Italienische Hacktivisten gegen die Verwendung von Google Analytics

Image of Carlo Cilento

Veröffentlicht am 27. Okt. 2022 und bearbeitet am 15. Aug. 2023 von Carlo Cilento

Google Analytics ist zur Zeit ein heißes Thema in der italienischen Datenschutz- und Marketinggemeinde. Die italienische Datenschutzbehörde (GPDP) entschied im Juni gegen GA und kündigte Untersuchungen über die Verwendung des Tools sowohl in Unternehmen als auch in öffentlichen Verwaltungen an.

Aber es ist noch mehr im Gange: Die Hacktivistengruppe MonitoraPA verschickte Tausende von E-Mails, in denen sie die Verwaltungen aufforderte, sowohl GA als auch Google Fonts zu löschen.

Außerdem schickten sie ähnliche Warnungen an die Websites der italienischen politischen Parteien. Außerdem leiteten sie Tausende von Anfragen an italienische Schulen weiter und forderten Informationen über die Verarbeitung von Schülerdaten. Zur gleichen Zeit schickte der italienische Aktivist Federico Leva zahllose E-Mails an italienische Websites, in denen er mit Hilfe von GA die Löschung seiner persönlichen Daten verlangte. Alle diese Forderungen werden durch rechtliche Schritte unterstützt.

Es ist schwer herauszufinden, was da passiert und welche Auswirkungen das hat, deshalb sind wir hier, um etwas Licht ins Dunkel zu bringen. (Hinweis: einige der Links in den folgenden Texten sind nur auf Italienisch, da es für einige unserer Themen keine internationale Berichterstattung gibt).

  1. Was ist falsch an Google Analytics?
  2. Monitora PA und ihre Kampagne gegen Google Analytics
    1. Die Anträge von Monitora PA auf Löschung
    2. Monitora PA's Zugangsanfragen
    3. Monitora PAs "Wahlspecial"
    4. Die E-Mails von Federico Leva
    5. Kritik
  3. Abschließende Überlegungen
Logo of the Government of the United KingdomThe UK Government chose Simple AnalyticsJoin them

Lassen Sie uns eintauchen!

Was ist falsch an Google Analytics?

Wir haben bereits ausführlich über die Compliance-Probleme von Google Analytics geschrieben, daher hier eine kurze Zusammenfassung:

Im Jahr 2020 wurde in der Schrems-II-Entscheidung festgestellt, dass der US-amerikanische Rechtsrahmen keinen ausreichenden Schutz für europäische Daten bieten kann, weil die Überwachungspraktiken der USA so weitreichend sind.

Kurz nach dem Schrems-II-Urteil reichte die österreichische Datenschutz-NGO noyb 101 Beschwerden über Datenübermittlungen ein, um die Datenschutzbehörden zu einer strengen Durchsetzung des Schrems-II-Urteils zu bewegen. Die Datenschutzbehörden koordinierten ihre Vorgehensweise in Bezug auf die Beschwerden auf europäischer Ebene, und infolgedessen haben bisher drei Datenschutzbehörden gegen die Verwendung von Google Analytics entschieden (die österreichische DSB, die französische CNIL und die italienische GPDP. Außerdem hat die dänische Behörde in einer Pressemitteilung die gleiche Position wie die anderen vertreten.

Es ist wahrscheinlich, dass andere Datenschutzbehörden in Zukunft ähnliche Positionen einnehmen werden. Die CNIL und die GPDP sind angesehene und einflussreiche Datenschutzbehörden, und es ist wahrscheinlich, dass andere ihrem Beispiel folgen werden. Und vergessen wir nicht, dass Meta Ireland mit einer Geldstrafe von 1,2 Milliarden belegt und angewiesen wurde, die Datenübermittlung für genau die gleichen rechtlichen Probleme auszusetzen, die in den Google Analytics-Fällen eine Rolle spielen

In jüngerer Zeit haben sich die EU-Kommission und das Weiße Haus auf einen neuen Rahmen für die Datenübermittlung geeinigt. Der neue Rahmen erscheint jedoch in mancher Hinsicht noch problematisch und wird mit Sicherheit vor dem EuGH angefochten werden. Aus diesem Grund ist die Zukunft der transatlantischen Datenübermittlung noch ungewiss.

(Aktualisierungen: 2023 urteilten der finnische Datenschutzbeauftragte und das norwegischeDatatilsynet ebenfalls gegen Google Analytics - obwohl die norwegische Entscheidung nur vorläufig ist. Darüber hinaus führte ein langer Rechtsstreit über die Datenübertragungen von Meta zu einer Geldstrafe von 1,2 Milliarden Euro für das Unternehmen und zu einer Anordnung, die Datenübertragungen für Facebook auszusetzen - wir haben diesen wichtigen Fall hier besprochen)

Monitora PA und ihre Kampagne gegen Google Analytics

Wie bereits erwähnt, sind sich die österreichische, französische, italienische und dänische Datenschutzbehörde in Bezug auf Datenübermittlungen einig. Die italienische Situation ist jedoch etwas eigenartig. Der italienische Staatsbürger Federico Leva und die Gruppe Monitora PA haben Tausende von Anfragen im Zusammenhang mit GA weitergeleitet und rechtliche Schritte angedroht.

Die Anträge von Monitora PA auf Löschung

Kurz bevor die GPDP über die erste GA-Beschwerde entschied, leitete die Hacktivistengruppe Monitora PA (Überwachung der öffentlichen Verwaltung) Tausende von E-Mails weiter, in denen sie öffentliche Verwaltungen aufforderte, Google Analytics und Google Fonts nicht mehr zu verwenden, und mit rechtlichen Schritten vor der GPDP drohte.

Die Kampagne stieß auf einige Kritik, war aber bisher erfolgreich. Fabio Pietrosanti, Mitglied von Monitora PA, berichtete, dass fast 8.000 Verwaltungen kontaktiert wurden und mehr als 3.000 die Nutzung von GA eingestellt haben.

Monitora PA's Zugangsanfragen

Monitora PA hat auch Tausende von Schulen um Informationen über ihre Datenverarbeitung gebeten. Genauer gesagt, verlangte es Zugang zu verschiedenen Dokumenten, zu deren Aufbewahrung die Schulen gemäß der Datenschutzgrundverordnung und dem italienischen Verwaltungsrecht verpflichtet sind.

Das Ziel von Monitora PA ist es, die Einhaltung der Datenschutzbestimmungen zu bewerten und möglicherweise rechtliche Schritte gegen Verstöße einzuleiten. Bei dieser Initiative geht es nicht ausschließlich um GA oder Datenübertragungen. Dennoch sind sie ein Teil des Bildes, da Monitora PA neben anderen Dokumenten auch die Folgenabschätzung für jede Schule anfordert.

Die Durchführung einer TIA ist eine der Verpflichtungen des Datenexporteurs1. In TIAs werden auch zusätzliche Schutzmaßnahmen für Datenübermittlungen aufgeführt und auf ihre Wirksamkeit hin überprüft. Viele Schulen nutzen Google-Tools und Software von anderen großen Technologieunternehmen, und es ist schwer vorstellbar, dass alle von ihnen wirksame Schutzmaßnahmen eingeführt haben. Einige Schulen haben sogar keine klare Vorstellung davon, wie Schülerdaten überhaupt verarbeitet werden.

Es ist auch erwähnenswert, dass die dänische Datenschutzbehörde vor kurzem Schulen in der Gemeinde Helsingor angewiesen hat, Google Workplace wegen der erforderlichen Datenübermittlung in die USA zu kündigen. In Anbetracht dieses Präzedenzfalls könnten die Anfragen von Monitora PA eine Untersuchung über den Einsatz von Google-Software und anderen Tools in italienischen Schulen auslösen.

Monitora PA

Monitora PAs "Wahlspecial"

Im September startete Monitora PA eine weitere Kampagne. Die Gruppe stellte fest, dass zahlreiche Websites italienischer politischer Parteien Google Analytics und Google Fonts verwenden und forderte sie auf, die Nutzung dieser Tools einzustellen. Monitora PA reichte später eine Beschwerde gegen 47 Websites ein, die weiterhin GA oder GF verwendeten.

Das Tracking von Nutzern auf Websites politischer Vereinigungen ist sehr problematisch. Der Skandal um Cambridge Analytica sollte uns daran erinnern, welche Auswirkungen Datenschutzpraktiken auf die Politik demokratischer Länder haben können. Und aus rein rechtlicher Sicht könnten die gesammelten Daten die politischen Meinungen eines Nutzers offenlegen, was gemäß der Datenschutz-Grundverordnung2 als sensible Daten einzustufen ist, wie Monitora PA in ihrer Beschwerde hervorhob.

Die E-Mails von Federico Leva

Im Laufe des Sommers hat der Aktivist Federico Leva Tausende von E-Mails an italienische Websites geschickt, die GA nutzen, und die Löschung seiner persönlichen Daten gefordert. Er behauptete, dass die Verwendung von GA unrechtmäßige Datenübertragungen beinhaltet und dass die Verarbeitung seiner persönlichen Daten für Webanalysen illegal ist. Wie Monitora Pa droht auch Herr Leva mit rechtlichen Schritten, falls der für die Verarbeitung Verantwortliche seinen Forderungen nicht nachkommt.

Kritik

Wie bereits erwähnt, haben die Kampagnen von Monitora PA und Herrn Leva polarisierende Reaktionen in den Rechts- und Datenschutzkreisen hervorgerufen. Die Kritik an diesen Kampagnen ist in einem kürzlich veröffentlichten Dokument zusammengefasst: einem Notifizierungsschreiben an die italienische GPDP gegen Monitora PA und Federico Leva, das von zahlreichen italienischen Anwälten unter der Koordination von Rechtsanwalt Andrea Lisi unterzeichnet wurde.

In dem Schreiben wird beanstandet, dass Spamming-E-Mails ein unzulässiges Mittel sind, um eine ansonsten legitime Agenda des Aktivismus zu fördern. Aus rein rechtlicher Sicht wird in dem Schreiben behauptet, dass diese massiven E-Mail-Kampagnen möglicherweise gegen bestimmte Bestimmungen der Datenschutz-Grundverordnung verstoßen. Außerdem wird behauptet, dass Monitora PA und Herr Leva ihre Rechte gemäß der Datenschutz-Grundverordnung missbrauchen, da sie diese eher aus aktivistischen Gründen ausüben, als um ihre Privatsphäre zu schützen.

Soweit uns bekannt ist, hat Monitora PA jedoch nie irgendwelche Rechte3 gemäß der Datenschutz-Grundverordnung ausgeübt - was auch Sinn macht, da sie überhaupt keine haben4. Was Herrn Leva betrifft, so stellte Rechtsanwalt und GPDP-Mitglied Guido Scorza in einem Interview klar, dass er sein Recht auf Löschung gemäß der DSGVO rechtmäßig ausübt und dass seinen Anträgen daher stattgegeben werden muss. Natürlich spiegelt die Position von Herrn Scorza nicht unbedingt die der GPDP wider, aber sie ist ein Hinweis darauf, dass die Beschwerden von Herrn Leva wahrscheinlich ernst genommen werden.

Abschließende Überlegungen

Die E-Mails von Monitora PA und Federico Leva verbreiten eine ziemliche Panik. Die Androhung rechtlicher Schritte, die sich hinter ihren Forderungen verbirgt, ist real, aber wir erwarten nicht, dass es für jeden einzelnen Verstoß eine Beschwerde geben wird - die GDPD kann unmöglich so viele Fälle bearbeiten. Aller Wahrscheinlichkeit nach werden nur die schwerwiegendsten Verstöße der GPDP zur Kenntnis gebracht werden.

Unabhängig von ihrer kontroversen Natur ist die durch diese Kampagnen ausgelöste Debatte gesund und wird hoffentlich die Aufmerksamkeit auf die Auswirkungen der alltäglichen Datenverarbeitung in privaten und öffentlichen Organisationen auf den Datenschutz lenken. Dies ist eine gute Sache.

Datenschutz ist ein Menschenrecht, und die europäischen Datenschutzbehörden zeigen endlich Zähne, indem sie Google Analytics in seiner derzeitigen Form verbieten.

Google Analytics verstößt nicht nur gegen das Gesetz, sondern trägt auch nicht dazu bei, ein unabhängiges, besucherfreundliches Internet zu schaffen. Und warum sollten sie das tun? Das Unternehmen verdient Milliarden mit dem Tracking von Internetnutzern.

Wir von Simple Analytics sind der Meinung, dass man Internetnutzer nicht verfolgen oder persönliche Daten sammeln muss, um die gewünschten Erkenntnisse zu erhalten. Wir glauben an die Schaffung eines unabhängigen, besucherfreundlichen Internets. Wenn Sie sich davon angesprochen fühlen, können Sie uns gerne ausprobieren.

#1 TIAs werden in der DSGVO nicht erwähnt, aber der EuGH hat in der Rechtssache Schrems II festgestellt, dass der für die Verarbeitung Verantwortliche prüfen muss, "ob das Recht des Bestimmungsdrittlandes einen angemessenen Schutz (...) der personenbezogenen Daten gewährleistet" (Abs. 134). [^2]: Art. 9(1) GDPR. Die Verarbeitung sensibler Daten unterliegt strengeren Regeln als die allgemeinen Regeln für die Verarbeitung personenbezogener Daten im Rahmen der DSGVO. [^3]: Die an die öffentlichen Verwaltungen weitergeleiteten E-Mails sind hier und auf anderen italienischen Websites zu finden, und die Rechte der Betroffenen werden nie erwähnt. Was die Anfragen von Monitora PA an Schulen betrifft, so handelt es sich dabei um eine Form des Bürgerzugangs nach italienischem Verwaltungsrecht (Art. 5(2) d. lgs. 33/2013, später geändert durch Art. 6(1) d. lgs. 97/2016), wie auf der Website der Gruppe bestätigt wird [^4]: Monitora PA ist keine natürliche Person und kann daher nicht als betroffene Person angesehen werden. Siehe die Definitionen der Begriffe "personenbezogene Daten" und "betroffene Person" in Art. 4(1) DSGVO.

GA4 ist komplex. Versuchen Sie Simple Analytics

GA4 ist wie im Cockpit eines Flugzeugs zu sitzen, ohne einen Pilotenschein zu haben

14-Tage-Testversion starten