemöglichkeiten bei Aufsichtsbehörden und fehlende Datenverarbeitungsgrundsätzen informieren. Die Hinweise müssten für jedes Drittland ohne angemessenes Schutzniveau wie Taiwan, Philippinen, Brasilien, Mexiko, Malaysia und Indien erteilt werden [vgl. z. B. zu Indien Studie im Auftrag des EDPB, Government access to data in third countries, 2021]. Lediglich für Drittländer wie Japan und Argentinien bestehen Angemessenheitsbeschlüsse der EU-Kommission nach Art. 45 DSGVO.

Fazit

Selbst beim consent-based Marketing durch Nutzung von CMP-Lösungen lässt sich die Drittlandproblematik bei Nutzung von Google-Diensten nicht sinnvoll überwinden. Eine den Anforderungen der Aufsichtsbehörden entsprechende Konfiguration einer CMP ist derzeit mangels Rechtsprechung mit kaum überwindbaren praktischen Hürden verbunden.

Im Rahmen der Risikobeurteilung ist zu bedenken, dass im Fall einer aufsichtsbehördlichen Sanktionierung nicht der verringerte Bußgeldrahmen nach § 28 Nr. 13 TTDSG (EUR 300.000,00), sondern die Bußgeldbemessung nach Maßgabe von Art. 83 Abs. 5 lit. c) DSGVO gilt (bis zu 4% weltweiter Jahresumsatz).

Als Rechtfertigung für den Datentransfer in unsichere Drittländer, z. B. in die USA, verbleibt im Nachgang der EuGH-Rechtsprechung [EuGH, 16.7.2020 – C-311/18 – Schrems II] praktisch nur die Vereinbarung von Standardvertragsklauseln. Jeder Datentransfer und Datenzugriff durch US-Unternehmen, der sich auf Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c) DSGVO stützt, erfordert zusätzliche technische und organisatorische Maßnahmen („Supplementary Measures“) zum Schutz vor dem Zugriff von US-Behörden sowie zur Gewährleistung eines effektiven Rechtsschutzes für Betroffene gegen unberechtigte Zugriffe.

So muss der Datenexporteur – also jede Stelle wie Website-Betreiber, die personenbezogene Daten in den Machtbereich des Drittlandes übermittelt, einschließlich der Datentransfers von in Europa ansässigen Konzerngesellschaften mit US-amerikanischem Mutterkonzern – künftig zuerst prüfen, ob die Verpflichtungen im Drittland eingehalten werden können und ein angemessenes Schutzniveau gewährleistet ist. Sollte dies – wie in den USA insbesondere durch den Anwendungsbereich von Section 702 FISA und E.O. 12333 und die Zugriffsberechtigungen der Sicherheitsbehörden – nicht der Fall sein, müssen konkrete kompensatorische Maßnahmen ergriffen werden, die sicherstellen, dass das Schutzniveau wirklich eingehalten wird [Heckmann, Datenschutzkonforme Nutzung von Cloud-Lösungen aus unsicheren Drittländern, Wissenschaftliches Gutachten, 2021, S. 15; Heinzke, GRUR-Prax 2020, 436].

Selbst mittels einer Standortwahl von Servern in Europa lässt sich die Drittlandthematik nicht von vornherein vermeiden. Nach dem Gutachten im Auftrag der DSK zum aktuellen Stand des US-Überwachungsrechts und der Überwachungsbefugnisse unterfallen US-amerikanische Unternehmen dem US-Überwachungsgesetz 50 U.S. Code § 1881a (Section 702 FISA), selbst wenn sie die Daten außerhalb der USA, nämlich innerhalb der EU, speichern. Ebenso könnte bei Nutzung von Cloud-Ressourcen von US-Unternehmen, wie beim Server Side Google Tag Manager im Rahmen des CLOUD Acts bei der Speicherung der Daten auf Servern innerhalb der EU der US-Anbieter zur Herausgabe der Daten verpflichtet werden [Heckmann, Datenschutzkonforme Nutzung von Cloud-Lösungen aus unsicheren Drittländern, Wissenschaftliches Gutachten, 2021, S. 16; Paal/Kumkar, MMR 2020, 733].

Nach Ziff. 14 der SCC ist eine Pflicht zur Durchführung und Dokumentation eines „Transfer Impact Assessments“ vorgesehen, in dem eine Analyse und Mitigation für Risiken eines Zugriffs von Sicherheitsbehörden auf Grundlage von „zusätzlichen Maßnahmen“ als zusätzliche vertragliche, technische und organisatorische Maßnahmen zu erfolgen hat.

2. Rechtsunsicherheit Drittlandtransfer: Was sind „zusätzliche Maßnahmen“?

Welche „zusätzlichen Maßnahmen“ zu ergreifen sind, ist anhand der vom EDPB am 18.06.2021 im Nachgang zu den neuen SCC der EU-Kommission veröffentlichten „Recommendations 01/2020 on measures […]” in der Version 2.0 zu evaluieren. Ohne Dokumentation von zusätzlichen Maßnahmen zur Riskmitigation wird die Anwendung der SCC von Aufsichtsbehörden nicht akzeptiert. Als Zusatzmaßnahmen können z. B. die Anonymisierung oder fortgeschrittene Pseudonymisierung von Daten sowie weitgehende Verschlüsselungstechnologien fallen, wenn sichergestellt ist, dass die Empfänger im Drittland keinen Zugriff auf die Zuordnungsregel für die pseudonymisierten Daten i. S. d. Art. 4 Nr. 5 DSGVO oder die zu verarbeitenden Daten erhalten [Paal/Kumkar, MMR 2020, 733].

Fazit

Es ist in Bezug auf den Einsatz von Tracking-Diensten im Einzelfall zu evaluieren, wie eine valide Pseudonymisierung im Vorfeld der Übermittlung von Nutzerdaten an Google im Einzelfall erfolgen kann, um die „Schrems II“-Compliance zu gewährleisten.

3. Rechtsunsicherheit Google & Co.: Reichen „zusätzliche Maßnahmen“ in SCC aus?

Die europäischen Aufsichtsbehörden stellen an „zusätzliche Maßnahmen“ in SCC beim nicht modifizierten Einsatz von Tracking-Diensten von US-Anbietern (vgl. bereits Punkt I.2.b.) strenge Anforderungen:

Im Kern erachten die Aufsichtsbehörden europaweit die von Google in den SCC „Google Ads Data Processing Terms“ (u.a. Google Analytics) in Annex II und Ziff. 8 und 9 angeführten „zusätzliche Maßnahmen“ – etwa zur Kürzung der IP-Adresse nach Übermittlung durch Google – als unzureichend, sodass die Anforderungen an die „Schrems II“-Rechtsprechung nicht erfüllt werden.

Die Österreichische Behörde hatte in ihrem Teilbescheid vom 22.12.2021 darauf verwiesen, dass eindeutige Online-Kennungen wie IP-Adressen und einzigartige Kennungen wie Cookie-IDs (bei Google Client ID und User ID) als Ausgangspunkt für die Überwachung durch Nachrichtendienste verwendet werden. Es könne nicht ausgeschlossen werden, dass Nachrichtendienste bereits zuvor Informationen gesammelt haben, mit deren Hilfe Daten aus Serveranfragen auf einzelne Nutzer rückführbar sind.

Dass die NSA als US-Sicherheitsbehörde auf Cookies, insbesondere von Google Analytics, zur Überwachung des Internetverkehrs zugreift, wurde bereits 2013 in Medienberichten nach den Snowden-Enthüllungen hinreichend dargelegt.

Dieser Ansicht haben sich inzwischen die Aufsichtsbehörde in Baden-Württemberg, die CNIL, (Frankreich), die Autoriteit Persoonsgegevens (Niederlande) sowie die Datatilsynet aus Norwegen und Dänemark angeschlossen.

Zuvor hat bereits der EDPS festgestellt, dass der Einsatz von Google Analytics auf Websites des Europäischen Parlaments aufgrund der unzureichenden Umsetzung von „zusätzlichen Maßnahmen“ von Google gegen die Anforderungen an Drittlandübermittlungen nach Art. 44 ff. DSGVO verstößt.

Die CNIL hatte explizit klargestellt, dass UUIDs (Universally Unique Identifier) wie Cookie-IDs keine pseudonymen Daten darstellen, sondern den Zweck haben, einen Nutzer zu identifizieren. Ähnlich hatte die DSK bereits die Annahme einer Pseudonymisierung (Art. 4 Nr. 5 DSGVO) bei Nutzung von Werbe-IDs, Cookie-IDs oder Unique-User-IDs abgelehnt [DSK, Orientierungshilfe Telemedien, 2019, S. 15].

Als Zusatzmaßnahmen können z. B. die Anonymisierung oder valide Pseudonymisierung von Daten fallen, wenn sichergestellt ist, dass die Empfänger im Drittland keinen Zugriff auf die Zuordnungsregel für die pseudonymisierten Daten i. S. d. Art. 4 Nr. 5 DSGVO oder die zu verarbeitenden Daten erhalten [Paal/Kumkar, MMR 2020, 733].

Den EDPB Empfehlungen folgend müssen für eine wirksame Pseudonymisierung als „zusätzliche Maßnahme“ i. S. d. EuGH-Entscheidung „Schrems II“ bei Nutzung von Cloud-Diensten – wie etwa der Server Side Google Tag Manager, entsprechende Verfahren zur Pseudonymisierung vor Übermittlung an den Drittanbieter angewendet werden [EDPB Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data, Version 2.0, Rn. 94 f.]. Eine wie von Google im Verfahren angegebene Transportverschlüsselung oder „Data-at-rest“-Verschlüsselung stellen für sich noch keine „zusätzlichen Maßnahmen“ dar, die ein im Wesentlichen gleichwertiges Schutzniveau gewährleisten.

Selbst wenn man wie die Österreichische Behörde in ihrem Teilbescheid vom 22.04.2022 einen risikobasierten Ansatz im Kapitel 5 der DSGVO vollständig ablehnt, ist bei Erfüllung dieser vom EDPB vorgegeben Maßnahmen ein rechtskonformer Einsatz von Tracking-Diensten möglich.

Fazit

Im Fall von Tracking-Diensten wie Google Analytics, gleich ob als Client-Side- oder Server Side Tracking-Lösung, ist es notwendig, bereits im Vorfeld der Übermittlung die Datenparameter für das Tracking – IP-Adresse, User Agent, Client-ID, User ID und ggf. Order IDs – einer validen Pseudonymisierung zu unterziehen, damit die Anforderungen aus dem EuGH-Urteil „Schrems II“ vollständig umgesetzt werden können.

Die JENTIS-Lösung ermöglicht mittels Modifizierung/Synthetisierung der verarbeiteten Datenparameter die Umsetzung einer wirksamen Pseudonymisierung, um die Anforderungen an „zusätzliche Maßnahmen“ belastbar dokumentieren zu können.

4. Rechtsunsicherheit TADPF: Wird es einen neuen Angemessenheitsbeschluss für die USA geben?

Schließlich ist die am 25.03.2022 verkündete Einigung zwischen US-Präsident Biden und Präsidentin der EU-Kommission Ursula von der Leyen auf ein neues „Trans Atlantic Data Privacy Framework“ („TADPF“) als Nachfolgeabkommen für das vom EuGH für unwirksam erklärte EU-US Privacy Shield derzeit erheblichen Rechtsunsicherheiten ausgesetzt.

Bislang ist noch kein ausverhandelter Text des Abkommens als Grundlage für eine etwaige Executive Order in den USA und einen etwaigen Angemessenheitsbeschluss der EU-Kommission nach Art. 45 DSGVO existent. In einer Antwort der EU-Kommission auf eine Anfrage des EU-Parlaments vom 11.05.2022 wurde mitgeteilt, dass die Einzelheiten noch ausgearbeitet und diese noch in Rechtstexte umgesetzt werden müssten.

Erst auf dieser Grundlage könne die EU-Kommission einen Entwurf für einen neuen Angemessenheitsbeschluss für die USA vorschlagen und das entsprechende Annahmeverfahren einleiten. Das Annahmeverfahren beinhaltet die Einholung einer Stellungnahme des EDPB und ein positives Votum der Mitgliedstaaten im sog. Komitologieverfahren. Das Europäische Parlament hat dabei ein Kontrollrecht über Angemessenheits-Entscheidungen der EU-Kommission als Durchführungsrechtsakt i. S. d. Art. 291 AUEV. Erst dann, wenn diese Verfahren im Rahmen von Durchführungsrechtsakten abgeschlossen sind, kann die Kommission einen neuen Angemessenheitsbeschluss nach Art. 45 DSGVO erlassen.

Dabei ist zur berücksichtigen, dass ein etwaiger Angemessenheitsbeschluss der EU-Kommission keinen Freibrief für die Datenübermittlung in die USA erteilt. Wie beim Vorgängerabkommen dem EU-US Privacy Shield wird eine Selbstzertifizierung von US-Unternehmen bei der US-Regierung erforderlich sein, d. h. ist eine Prüfung erforderlich, ob eine aktive Zertifizierung für den jeweiligen Datenempfänger auch tatsächlich vorliegt.

Ungeachtet dessen ist mit folgenden zwei bislang nicht von den Verhandlungspartnern thematisierten Risiken umzugehen:

Zum einen stellt sich Frage wie mit Unterauftragsverarbeitern, im Fall von Google Analytics über 50 Unterauftragnehmer, als Empfänger der Daten in Drittländern ohne angemessenes Schutzniveau wie Taiwan, Philippinen, Brasilien, Mexiko, Malaysia und Indien umzugehen ist. Für diese Drittländer existiert kein Angemessenheitsbeschluss der EU-Kommission.

Zum anderen ist noch ungewiss, ob die Entscheidung des Supreme Court vom 04.03.2022 in Sachen „FBI ./. Fazaga“ Auswirkungen auf die aktuellen Verhandlungen zwischen der EU und der USA haben werden. Denn der im TADPF angedachte „Independent Data Protection Review Court“ könnte durch die höchstrichterliche Entscheidung vom Supreme Court aufgrund der Aufrechterhaltung des „state secret privilege“, wonach wichtige Informationen zu den Überwachungsmaßnahmen betroffenen Personen nicht offen gelegt werden müssen, in Frage gestellt werden [vgl. Lejeune, Trans-Atlantic Data Privacy Framework trotz U.S. Supreme Court Entscheidung in FBI v. Fazaga?, 31.03.2022].

5. Fazit: Bedürfnis nach langfristigen Strategien für das Risikomanagement

Angesichts unzureichender Branchenlösungen für das Server Side Tracking und fehlender Praktikabilität, die von Aufsichtsbehörden mitgeteilten Anforderungen an eine ausdrückliche Einwilligung für den Drittlandtransfer zu erfüllen, wächst das Bedürfnis nach langfristigen und nachhaltigen Strategien zur rechtskonformen und erfolgreichen Datennutzung von Drittanbietern mit globalen Infrastrukturen.

Eine Lösung für die Verflechtungen und Risiken im Bereich des Website-Tracking stellen Middleware-Konzepte wie die JENTIS SaaS-Lösung dar. JENTIS ermöglicht eine flexible Konfiguration der SaaS-Lösung, um der Volatilität der jeweiligen individuellen Risikolage von Unternehmen Rechnung zu tragen. Auf diesem Wege versetzt die JENTIS SaaS-Lösung Unternehmen beim Einsatz von Tracking-Technologien von Drittanbietern in die Lage, die „Schrems II“-Compliance in der Supply Chain sicherzustellen.