Die Entscheidungen der österreichischen und französischen Datenschutzbehörden waren ein Paukenschlag für das Online-Marketing, als es im Frühjahr dieses Jahres hieß, dass Google Analytics gegen die DSGVO verstößt.
Italienische Datenschutzbehörde zieht nach
Mittlerweile hat sich auch die italienische Datenschutzbehörde dieser Sichtweise angeschlossen und mitgeteilt, dass auch ihrer Ansicht nach Google Analytics gegen die DSGVO verstößt. Die von Google getroffenen seien nicht ausreichend, um ein angemessenes Schutzniveau für die Nutzerdaten in den USA zu gewährleisten.
Die Behörde nutzte die Gelegenheit auch dazu, alle italienischen Website-Betreiber auf die Rechtswidrigkeit vergleichbarer Datenübertragungen in die USA aufmerksam zu machen und sie aufzufordern, ihren Einsatz von Cookies und anderen Tracking-Tools auf die Vereinbarkeit mit der DSGVO zu überprüfen.
CNIL veröffentlicht weitere Stellungnahme zu Google Analytics
Auch die CNIL hat im Juni eine weitere Stellungnahme in dieser Causa veröffentlicht, in welcher sie einen aus ihrer Sicht möglichen Weg zu einer datenschutzkonformen Nutzung von Google Analytics skizziert.
Standardvertragsklauseln und Änderung der Einstellungen nicht ausreichend
Für die Datenschutzkonformität von Google Analytics sei es nicht ausreichend, sich bloß auf Standardvertragsklauseln (SCCs) und eine Anpassungen der Standardeinstellungen zu verlassen. Auch eine Verschlüsselung der Daten erachtet sie als ungenügend, denn auch dann würden personenbezogene Daten (insbesondere die IP-Adresse) in die USA übertragen. Aus Sicht der CNIL stehe der Lösung des Problems des Zugriffs auf Daten durch außereuropäische Behörden die direkte HTTPS-Verbindung zwischen dem Gerät einer Person und den Servern von Google im Wege.
Möglicher Ausweg: Proxy-Server, aber mit hohen Anforderungen
Die einzige Lösung zur DSGVO-konformen Nutzung von Google Analytics erblickt die CNIL in der Unterbrechung des Kontakts zwischen dem Endgerät und dem Google-Server. Hierfür könnten Proxy-Server genutzt werden, welcher aber weitere Kriterien erfüllen müssen: Sie müssen demnach die Daten vor dem Datenexport wirksam pseudonymisieren.
Jetzt schließt sich also auch die italienische Datenschutzbehörde dem Tenor an, den die österreichische und französische Datenschutzbehörde aufgestellt haben – eine Entscheidung aus Deutschland dürfte nur eine Frage der Zeit sein. Zwar sind die Entscheidungen bisher nur auf Google Analytics gemünzt. Aber: Die Nutzung sämtlicher Google-Dienste, wenn nicht sämtlicher US-Dienste, ist zurzeit mit erheblichen Risiken behaftet.
Maßnahmen, die eventuell zu einer konformen Nutzung führen könnten, sind mit hohem Aufwand und Kosten verbunden.
Die Stellungnahme der CNIL und die Entscheidung der italienischen Datenschutzbehörde sind ein weiteres Teilstück des sich entfaltenden Bildes, dass Datentransfers insbesondere in die USA – viele Geschäftsmodelle aus datenschutzrechtlicher Perspektive vor praktisch unüberwindbare Herausforderungen stellt. Selbst wenn die CNIL hier konkret versucht, einen Ausweg anzubieten: Nicht jedes Unternehmen wird in der Lage sein, diese Anforderungen auch umzusetzen. Der Fokus dürfte sich daher zunehmend auf die Nutzung europäischer Web-Dienstleister verschieben.