Italien ist nun das dritte Land, das sich offiziell gegen die Verwendung von Google Analytics ausspricht. Die Nachricht wurde heute bekannt, nachdem eine sorgfältige Prüfung ergeben hatte, dass Google Analytics gegen die Datenschutzgrundverordnung verstößt. Sie können die Erklärung hier finden.
Lesen Sie den vollständigen Artikel hier
<blockquote><h2>Italienische SA verbietet Verwendung von Google Analytics</h2><h3>Keine angemessenen Garantien für Datenübertragungen in die USA</h3>
Eine Website, die Google Analytics (GA) ohne die in der EU-DSGVO festgelegten Garantien verwendet, verstößt gegen das Datenschutzrecht, da sie die Daten der Nutzer in die USA übermittelt, ein Land ohne angemessenes Datenschutzniveau.
Zu diesem Schluss kam die italienische Aufsichtsbehörde nach einer komplexen Untersuchung, die sie in enger Abstimmung mit anderen EU-Datenschutzbehörden aufgrund der bei ihr eingegangenen Beschwerden eingeleitet hatte. Die italienische Aufsichtsbehörde stellte fest, dass die Betreiber von Websites, die GA verwenden, über Cookies Informationen über die Interaktionen der Nutzer mit den jeweiligen Websites, die besuchten Seiten und die angebotenen Dienste sammelten. Zu den vielfältigen Daten, die in diesem Zusammenhang gesammelt wurden, gehörten die IP-Adresse des Nutzergeräts sowie Informationen über Browser, Betriebssystem, Bildschirmauflösung, gewählte Sprache, Datum und Uhrzeit des Seitenaufrufs. Es wurde festgestellt, dass diese Informationen in die USA übermittelt wurden. Bei der Feststellung, dass die Verarbeitung rechtswidrig war, wiederholte die italienische Staatsanwaltschaft, dass eine IP-Adresse ein personenbezogenes Datum ist und nicht anonymisiert würde, selbst wenn sie gekürzt würde - angesichts der Möglichkeiten von Google, solche Daten durch zusätzliche Informationen anzureichern, die es besitzt.
Auf der Grundlage der obigen Feststellungen erließ die italienische ORKB eine Entscheidung, der weitere folgen sollten, in der sie Caffeina Media S.r.l. - einen Website-Betreiber - rügte und anordnete, die Verarbeitung innerhalb von neunzig Tagen in Einklang mit der DSGVO zu bringen. Diese Frist wurde als angemessen erachtet, um dem Betreiber die Möglichkeit zu geben, angemessene Maßnahmen im Zusammenhang mit der Datenübermittlung zu ergreifen; sollte sich herausstellen, dass dies nicht der Fall ist, wird die Aussetzung der GA-bezogenen Datenströme in die USA angeordnet.
Die italienische ORKB wies insbesondere darauf hin, dass in den USA ansässige Regierungsstellen und Geheimdienste ohne die erforderlichen Garantien auf die übermittelten personenbezogenen Daten zugreifen können; sie wies in diesem Zusammenhang darauf hin, dass die von Google zur Ergänzung der Datenübermittlungsinstrumente ergriffenen Maßnahmen kein angemessenes Schutzniveau für die personenbezogenen Daten der Nutzer im Lichte der vom EDSB in seinen Empfehlungen Nr. 1/2020 vom 18. Juni 2021 gegebenen Hinweise gewährleisten.
Die italienische ORKB möchte alle italienischen Website-Betreiber, sowohl öffentliche als auch private, auf die Rechtswidrigkeit der Datenübermittlungen in die USA aufgrund der Verwendung von GA aufmerksam machen - auch aufgrund der zahlreichen Warnungen und Anfragen, die bisher eingegangen sind. Die italienische Aufsichtsbehörde fordert alle für die Verarbeitung Verantwortlichen auf, zu überprüfen, ob die Verwendung von Cookies und anderen Tracking-Tools auf ihren Websites mit dem Datenschutzrecht in Einklang steht; dies gilt insbesondere für Google Analytics und ähnliche Dienste.
Nach Ablauf der in ihrem Beschluss festgelegten 90-Tage-Frist wird die italienische Aufsichtsbehörde prüfen, ob die fraglichen Datenübermittlungen mit der EU-DSGVO vereinbar sind, auch im Wege von Ad-hoc-Kontrollen.
Rom, 23. Juni 2022
</blockquote>Diese Nachricht kommt nur eine Woche, nachdem die CNIL (französische Datenschutzbehörde) Leitlinien zum Thema Google Analytics veröffentlicht hat. Diese Leitlinien sind das Ergebnis der Erklärungen, die die CNIL Anfang des Jahres abgegeben hatte und in denen sie die Verwendung von Google Analytics untersagte.
Immer mehr Behörden entscheiden sich gegen Google Analytics. Dies ist nicht überraschend: Die europäischen Datenschutzbehörden haben ihr Vorgehen in Fällen, in denen es um die Datenübermittlung von Google Analytics geht, koordiniert. Angesichts der Koordinierung auf europäischer Ebene und der Vorreiterrolle der einflussreichen französischen und italienischen Datenschutzbehörden erwarten wir, dass weitere Behörden diesem Beispiel folgen werden.
- Ist Google Analytics in Italien wirklich illegal?
- Was hat die GPDP genau gesagt?
- Das Problem der Datenübermittlung
- Die französischen CNIL Q&A-Leitlinien zu Google Analytics
- Welche Risiken bestehen bei der weiteren Verwendung von Google Analytics in Italien?
- Gibt es verschiedene europäische Analytik-Anbieter?
- Wie können Sie sicher sein, dass andere Analyseanbieter GDPR-konform sind?
- Aktualisierungen
- Abschließende Überlegungen
Lasst uns eintauchen!
Ist Google Analytics in Italien wirklich illegal?
Theoretisch, nein. In der Praxis, ja.
Der GPDP sagt nicht, dass Sie Google Analytics nicht verwenden dürfen. Sie verbietet nur, dass eine bestimmte Website dies tut.
Was ist also der Grund für die ganze Aufregung? Nun, die Entscheidung der GPDP hat einen Mangel an Sicherheitsvorkehrungen bei den Datenübertragungen aufgezeigt, die für den Einsatz von Google Analytics erforderlich sind. Theoretisch könnte eine andere Website bessere Sicherheitsvorkehrungen treffen und Google Analytics auf eine GDPR-konforme Weise nutzen. In der Praxis ist jedoch keine Website in der Lage, dies zu tun (wie wir hier erklärt haben).
Auch wenn das Urteil Google Analytics technisch gesehen nicht verbietet, schafft es einen Präzedenzfall, der praktisch einem landesweiten Verbot gleichkommt. Das Gleiche gilt für alle bisherigen Entscheidungen. In der Praxis bedeutet dies, dass Google Analytics in Österreich, Frankreich und Italien verboten ist (edit: und jetzt auch in Ungarn).
Datenschutzexperten und Vermarkter sind sich bewusst, dass die jüngsten Entscheidungen gegen Google Analytics praktisch darauf hinauslaufen, es für rechtswidrig zu erklären. Aus diesem Grund haben die Urteile so viel Aufmerksamkeit in den Medien erregt.
Der nächste Dominostein fällt, Italien verbietet Google Analytics
Was hat die GPDP genau gesagt?
Ein italienisches Nachrichtenmagazin (caffeinamagazine) hat Google Analytics verwendet. Wenn Google Analytics Daten verarbeitet, werden die Informationen von Google Irland an die Muttergesellschaft Google in den USA übermittelt. Diese Datenübermittlung ist nach der Datenschutz-Grundverordnung nur dann rechtmäßig, wenn die Datenschutzrechte des Nutzers angemessen geschützt werden können. Nach dem Urteil in der Rechtssache Schrems II muss der für die Datenverarbeitung Verantwortliche wirksame Schutzmaßnahmen ergreifen, um die Daten vor der Überwachung durch die USA zu schützen.
Die GPDP prüfte alle für die Datenübermittlungen bestehenden Garantien und befand sie für unzureichend. Die (Nicht-Ende-zu-Ende-) Verschlüsselung ist unzureichend, da Google den Schlüssel besitzt und verpflichtet werden kann, ihn an staatliche Stellen weiterzugeben. Die zwischen Google Irland und Google bestehenden vertraglichen Sicherheitsvorkehrungen sind ohne technische Maßnahmen unzureichend. Der GPDP hat auch klargestellt, dass die IP-Adresse des Nutzers auch dann personenbezogene Daten sind, wenn sie von Google anonymisiert werden, da Google eine sehr schwache Anonymisierung verwendet.
All dies ist nicht neu. Tatsächlich wiederholt die GPDP nur, was die österreichischen und französischen Datenschutzbehörden bereits klargestellt haben, und alle Behörden wenden einfach die Kriterien an, die im Urteil Schrems II festgelegt wurden.
Das Problem der Datenübermittlung
Was aber macht die Datenübermittlung in die USA so problematisch? Warum brauchen wir Schutzmechanismen für sie? Unternehmen wie Google, Facebook und AWS können nach US-Recht (FISA Section 702) verpflichtet werden, personenbezogene Daten von Ausländern an US-Behörden zu übermitteln.
Die Bedenken von Google in Bezug auf den Datenschutz sind nicht neu. Im Jahr 2013 enthüllten die Snowden-Akten, dass die persönlichen Daten ausländischer Bürgerinnen und Bürger einer invasiven staatlichen Überwachung unterzogen werden könnten, wenn sie in die USA übermittelt werden. Die Snowden-Enthüllungen brachten zwei breit angelegte nachrichtendienstliche Erfassungsprogramme (Upstream und PRISM) ans Licht, die im Rahmen von FISA genehmigt wurden. Bedenken über den weiten Anwendungsbereich von FISA und das Fehlen wirksamer Rechtsmittel gegen die Überwachung durch die USA veranlassten den Europäischen Gerichtshof, in den bahnbrechenden Entscheidungen Schrems I und II zwei Datenübermittlungsregelungen zwischen der EU und den USA für ungültig zu erklären.
Das Urteil Schrems II aus dem Jahr 2020 hat weitreichende Folgen für europäische Unternehmen. Grundsätzlich können Daten auch ohne einen Datenübertragungsrahmen in die USA übermittelt werden. Der EuGH hat jedoch klargestellt, dass europäische Unternehmen die Vertraulichkeit von Datenübermittlungen sicherstellen müssen, indem sie angemessene Vorkehrungen gegen staatliche Überwachung treffen. In der Praxis ist dies schwer zu bewerkstelligen und für bestimmte Cloud-basierte Dienste völlig unmöglich (wir haben hier darüber geschrieben).
Im Anschluss an Schrems II reichte die Datenschutz-NGO noyb 101 identische Beschwerden gegen Datenübermittlungen ein, die sich auf die Nutzung von Google Analytics und Facebook Connect beziehen. Die Beschwerden betreffen alle EU-Datenschutzbehörden und stellen einen strategischen Versuch dar, Europa zu einer strengeren Durchsetzung der in Schrems II klargestellten Regeln zu bewegen.
Wie wir bereits erwähnt haben, haben die Datenschutzbehörden ihr Vorgehen bei diesen Beschwerden auf europäischer Ebene koordiniert. Infolgedessen haben drei europäische Datenschutzbehörden (die österreichische DSB, die französische CNIL und jetzt die italienische GPDP) (Update: und die ungarische NAIH) gegen die Verwendung von Google Analytics entschieden. Im Einklang mit dem Schrems-II-Urteil befanden die Datenschutzbehörden die Datenübertragungen von Google Irland an Google LLC für rechtswidrig, da sie keine wirksamen Schutzmaßnahmen gegen die Überwachung durch die USA enthielten.
Die französischen CNIL Q&A-Leitlinien zu Google Analytics
In ihren Fragen und Antworten von letzter Woche ging die CNIL auf alle Fragen ein, die aufgeworfen wurden, nachdem sie Google Analytics im Februar dieses Jahres für illegal erklärt hatte. Seitdem hat Google verschiedene Ansätze vorgeschlagen, um sicherzustellen, dass Google Analytics im Rahmen des EU-Rechts sicher verwendet werden kann. Die CNIL kam jedoch zu dem Schluss, dass es technisch unmöglich ist, Google Analytics gesetzeskonform zu nutzen.
Google hat verschiedene Lösungen vorgeschlagen, die von der CNIL abgelehnt wurden:
- Die IP-Anonymisierung ist keine gültige Lösung, da Google nicht nachweisen konnte, dass die Anonymisierung vor der Übermittlung der Daten in die USA erfolgt.
- Die Datenverschlüsselung ist eine unwirksame Schutzmaßnahme, da Google die Schlüssel besitzt und verpflichtet werden kann, sie an staatliche Behörden weiterzugeben.
Die einzige Lösung, für die die CNIL offen sein könnte, ist die vollständige Anonymisierung aller personenbezogenen Daten über einen Proxy-Server. Diese Lösung ist teuer und für die meisten Unternehmen sehr aufwändig. Sie macht auch die Verwendung von Cookies unmöglich, was die Analysemöglichkeiten von Google Analytics stark einschränkt.
Welche Risiken bestehen bei der weiteren Verwendung von Google Analytics in Italien?
Wenn Sie Google Analytics in Italien verwenden, halten Sie sich nicht an die Datenschutz-Grundverordnung. Wenn jemand eine Beschwerde einreicht oder die Datenschutzbehörde Ihre Übermittlungen untersucht, könnten Sie in Schwierigkeiten geraten.
Es ist anzumerken, dass die italienische Datenschutzbehörde weitere Untersuchungen (englische Übersetzung unten) zur Verwendung von Google Analytics sowohl durch Unternehmen als auch durch Institutionen angekündigt hat; die Behörde geht also proaktiv an die Sache heran. Wir können mit weiteren Fällen zu Google Analytics rechnen, einschließlich Untersuchungen auf eigene Initiative.
Gibt es verschiedene europäische Analytik-Anbieter?
Ja, die gibt es. Wir haben Simple Analytics entwickelt, um Ihnen ein datenschutzfreundliches, GDPR-konformes Tool für die Webanalyse zu bieten. Es gibt auch andere Alternativen - Sie können sich auf alternativeto.net informieren.
Wie können Sie sicher sein, dass andere Analyseanbieter GDPR-konform sind?
Nur weil Sie nicht Google Analytics verwenden, bedeutet das nicht, dass Sie die Vorschriften einhalten. Und nur weil ein Anbieter europäisch ist, heißt das nicht, dass er nicht selbst auf in den USA ansässige Auftragsverarbeiter zurückgreift. Sie müssen alle Bedingungen und Unterlagen der einzelnen Anbieter sorgfältig lesen und deren Richtlinien bewerten.
Bitte beachten Sie, dass die Wahl eines konformen Anbieters nur ein Teil des Ganzen ist: Sie sind auch für die Einhaltung der Vorschriften verantwortlich und müssen Ihren Teil dazu beitragen.
Sie sollten die Wahl der Nutzer respektieren und Ihr Analysetool so einrichten, dass keine Analyse- oder Werbe-Cookies ohne oder vor Einholung der Zustimmung geschrieben werden. Viele Websites tun dies nicht, und das ist allein ihre Schuld - ihre Software hat damit nichts zu tun! Außerdem müssen Sie Ihrem Publikum ausreichende und genaue Informationen zur Verfügung stellen und sicherstellen, dass Sie die Einwilligung über ein GDPR-konformes Cookie-Banner einholen - entweder indem Sie es selbst von Grund auf implementieren oder indem Sie konforme Einstellungen für Ihre Einwilligungsmanagement-Plattform wählen.
(Wir haben uns in einem anderen Blog mit Cookie-Bannern befasst, wenn Sie neugierig sind, können Sie sich das gerne ansehen)
Aktualisierungen
In den Monaten nach der GPDP-Entscheidung ist viel passiert, daher hier einige Aktualisierungen:
- Der GPDP hat über zwei weitere Beschwerden entschieden und sich erneut gegen die Verwendung von Google Analytics ausgesprochen. Dies bestätigt, was bereits offensichtlich war: Der erste Fall hat einen entscheidenden Präzedenzfall geschaffen, und alle weiteren Fälle werden entsprechend entschieden werden. Die zweite und dritte Entscheidung wurden buchstäblich von der ersten kopiert.
- Die dänische Datenschutzbehörde vertrat in einer Pressemitteilung über die Verwendung von Google Analytics im Wesentlichen denselben Ansatz.
- Der finnische Ombudsmann schloss sich dem DSB, der CNIL und der GPDP an und entschied gegen Google Analytics.
- In einem noch anhängigen Fall kam das norwegische Datatilsynet zu dem vorläufigen Schluss, dass die Verwendung von Google Analytics illegal ist.
- Ein neuer Rahmen für die Datenübermittlung zwischen der EU und den USA ist auf dem Weg. Der neue Rahmen ist in mancherlei Hinsicht noch problematisch und wird zweifellos vor Gericht angefochten werden. Wir haben es mit einem weiteren Schrems-Urteil zu tun, und es ist schwer zu sagen, wie es ausgehen wird.
- Meta Ireland wurde zu einer Geldstrafe von 1,2 Milliarden Euro verurteilt und angewiesen, die Datenübermittlung für Facebook auszusetzen. Die rechtlichen Fragen sind die gleichen wie in den Entscheidungen gegen Google Analytics. Wir haben diese wichtige Entscheidung eingehend erörtert.
- Wir haben zwei Blogs über Datenübertragungen im Allgemeinen und die Probleme von Google Analytics mit Datenübertragungen geschrieben. Diese enthalten tiefer gehende Informationen zu den Themen.
Abschließende Überlegungen
Bevor wir zum Schluss kommen, lohnt es sich vielleicht, das Gesehene zusammenzufassen:
- Mehrere Datenschutzbehörden haben bisher gegen Google Analytics entschieden
- Die Datenschutzbehörden verfolgen einen koordinierten Ansatz, wobei zwei einflussreiche Datenschutzbehörden den Weg weisen. Andere Behörden werden wahrscheinlich folgen (Update: die ungarische Datenschutzbehörde hat es getan)
- Die Entscheidungen sind nahezu identisch und laufen praktisch auf ein landesweites Verbot hinaus.
Ebenfalls erwähnenswert: Die Verbraucher fordern Datenschutz.
Das Geschäftsumfeld ändert sich, und Sie sollten sich fragen, ob Sie mitziehen oder an alten Überzeugungen und Praktiken festhalten wollen.
Google rückt sogar von seiner aktuellen Version von Google Analytics ab, indem es Universal Analytics zugunsten von GA4 auslaufen lässt. In einer Erklärung gab das Unternehmen bekannt, dass der Datenschutz einer der Hauptgründe für den Wechsel ist. Obwohl GA4 immer noch nicht datenschutzfreundlich ist, erkennt Google zumindest an, dass sich die Welt verändert.
Es gibt Alternativen zu Google Analytics, die sich tatsächlich um die Privatsphäre Ihrer Nutzer kümmern. Simple Analytics ist eine davon, aber bevor ich Ihnen sage, dass wir die besten sind, haben wir einen ausführlichen Vergleich mit anderen datenschutzfreundlichen Alternativen erstellt, damit Sie Ihre eigene Entscheidung treffen können.
Wir glauben, dass es nicht nur darum geht, sich an die Gesetze zu halten. Ja, auch das ist wichtig. Aber es geht noch weiter. Wir sind der Meinung, dass Sie Entscheidungen auf der Grundlage von Websitedaten treffen können, ohne dass Sie persönliche Daten sammeln oder Personen verfolgen müssen.
Aus diesem Grund haben wir Simple Analytics entwickelt. Um Ihnen die nötigen Einblicke zu geben und gleichzeitig die Privatsphäre Ihrer Nutzer zu schützen und 100%ig GDPR-konform zu sein. Wenn Sie sich davon angesprochen fühlen, können Sie uns gerne ausprobieren.