Ita­li­en: Ein­satz von Goog­le Ana­ly­tics eben­falls untersagt

Nach Öster­reich (Daten­schutz­be­hör­de) und Frank­reich (CNIL) schränkt auch Ita­li­en (der Garan­te) die Ver­wen­dung von Goog­le Ana­ly­tics ein:

• Medi­en­mit­tei­lung (EN)
• Ent­scheid (PDF, IT)
• Ent­scheid über­setzt (PDF, DE)

Der Garan­te schliesst sich in der Sache den Ent­schei­dun­gen Öster­reichs und Frank­reichs an. Zunächst lie­ge eine Bekannt­ga­be von Per­so­nen­da­ten vor:

• Beim Ein­satz von Goog­le Ana­ly­tics wer­den durch Coo­kies Infor­ma­tio­nen über das Ver­hal­ten auf einer Web­site erho­ben, u.a. die IP-Adres­se. Vor­lie­gend hat­te das betrof­fe­ne Unter­neh­men die Nut­zungs­ver­ein­ba­rung noch mit Goog­le LLC in den USA geschlossen.
• Eine IP-Adres­se sei ein per­so­nen­be­zo­ge­nes Datum, weil sie ein elek­tro­ni­sches Kom­mu­ni­ka­ti­ons­ge­rät iden­ti­fi­ziert und die betrof­fe­ne Per­son dadurch als Nut­zer iden­ti­fi­zier­bar mache. Dies gilt “ins­be­son­de­re”, wenn die IP-Adres­se wie im vor­lie­gen­den Fall mit wei­te­ren Infor­ma­tio­nen über den ver­wen­de­ten Brow­ser sowie Datum und Uhr­zeit des Besuchs ver­knüpft ist.
• Zudem kön­nen die erho­be­nen Daten mit wei­te­ren Infor­ma­tio­nen des betref­fen­den Nut­zer­kon­tos bei Goog­le ver­knüpft werden.
• Vor­lie­gend war die Opti­on zur Kür­zung der IP-Adres­se vor der Wei­ter­über­mitt­lung in die USA nicht akti­viert wor­den. Eine sol­che “IP-Anony­mi­sie­rung” sei indes­sen nur eine Pseud­ony­mi­sie­rung, weil Goog­le den Nut­zer durch wei­te­re Anga­ben iden­ti­fi­zie­ren könne.

Die­se Bekannt­ga­be sei nicht zuläs­sig:

• Das betrof­fe­ne Unter­neh­men hat­te zu sei­ner Ver­tei­di­gung u.a. auf die Wahr­schein­lich­keit des Risi­kos eines Daten­zu­griffs durch Behör­den und die Schwe­re des Risi­kos ver­wie­sen. Der Garan­te erin­nert hier dar­an, dass der EuGH im Schrems II-Urteil Gerichts­hof in dem oben genann­ten Urteil nicht auf sub­jek­ti­ve Fak­to­ren wie bei­spiels­wei­se die Wahr­schein­lich­keit des Zugangs zu den Daten Bezug genom­men habe.
• Der Garan­te meint hier­zu wei­ter, dass die Rechts­vor­schrif­ten und Gepflo­gen­hei­ten des Dritt­lan­des den Impor­teur im vor­lie­gen­den Fall dar­an hin­dern, sei­nen Ver­pflich­tun­gen aus den SCC nach­zu­kom­men, ohne dass er die­sen Punkt wei­ter prüft. Folg­lich sei­en zusätz­li­che Mass­nah­men erfor­der­lich, die ein der DSGVO gleich­wer­ti­ges Schutz­ni­veau sicherstellen.
• Die von Goog­le getrof­fe­nen Ver­schlüs­se­lungs­mass­nah­men sei­en nicht aus­rei­chend, weil der Schlüs­sel in der Hand von Goog­le ver­blei­be, so dass Behör­den dar­auf und ent­spre­chend auf die ver­schlüs­sel­ten Daten grei­fen können.

Der Ent­scheid des Garan­te ist nicht mehr über­ra­schend und ruft kaum nach Anmer­kun­gen. Auch der Garan­te prüft nur noch, ob in den USA defi­zi­tä­re Rechts­grund­la­gen bestehen (wovon seit Schrems II ohne eige­ne Prü­fung i.d.R. aus­ge­gan­gen wird), aber nicht, mit wel­cher Wahr­schein­lich­keit sie sich eine Behör­de zunut­ze macht.