Takeaways (AI):
- Italien schränkt die Verwendung von Google Analytics ähnlich wie Österreich und Frankreich ein.
- Die Erhebung von Personendaten erfolgt durch Cookies, die die IP-Adresse und Nutzerverhalten aufzeichnen.
- Eine IP-Adresse wird als personenbezogenes Datum betrachtet und kann Nutzende identifizierbar machen.
- Die Kürzung der IP-Adresse war nicht aktiviert; eine Pseudonymisierung bleibt unzureichend.
- Zusätzliche Massnahmen sind notwendig, um den DSGVO-Standards zu entsprechen, da Google unzureichenden Schutz bietet.
Nach Österreich (Datenschutzbehörde) und Frankreich (CNIL) schränkt auch Italien (der Garante) die Verwendung von Google Analytics ein:
Der Garante schliesst sich in der Sache den Entscheidungen Österreichs und Frankreichs an. Zunächst liege eine Bekanntgabe von Personendaten vor:
- Beim Einsatz von Google Analytics werden durch Cookies Informationen über das Verhalten auf einer Website erhoben, u.a. die IP-Adresse. Vorliegend hatte das betroffene Unternehmen die Nutzungsvereinbarung noch mit Google LLC in den USA geschlossen.
- Eine IP-Adresse sei ein personenbezogenes Datum, weil sie ein elektronisches Kommunikationsgerät identifiziert und die betroffene Person dadurch als Nutzer identifizierbar mache. Dies gilt “insbesondere”, wenn die IP-Adresse wie im vorliegenden Fall mit weiteren Informationen über den verwendeten Browser sowie Datum und Uhrzeit des Besuchs verknüpft ist.
- Zudem können die erhobenen Daten mit weiteren Informationen des betreffenden Nutzerkontos bei Google verknüpft werden.
- Vorliegend war die Option zur Kürzung der IP-Adresse vor der Weiterübermittlung in die USA nicht aktiviert worden. Eine solche “IP-Anonymisierung” sei indessen nur eine Pseudonymisierung, weil Google den Nutzer durch weitere Angaben identifizieren könne.
Diese Bekanntgabe sei nicht zulässig:
- Das betroffene Unternehmen hatte zu seiner Verteidigung u.a. auf die Wahrscheinlichkeit des Risikos eines Datenzugriffs durch Behörden und die Schwere des Risikos verwiesen. Der Garante erinnert hier daran, dass der EuGH im Schrems II-Urteil Gerichtshof in dem oben genannten Urteil nicht auf subjektive Faktoren wie beispielsweise die Wahrscheinlichkeit des Zugangs zu den Daten Bezug genommen habe.
- Der Garante meint hierzu weiter, dass die Rechtsvorschriften und Gepflogenheiten des Drittlandes den Importeur im vorliegenden Fall daran hindern, seinen Verpflichtungen aus den SCC nachzukommen, ohne dass er diesen Punkt weiter prüft. Folglich seien zusätzliche Massnahmen erforderlich, die ein der DSGVO gleichwertiges Schutzniveau sicherstellen.
- Die von Google getroffenen Verschlüsselungsmassnahmen seien nicht ausreichend, weil der Schlüssel in der Hand von Google verbleibe, so dass Behörden darauf und entsprechend auf die verschlüsselten Daten greifen können.
Der Entscheid des Garante ist nicht mehr überraschend und ruft kaum nach Anmerkungen. Auch der Garante prüft nur noch, ob in den USA defizitäre Rechtsgrundlagen bestehen (wovon seit Schrems II ohne eigene Prüfung i.d.R. ausgegangen wird), aber nicht, mit welcher Wahrscheinlichkeit sie sich eine Behörde zunutze macht.