Italienische Datenschutzbehörde geht auch gegen Google Analytics vor
Der italienische Datenschutzbeauftragte hat sich seinen österreichischen und französischen Kollegen angeschlossen und den von Google angebotenen Dienst wegen unrechtmäßiger Datenübermittlung in die Vereinigten Staaten gesperrt.
Der italienische Datenschutzbeauftragte hat sich seinen österreichischen und französischen Kollegen angeschlossen und den von Google angebotenen Dienst wegen unrechtmäßiger Datenübermittlung in die Vereinigten Staaten gesperrt.
Die italienische Datenschutzbehörde Garante teilte am Donnerstag (23. Juni) in einer Stellungnahme mit, dass Websites, die den Webanalysedienst von Google ohne die erforderlichen Sicherheitsvorkehrungen nutzen, gegen die Datenschutz-Grundverordnung (DSGVO) – das EU-Datenschutzgesetz – verstoßen.
Der Beschluss ist der letzte in einer Reihe von Verfahren gegen Google Analytics, dem die Datenschutzbehörden vorwerfen, illegal Daten in die USA zu übermitteln. Dieses Land gilt seit dem bahnbrechenden Schrems-II-Urteil des EU-Gerichtshofs vom Juli 2020 als Land mit einem unzureichenden Datenschutzniveau.
Der Aktivist Max Schrems, der die Klage eingeleitet hatte, reichte zusammen mit seiner NGO NOYB Dutzende von Beschwerden in verschiedenen EU-Ländern gegen Google Analytics ein. Die erste Entscheidung kam von der österreichischen Behörde, gefolgt von der französischen.
In einer Erklärung teilte die Behörde mit, dass die Entscheidung das Ergebnis einer umfassenden Ermittlung auf der Grundlage einer Reihe von Beschwerden und in Abstimmung mit anderen europäischen Datenschutzbeauftragten war.
Die Untersuchung ergab, dass das Analyseprogramm verschiedene Arten von Nutzerdaten sammelte, darunter den Typ des Webbrowsers, das Betriebssystem, die Sprache, das Datum, die Uhrzeit, die Bildschirmauflösung und, was vielleicht am wichtigsten ist, die Internetprotokolladresse (IP), eine Nummer, die für jedes Gerät eindeutig ist.
IP-Adressen gelten als personenbezogene Daten, da sie zu einer bestimmten Person zurückverfolgt werden können. Für die italienische Datenschutzbehörde stellt die Tatsache, dass die IP-Adresse teilweise in die Vereinigten Staaten übertragen wurde, keine Anonymisierung dar, da Google sie mit anderen Daten, wie zum Beispiel mit der E-Mail-Adresse, kombinieren kann.
„Die italienische Datenschutzbehörde hat klargestellt, dass Google Analytics keine anonymen Daten verwendet. Was Google als „IP-Anonymisierung“ bezeichnet, ist in Wirklichkeit nur eine Pseudonymisierung, denn die Löschung eines Teils der IP-Adresse hindert Google nicht daran, den Nutzer wieder zu identifizieren, wenn man die Informationen berücksichtigt, die es über die Nutzer:innen insgesamt besitzt“, erklärt Gianclaudio Malgieri, außerordentlicher Professor für Recht & Technologie an der EDHEC Business School.
Die italienische Behörde ist nicht die einzige, die die Hoffnung zerstreut hat, dass das Tool zur Datenverkehrsanalyse von Webseiten auf rechtmäßige Weise genutzt werden kann, wenn bestimmte Sicherheitsvorkehrungen getroffen werden.
Die französische Behörde Commission Nationale de l’Informatique et des Libertés (CNIL) hat in einer kürzlich veröffentlichten F&A zu ihrer Google Analytics-Entscheidung erklärt, dass keine Schutzmaßnahmen als zufriedenstellend angesehen werden können, da alle von dem Google-Dienst gesammelten Daten auf US-amerikanischem Boden gespeichert werden.
„Nach dem Grundsatz der Rechenschaftspflicht könnten und sollten sowohl Google als auch der für die Verarbeitung Verantwortliche in der EU, der Google Analytics nutzt, zusätzliche Schutzmaßnahmen ergreifen, um die Datenübermittlung rechtmäßig zu gestalten. Bislang werden die von Google Analytics vorgeschlagenen Maßnahmen als unzureichend empfunden“, so Malgieri weiter.
„Google Analytics hilft den Verlagen zu verstehen, wie gut ihre Websites und Apps für ihre Besucher funktionieren – aber nicht, indem sie Einzelpersonen identifizieren oder sie im gesamten Web verfolgen. Diese Organisationen, nicht Google, haben die Kontrolle darüber, welche Daten mit diesen Tools gesammelt werden und wie sie verwendet werden. Google hilft mit einer Reihe von Schutzmaßnahmen, Kontrollen und Ressourcen bei der Einhaltung der Vorschriften“, so ein Google-Sprecher gegenüber EURACTIV.
Die Behörde gab dem betreffenden US-Datenverarbeiter 90 Tage Zeit, um seine Website mit den EU-Datenschutzvorschriften in Einklang zu bringen. Für Garante bedeutet das, dass sie die Nutzung von Google Analytics grundsätzlich einstellen muss, da keine Sicherheitsvorkehrungen getroffen werden können, die verhindern, dass die US-Geheimdienste auf personenbezogene Daten aus der EU zugreifen können.
Alle Website-Betreiber werden von der Aufsichtsbehörde in ähnlicher Weise gewarnt und darauf hingewiesen, dass sie die Verwendung von Google Analytics oder ähnlichen Tools, die personenbezogene Daten illegal in die USA übermitteln, neu bewerten müssen.
[Bearbeitet von Nathalie Weatherald]
