23. Juni 2022

Italienische Datenschutzbehörde stoppt Google Analytics

Die italienische Datenschutzbehörde warnt vor Rechtswidrigkeit der Übersendung von Daten über Google Analytics in die USA ohne weitere Schutzmaßnahmen.

“Eine Website, die den Dienst Google Analytics (GA) ohne die in der EU-Verordnung vorgesehenen Garantien nutzt, verstößt gegen das Datenschutzrecht, weil sie Nutzerdaten in die Vereinigten Staaten übermittelt, ein Land, das kein angemessenes Schutzniveau bietet.” Dies erklärte der Datenschutzbeauftragte zum Abschluss einer komplexen Untersuchung, die auf Grundlage einer Reihe von Beschwerden und in Abstimmung mit anderen europäischen Datenschutzbehörden eingeleitet wurde.

Die Untersuchung ergab, dass die Betreiber von Websites, die Google Analytics verwenden, durch Cookies Informationen über die Interaktionen der Nutzer mit den genannten Websites, die einzelnen besuchten Seiten und die angebotenen Dienste sammeln. Dazu gehören unter anderem die IP-Adresse des Nutzers und Informationen über den Browser, das Betriebssystem, die Bildschirmauflösung, die gewählte Sprache sowie das Datum und die Uhrzeit des Website-Besuchs. Es wurde deutlich gemacht, dass diese Informationen an die Vereinigten Staaten übermittelt wurden. Bei der Feststellung der Rechtswidrigkeit der Verarbeitung wurde erneut darauf hingewiesen, dass es sich bei der IP-Adresse um personenbezogene Daten handelt, die selbst bei einer Kürzung nicht anonymisiert würden, da Google in der Lage ist, sie mit anderen Daten in seinem Besitz anzureichern.

Als Ergebnis dieser Untersuchungen erließ die Datenschutzbehörde die erste einer Reihe von Maßnahmen, mit denen sie die Caffeina Media S.r.l., die eine Website betreibt, ermahnte und ihr auftrug, die europäische Verordnung innerhalb von neunzig Tagen einzuhalten. Der angegebene Zeitrahmen wurde als angemessen erachtet, um dem Betreiber die Möglichkeit zu geben, geeignete Maßnahmen für die Übermittlung zu ergreifen, unter Androhung der Aussetzung des Datenflusses, der über GA in die Vereinigten Staaten erfolgt.

Die Behörde wies insbesondere auf die Möglichkeit hin, dass US-Regierungsbehörden und Geheimdienste ohne angemessene Garantien auf die übermittelten personenbezogenen Daten zugreifen können, und stellte in diesem Zusammenhang fest, dass die Maßnahmen zur Integration der von Google angenommenen Übermittlungsinstrumente angesichts der Hinweise des EDPB (Empfehlung Nr. 1/2020 vom 18. Juni 2021) derzeit kein angemessenes Schutzniveau für die personenbezogenen Daten der Nutzer gewährleisten.

Bei dieser Gelegenheit macht die Behörde alle italienischen Website-Betreiber, sowohl öffentliche als auch private, auf die Rechtswidrigkeit der Überweisungen in die Vereinigten Staaten über GA aufmerksam, auch in Anbetracht der zahlreichen Berichte und Anfragen, die das Amt erreichen. Und sie fordert alle für die Datenverarbeitung Verantwortlichen auf, zu überprüfen, ob die Methoden zur Verwendung von Cookies und anderen Tracking-Tools, die auf ihren Websites eingesetzt werden, insbesondere Google Analytics und andere ähnliche Dienste, mit den Datenschutzvorschriften vereinbar sind.

Nach Ablauf der 90-Tage-Frist, die dem Unternehmen, das die Maßnahme erhält, zugestanden wird, wird die Behörde auch auf der Grundlage spezifischer Inspektionstätigkeiten überprüfen, ob die von den für die Datenverarbeitung Verantwortlichen durchgeführten Datenübermittlungen mit der EU-Verordnung übereinstimmen.

Weitere Beiträge

News

JENTIS gewinnt die EIT Challenge 2022

20 Europäische Start-ups nahmen an der diesjährigen Pitch-Competition des Europäischen Instituts für Innovation und Technologie teil.

News

Biden unterschreibt Verordnung für Datenschutzabkommen. Wird sie halten?

US-Präsident Biden hat eine Executive Order für ein neues Datenabkommen zwischen der EU und den USA unterschrieben. Die rechtliche Unsicherheit für Unternehmen könnte bleiben.

News

Dänemark: Google Analytics rechtswidrig

Dänemark schließt sich anderen Datenschutzbehörden in Europa an: Google Analytics kann ohne weiteres nicht mehr rechtskonform verwendet werden.