Italienische Datenschutzbehörde: Datenübermittlung an Google Analytics illegal

05 Jul 2022

Italienische Datenschutzbehörde: Datenübermittlung an Google Analytics illegal

Die italienische Datenschutzbehörde (GPDP) hat sich dem EDSB sowie der französischen und österreichischen Datenschutzbehörden angeschlossen und entschieden, dass die Verwendung von Google Analytics (GA) gegen die DSGVO verstößt. Auf Basis unserer 101 Beschwerden stellte die GPDP fest, dass Websites, die Google Analytics verwenden, Daten sammeln und in die USA übermitteln. Dieser Datentransfer steht laut EU Behörden im direkten Widerspruch mit dem Schrems II Urteil des Europäischen Gerichtshofes.

IP-Adressen sind personenbezogene Daten. Die italienische Datenschutzbehörde stufte die Verwendung von Google Analytics als rechtswidrig ein, da die Betreiber von Websites, die GA verwenden, Nutzerdaten sammeln und diese in die USA übermitteln. Dabei betonte die italienische Datenschutzbehörde, dass IP-Adressen personenbezogene Daten sind und nicht als anonymisiert gelt, wenn sie gekürzt werden.

EDSB verhängt Sanktionen gegen das Europäische Parlament. Anfang dieses Jahres veröffentlichte der Europäische Datenschutzbeauftragte (EDSB) eine Entscheidung in einer Beschwerde von noyb, in der bestätigte wurde, dass das Europäische Parlament bei seiner COVID-Test-Website gegen die DSGVO verstoßen zu haben. Der EDSB betonte, dass die Verwendung von Google Analytics gegen das"Schrems II"-Urteil des EuGH über die Datenübermittlung zwischen der EU und den USA verstößt. Das Urteil war eine der ersten Entscheidungen zur Umsetzung von Schrems II und ebnete den Weg für ähnliche Urteile.

Österreichische DPA-Entscheidung folgt. Nach der ersten Entscheidung der DSB, in der die Verwendung von GA zum ersten Mal als rechtswidrig eingestuft wurde, erließ die DSB eine weitere Entscheidung, in der es die Googles IP-Anonymisierung als nutzlose Schutzmaßnahme für Datenübermittlungen zwischen der EU und den Vereinigten Staaten erklärte. Das DSB lehnte auch das Konzept eines "risikobasierten Ansatzes" ab, für den Google plädiert hatte und der die Übermittlung von vermeintlich "risikoarmen Fällen" erlauben würde, z. B. wenn Online-IDs oder IP-Adressen übermittelt werden würden. 

Französische CNIL ordnet Einhaltung an. Nur wenige Wochen nach der österreichischen Entscheidung ordnete die französische CNIL an, dass drei Webseiten, gegen die Beschwerden von noyb eingebracht wurden, die Datenschutzgrundverordnung einhalten und auf die Verwendung von Google Analytics verzichten müssen. Die CNIL zieht damit Konsequenzen aus dem Schrems II Urteil des EuGH und wies auf das Risiko hin, dass amerikanische Geheimdienste auf personenbezogene Daten zugreifen können, wenn die Übermittlung nicht ordnungsgemäß geregelt ist.

Nationale Ansätze trotz europäischer Task Force Die Datenschutzbehörden wollten bei den 101 Beschwerden von noyb koordiniert vorgehen, aber die eingesetzte Taskforce liefert überraschende Ergebnisse:  während die italienische, österreichische und die französische Datenschutzbehörde die Übermittlung personenbezogener Daten gründlich untersuchten, wies die spanische Datenschutzbehörde die Beschwerde ab, weil der Websitebetreiber Google Analytics nach der Beschwerde von der Website entfernt hatte. In ähnlicher Weise wies die luxemburgische Datenschutzbehörde drei Beschwerden über Datenübertragungen an Facebook-Server in den USA ab, weil die Websites die Tools entfernt hatten. Bislang hat noch keine Datenschutzbehörde die wesentlichen Argumente von noyb zurückgewiesen oder Übermittlungen für rechtmäßig erklärt.