Datenschutzbehörde Italien: Google Analytics nur theoretisch möglich
23.08.2022
[IITR – 23.08.22] „In der Theorie gibt es eine Möglichkeit, Google Analytics rechtskonform einzusetzen, in der Praxis ist es durchaus berechtigt, daran zu zweifeln. Zu verstehen, ob das im Einzelfall möglich ist, ist Aufgabe der jeweils für die Verarbeitung Verantwortlichen. Sobald wir mehr über Google Analytics 4 wissen, wird es notwendig festzustellen, inwieweit dies datenschutzkonform einsetzbar sein wird. Hinsichtlich der IP-Adressen wird es sicherlich eine Vereinfachung geben, es stellt sich aber die Frage des Umfangs an personenbezogenen Daten, um zu verstehen, inwieweit dieses Problem gelöst wird oder nicht.“ (so Guido Scorza, ein Mitarbeiter der italienischen Aufsicht in einem Interview)
90-Tage-Frist durch italienische Aufsichtsbehörde
Nun hat sich auch in Italien die Aufsichtsbehörde „Garante per la protezione dei dati personali“ ganz offiziell dazu geäußert, indem man selbst bei vorhandener Einwilligung der Webseiten-Besucher den Einsatz eines solchen Tools in Frage stellt und Unternehmen eine 90-tägige Frist gewährt, offene Fragen zu beantworten.
„Ursprung ist die weitbekannte Entscheidung des Europäischen Gerichtshofs, das Privacy Shield, das einen Datentransfer in die Vereinigten Staaten ermöglichte, als unwirksam zu erklären. Der EuGH hat aufgeführt, dass das Schutzniveau in beiden Regionen nicht gleich sei (…). Insbesondere könnten die Geheimdienste [in den USA] viel einfacher auf personenbezogene Daten europäischer Bürger zugreifen, während sich diese bei Verstößen nicht auf eine Datenschutzbehörde verlassen können, die ihnen entsprechend Schutz bieten kann. Google Analytics – wie viele weitere amerikanische Dienste – setzt in seiner Anwendung einen Datentransfer aus Europa in die Vereinigten Staaten voraus (…): IP-Adressen, Browsererkennung, Verbindung und Verbindungszeit. Da die Übermittlung von Daten in die USA [grundsätzlich] verboten ist und wir entsprechend Beschwerden erhalten haben, mussten wir agieren. Dabei war es jedoch keinesfalls unsere Absicht, dadurch einen Bösewicht auszumachen.“ (so Guido Scorza in dem angesprochenen Interview)
Das Urteil des EuGH vor zwei Jahren ist also hinsichtlich der Umsetzung in der Praxis noch nicht ausreichend berücksichtigt.
„Das eigentliche Problem ist nicht durch die Unternehmen, sondern die Regierungen zu lösen. Das bedeutet, dass die politische Verpflichtung, die Joe Biden und Ursula von der Leyen im März eingegangen sind, um eine Angleichung des Datenschutzniveaus voranzutreiben und die Übermittlung von Daten an die USA einfach und rechtmäßig zu machen, weitergeführt werden muss. Was dieser politischen Einigung noch fehlt, ist eine rechtsverbindliche Vereinbarung. Wir spielen lediglich die zweite Geige, in einem bestimmten Teil der Kette, das mit einem bestimmten Ereignis verbunden ist, aber das Problem ist viel umfassender.“ (so Guido Scorzo – und weiter:)
„Das Ausmaß des Problems ist so groß wie die Position eines Marktführers wie Google Analytics. (…) Unsere größte Hoffnung ist, dass in den nächsten 90 Tagen ein rechtsverbindliches Abkommen zwischen Europa und den Vereinigten Staaten erzielt wird. Andernfalls müssten Sperrmaßnahmen ergriffen werden, gegen die kaum etwas unternommen werden kann. Auch über Google Analytics hinaus.“
Intention der italienischen Aufsicht
Man kann aus dem Vorgehen der italienischen Aufsichtsbehörde und – noch genauer – aus den Aussagen des Mitarbeiters Guido Scorzo in einem Interview herauslesen, wo genau in Italien das Problem gesehen wird: Das Problem des Einsatzes vieler marktbeherrschender Tools, die weitgehend aus den Vereinigten Staaten stammen, liegt nicht alleine in dem Tool selbst, sondern hauptsächlich in dem Datentransfer in die USA. Ein Problem, das durch die Unternehmen selbst lediglich in der Theorie lösbar erscheint, jedoch nicht in der gängigen Praxis. Jedenfalls noch nicht.
Ziel muss es – folgt man der Ansicht der Datenschutzbehörde aus Rom – sein, dass sich die Europäische Union und die Vereinigten Staaten nicht nur politisch, sondern alsbald auch rechtsverbindlich über ein Nachfolgekonstrukt des Privacy Shields einigen.
Betrachtet man unter diesem Blickwinkel die angesetzte 90-Tage-Frist und die Aussagen des Aufsichtsmitglieds, so lässt sich durchaus mutmaßen, dass man eventuell versucht, ein bisschen auf Zeit zu spielen, in der Hoffnung, am Ende der gesetzten Frist ist ein Nachfolgekonstrukt tatsächlich in Sichtweite, so dass man seine Androhung gar nicht mehr wahrmachen muss.
Fazit: Privacy Shield 2.0 in Sicht?!
Denkt man im Zuge dessen an die Aussage des bayerischen Innenministers Joachim Herrmann, der anlässlich der 50-Jahrfeier der bayerischen Aufsichtsbehörde in Ansbach verkündet hat, er selbst rechne noch dieses Jahr mit einem neuen Abkommen, so könnte man daraus schlussfolgern, dass eine tatsächliche Einigung in Reichweite zu sein scheint.