© adobestock_Gajus
Der 23. Juni 2022 dürfte als schwarzer Tag in die Geschichte von Google eingehen. Denn an diesem Tag hat die italienische Datenschutzbehörde Garante della Privacy ihre Verfügung vom 9. Juni 2022 veröffentlicht, mit der sie Google Analytics in der aktuellen Form als unvereinbar mit der Datenschutzgrundverordnung erklärt hat. Diese Entscheidung dürfte erhebliche Auswirkungen für alle die Unternehmen – nicht nur in Italien – haben, die Google Analytics zur Prüfung der Websitenutzung einsetzen.
Ein Nutzer der Website der Caffeina Media S.r.l. hatte wegen der Übermittlung seiner Daten in die USA Beschwerde bei der italienischen Datenschutzbehörde eingelegt. Bei den Untersuchungen stellte sich heraus, dass das Unternehmen Google Analytics in der „Gratisversion“ einsetzte und über Cookies Informationen über die Nutzung der Internetauftritts, einzelner Seiten und die angebotenen Dienstleistungen sammelte. Bei den Daten handelte es sich u.a. um IP-Adresse des Nutzers, Informationen zum Browser, operativen System, Sprache, Datum und Uhrzeit. Bei dem Einsatz von Google Analytics ist es möglich, dass Daten in die USA übertragen werden. Im konkreten Fall war der Vertrag auf Grundlage der Standard Contract Clauses (SCC), die der Vorlage der EU Kommission (Beschluss Nr. 2010/87/EU) entsprachen, mit Google Ireland LLC zustande gekommen; Caffeina Media S.r.l. berief sich auch auf die Ausführungen im White Paper vom September 2020 „Information on U.S. Privacy Safeguards Relevant to SCCs and Other EU Legal Bases for EU-U.S. data Transfers after Schrems II”, in dem weitere gesetzliche Maßnahmen in den USA dargestellt werden.
Auch anonymisierte IP-Adressen sind personenbezogene Daten
Der Garante della Privacy hebt in der ausführlichen Begründung u.a. hervor, dass es sich bei der IP-Adresse um personenbezogenen Daten handele. Die IP-Adressen können von Google Analytics zwar anonymisiert werden (wenn diese Option ausgewählt wird). Nach Ansicht des Garante reicht diese Anonymisierung aber nicht aus, denn die IP Adresse könnte mit den heutigen Möglichkeiten der IT unproblematisch wieder hergestellt werden. Der Einsatz der SCC als solcher ist auch nicht geeignet, eine ausreichende Garantie für den Schutz der Daten im Ausland zu bieten. Vielmehr komme es auf die konkrete Rechtslage vor Ort an, die im Einzelfall geprüft werden müsse. Das US-amerikanische Rechtssystem biete jedoch (immer noch) keine ausreichenden Garantien für den Schutz personenbezogener Daten.
Bußgelder sind künftig zu erwarten
Damit ist die Verwendung von Google Analytics nicht DS-GVO konform möglich. Auch wenn kein Bußgeld verhängt wurde, sondern Caffeina Media S.r.l. eine Frist von 90 Tagen erhalten hat, um ihre Website datenschutzkonform zu gestalten, weist der Garante della Privacy ausdrücklich auf die zahlreichen Beschwerden hin, die er im Zusammenhang mit Google Analytics und ähnlichen Programmen erhält und unterstreicht die Rechtswidrigkeit des Datentransfers in die USA. Es ist also bei zukünftigen Verfahren mit einem weniger milden Ergebnis zu rechnen.
Die österreichische Datenschutzbehörde hatte im Januar 2022 in einem ähnlich gelagerten Fall bereits die Nutzung von Google Analytics und die damit verbundene Datenübermittlung in die USA für rechtswidrig erklärt. Es ist wohl nur eine Frage der Zeit, bis auch eine deutsche Datenschutzbehörde eine ähnlich lautende Entscheidung erlassen wird.
Beschluss des Garante: https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9782890
Zusammenfassung auch in Englisch: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9782874
Dr. Stefanie Lebek
Rechtsanwältin
Fachanwalt für Arbeitsrecht
lebek@derra.it