Aus für Google Analytics in Italien – die italienische Datenschutzbehörde setzt Schrems II um

© adobestock_Gajus

Der 23. Juni 2022 dürfte als schwarzer Tag in die Geschichte von Google eingehen. Denn an diesem Tag hat die italienische Datenschutzbehörde Garante della Privacy ihre Verfügung vom 9. Juni 2022 veröffentlicht, mit der sie Google Analytics in der aktuellen Form als unvereinbar mit der Datenschutzgrundverordnung erklärt hat.  Diese Entscheidung dürfte erhebliche Auswirkungen für alle die Unternehmen – nicht nur in Italien – haben, die Google Analytics zur Prüfung der Websitenutzung einsetzen.

Ein Nutzer der Website der Caffeina Media S.r.l. hatte wegen der Übermittlung seiner Daten in die USA Beschwerde bei der italienischen Datenschutzbehörde eingelegt. Bei den Untersuchungen stellte sich heraus, dass das Unternehmen Google Analytics in der „Gratisversion“ einsetzte und über Cookies Informationen über die Nutzung der Internetauftritts, einzelner Seiten und die angebotenen Dienstleistungen sammelte. Bei den Daten handelte es sich u.a. um IP-Adresse des Nutzers, Informationen zum Browser, operativen System, Sprache, Datum und Uhrzeit. Bei dem Einsatz von Google Analytics ist es möglich, dass Daten in die USA übertragen werden. Im konkreten Fall war der Vertrag auf Grundlage der Standard Contract Clauses (SCC), die der Vorlage der EU Kommission (Beschluss Nr. 2010/87/EU) entsprachen, mit Google Ireland LLC zustande gekommen; Caffeina Media S.r.l. berief sich auch auf die Ausführungen im White Paper vom September 2020 „Information on U.S. Privacy Safeguards Relevant to SCCs and Other EU Legal Bases for EU-U.S. data Transfers after Schrems II”, in dem weitere gesetzliche Maßnahmen in den USA dargestellt werden.

Auch anonymisierte IP-Adressen sind personenbezogene Daten

Der Garante della Privacy hebt in der ausführlichen Begründung u.a. hervor, dass es sich bei der IP-Adresse um personenbezogenen Daten handele. Die IP-Adressen können von Google Analytics zwar anonymisiert werden (wenn diese Option ausgewählt wird). Nach Ansicht des Garante reicht diese Anonymisierung aber nicht aus, denn die IP Adresse könnte mit den heutigen Möglichkeiten der IT unproblematisch wieder hergestellt werden. Der Einsatz der SCC als solcher ist auch nicht geeignet, eine ausreichende Garantie für den Schutz der Daten im Ausland zu bieten. Vielmehr komme es auf die konkrete Rechtslage vor Ort an, die im Einzelfall geprüft werden müsse. Das US-amerikanische Rechtssystem biete jedoch (immer noch) keine ausreichenden Garantien für den Schutz personenbezogener Daten.

Bußgelder sind künftig zu erwarten

Damit ist die Verwendung von Google Analytics nicht DS-GVO konform möglich. Auch wenn kein Bußgeld verhängt wurde, sondern Caffeina Media S.r.l. eine Frist von 90 Tagen erhalten hat, um ihre Website datenschutzkonform zu gestalten, weist der Garante della Privacy ausdrücklich auf die zahlreichen Beschwerden hin, die er im Zusammenhang mit Google Analytics und ähnlichen Programmen erhält und unterstreicht die Rechtswidrigkeit des Datentransfers in die USA. Es ist also bei zukünftigen Verfahren mit einem weniger milden Ergebnis zu rechnen.

Die österreichische Datenschutzbehörde hatte im Januar 2022 in einem ähnlich gelagerten Fall bereits die Nutzung von Google Analytics und die damit verbundene Datenübermittlung in die USA für rechtswidrig erklärt. Es ist wohl nur eine Frage der Zeit, bis auch eine deutsche Datenschutzbehörde eine ähnlich lautende Entscheidung erlassen wird.

Beschluss des Garante: https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9782890

Zusammenfassung auch in Englisch: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9782874

Dr. Stefanie Lebek  
Rechtsanwältin 
Fachanwalt für Arbeitsrecht 
lebek@derra.it