Schlagwort: italienische Datenschutzbehörde

Italienische Datenschutzbehörde zum Einsatz von Google Analytics

7. Juli 2022

Die italienische Datenschutzbehörde Garante stellte in einer Entscheidung fest, dass die Verwendung des Analysetools Google Analytics nur möglich sei, wenn weitere Maßnahmen zur Einhaltung des Schutzniveaus bei einer Datenübermittlung ergriffen werden.

Bereits zuvor hatten andere europäische Datenschutzbehörden, so die französische Datenschutzbehörde (CNIL) – wir berichteten – und die österreichische Datenschutzbehörde (DSB) den Einsatz von Google Analytics auf Webseiten untersagt.

Der Sachverhalt

Hintergrund der Entscheidung durch Garante war eine Beschwerde gegen ein italienisches Unternehmen, dass auf seiner Webseite Google Analytics zur Erstellung von Nutzerstatistiken einsetzte. Konkret wehrte die betroffene Person sich dagegen, dass mit Verwendung von Google Analytics ihre personenbezogenen Daten in die USA übermittelt werden, ohne dass, aus Sicht des Betroffenen der Webseitenbetreiber geeignete Garantien im Sinne des Kapitel V DSGVO vorsah.

IP-Adresse: personenbezogenes Datum

Garante wies zunächst darauf hin, dass die IP-Adresse des benutzten Gerätes ein personenbezogenes Datum sei. Insbesondere sei zu beachten, dass Google beim Besuch der Webseite das Google-Konto des Nutzers mit der IP-Adresse verknüpfe. Dies führe dazu, dass weitere personenbezogenen Daten, wie beispielsweise der Name oder die E-Mail-Adresse mit der IP-Adresse in Verbindung gebracht werden. Demnach ist die betroffene Person als Nutzer identifizierbar.

Allerdings stelle Google Analytics den Webseiten-Betreibern eine „IP-Anonymisierung“ zur Verfügung. Vor Übermittlung in die USA verkürze der Service von Google Analytics die IP-Adresse der Nutzer. Problematisch daran sei, so Garante, dass lediglich eine Pseudonymisierung stattfinde. Trotz Verkürzung der IP-Adresse sei der Nutzer aufgrund der weiteren Daten identifizierbar.

Weitere Maßnahmen erforderlich

Es stellte sich die Frage, ob Google als Datenimporteur bei Übermittlung personenbezogener Daten seinen Verpflichtungen nach den Standardvertragsklauseln nachkommen könne. Aus Sicht von Garante hindern die US-amerikanischen Rechtsvorschriften Google bei Erfüllung dieser Verpflichtungen. Google Analytics müsse grundsätzlich weitere technische und organisatorische Maßnahmen ergreifen. Bereits vorgesehene Verschlüsselungsmechanismen reichten nicht aus. Die Verwendung Google Analytics sei nur bei Ergreifen weiterer Maßnahmen rechtmäßig. Eine Stellungnahme der deutschen Datenschutzbehörde zur Verwendung von Google Analytics bleibt abzuwarten.

Bußgeld in Höhe von 17 Millionen gegen Wind verhängt

30. Juli 2020

Die italienische Datenschutzbehörde hat eine Geldbuße in Höhe von 17 Millionen gegen das Telekommunikationsunternehmen Wind Tre verhängt. Wind Tre verstieß mehrfach gegen geltende Datenschutzbestimmungen insbesondere durch seine Werbeaktivitäten.

Wind Tre kontaktierte Kunden, die in eine Kontaktaufnahme nicht eingewilligt hatten, mehrfach über SMS, E-Mail, Fax und automatisierte Anrufe. In mehreren Fällen hatten die Kunden erklärt, dass es nicht möglich war, ihr Recht auf Widerruf der Einwilligung oder Widerspruch gegen die Verarbeitung ihrer Daten zu Marketingzwecken geltend zu machen. In anderen Fällen sind die persönlichen Daten der Benutzer trotz der Widersprüche der Kunden in öffentlichen Telefonbüchern aufgenommen worden. Bei den Apps MyWind und My3 mussten die Kunden einwilligen, dass Wind Tre ihre Daten für Marketing, Profilerstellung, Kommunikation mit Dritten und Geolokalisierung verarbeitet. Ein Widerruf dieser Einwilligung war nach 24 Stunden möglich.

Darüber hinaus beleuchten die Untersuchungen der italienischen Datenschutzbehörde vielfältige Verstöße, die die Handelspartner von Wind Tre betreffen. Einer dieser Handelspartner erhielt von der italienischen Datenschutzbehörde eine Geldbuße in Höhe von 200.000 EUR, da er Kundendaten unrechtmäßig gesammelt hatte.

Die italienische Datenschutzbehörde ordnete an, dass Wind Tre keine Daten verarbeiten darf, wenn es nicht über eine nachweisbare und datenschutzkonforme Einwilligung der Kunden verfügt. Sie wies das Unternehmen außerdem an, technische und organisatorische Maßnahmen zu ergreifen, um eine wirksame Aufsicht über ihre Handelspartner zu gewährleisten.