Italienische Datenschutzbehörde stoppt Google Analytics

„Eine Website, die den Dienst Google Analytics (GA) ohne die in der EU-Verordnung vorgesehenen Garantien nutzt, verstößt gegen das Datenschutzrecht, weil sie Nutzerdaten in die Vereinigten Staaten übermittelt, ein Land, das kein angemessenes Schutzniveau bietet.“ Dies erklärte der Datenschutzbeauftragte zum Abschluss einer komplexen Untersuchung, die auf Grundlage einer Reihe von Beschwerden und in Abstimmung mit anderen europäischen Datenschutzbehörden eingeleitet wurde.

Die Untersuchung ergab, dass die Betreiber von Websites, die Google Analytics verwenden, durch Cookies Informationen über die Interaktionen der Nutzer mit den genannten Websites, die einzelnen besuchten Seiten und die angebotenen Dienste sammeln. Dazu gehören unter anderem die IP-Adresse des Nutzers und Informationen über den Browser, das Betriebssystem, die Bildschirmauflösung, die gewählte Sprache sowie das Datum und die Uhrzeit des Website-Besuchs. Es wurde deutlich gemacht, dass diese Informationen an die Vereinigten Staaten übermittelt wurden. Bei der Feststellung der Rechtswidrigkeit der Verarbeitung wurde erneut darauf hingewiesen, dass es sich bei der IP-Adresse um personenbezogene Daten handelt, die selbst bei einer Kürzung nicht anonymisiert würden, da Google in der Lage ist, sie mit anderen Daten in seinem Besitz anzureichern.

Als Ergebnis dieser Untersuchungen erließ die Datenschutzbehörde die erste einer Reihe von Maßnahmen, mit denen sie die Caffeina Media S.r.l., die eine Website betreibt, ermahnte und ihr auftrug, die europäische Verordnung innerhalb von neunzig Tagen einzuhalten. Der angegebene Zeitrahmen wurde als angemessen erachtet, um dem Betreiber die Möglichkeit zu geben, geeignete Maßnahmen für die Übermittlung zu ergreifen, unter Androhung der Aussetzung des Datenflusses, der über GA in die Vereinigten Staaten erfolgt.

Die Behörde wies insbesondere auf die Möglichkeit hin, dass US-Regierungsbehörden und Geheimdienste ohne angemessene Garantien auf die übermittelten personenbezogenen Daten zugreifen können, und stellte in diesem Zusammenhang fest, dass die Maßnahmen zur Integration der von Google angenommenen Übermittlungsinstrumente angesichts der Hinweise des EDPB (Empfehlung Nr. 1/2020 vom 18. Juni 2021) derzeit kein angemessenes Schutzniveau für die personenbezogenen Daten der Nutzer gewährleisten.

Bei dieser Gelegenheit macht die Behörde alle italienischen Website-Betreiber, sowohl öffentliche als auch private, auf die Rechtswidrigkeit der Überweisungen in die Vereinigten Staaten über GA aufmerksam, auch in Anbetracht der zahlreichen Berichte und Anfragen, die das Amt erreichen. Und sie fordert alle für die Datenverarbeitung Verantwortlichen auf, zu überprüfen, ob die Methoden zur Verwendung von Cookies und anderen Tracking-Tools, die auf ihren Websites eingesetzt werden, insbesondere Google Analytics und andere ähnliche Dienste, mit den Datenschutzvorschriften vereinbar sind.

Nach Ablauf der 90-Tage-Frist, die dem Unternehmen, das die Maßnahme erhält, zugestanden wird, wird die Behörde auch auf der Grundlage spezifischer Inspektionstätigkeiten überprüfen, ob die von den für die Datenverarbeitung Verantwortlichen durchgeführten Datenübermittlungen mit der EU-Verordnung übereinstimmen.

Update: Im Juli 2023 genehmigte die EU-Kommission das neue EU-US-Datenschutzabkommen (DPF), das viele der Einschränkungen von Schrems II aufhebt und es für Organisationen wesentlich einfacher macht, personenbezogene Daten aus der EU in die USA zu übermitteln. Aller Voraussicht nach werden NGOs das neue Abkommen jedoch gerichtlich anfechten (mögliches „Schrems III“). Daher wird eine gewisse Rechtsunsicherheit bestehen bleiben, bis der Europäische Gerichtshofs (EuGH) in dieser Angelegenheit entscheidet. JENTIS Data Capture Platform ermöglicht zukunftssicheres, DSGVO-konformes Tracking, ungeachtet des Data Privacy Frameworks und möglicher Anfechtungen.