Die CNIL, die französische Aufsichtsbehörde, hat sich am 7.6.2022 noch einmal zu Google Analytics und der Datenübertragung in Drittstaaten geäußert. Ja, 7.6., es ist mir aber erst heute durch den ZD-Newsletter aufgefallen. (Danke dafür!)
In ihrem Beitrag legt die CNIL dar, dass sie mehrere Beschwerden zur Nutzung von Google Analytics auf Webseiten französischer Unternehmen auf dem Tisch hatte. Sie habe das geprüft und sei der Ansicht, dass die “Verwendung von Google Analytics in der derzeitigen Form zu unzureichend geregelten Übermittlungen in die USA führe”. Dabei lässt die CNIL leider offen, was “die derzeitige Form” war, ob es also um Google Analytics 4 (aktuelle Version, die IP-Adresse wird nicht in Analytics erfasst) oder um die ältere Fassung, Universal Analytics ging, bei der man selbst entscheiden muss, ob die IP-Adresse anonymisiert wird. Ist aber auch nicht weiter wichtig, denn: Alles schlimm mit der Übertragung der IP-Adresse in einen Drittstaat.
Die CNIL stört sich daran, dass die IP-Adresse trotz aller Änderungen am Tool weiterhin in die USA übertragen würde. Wegen dieses Umstands sei es auch irrelevant, ob noch eine User-ID (UID) von Google Ireland gesetzt wird oder ob der Webseitenbetreiber eine UID setzt, die Google dann nicht zuordnen könne, und auch, ob man Daten eventuell verschlüsseln könnte. Denn, so die CNIL, das grundsätzliche Problem sei der “direkte Kontakt über eine HTTPS-Verbindung zwischen dem Endgerät der Person und den von Google betriebenen Servern.” Denn: “Die daraus resultierenden Anfragen ermöglichen es diesen Servern, die IP-Adresse des Nutzers sowie zahlreiche Informationen über sein Endgerät zu erhalten.” Mit all diesen Informationen zusammen sei realistischerweise eine Re-Identifizierung des Nutzers möglich und damit auch auf sein Verhalten auf allen Webseiten, bei denen Google Analytics eingebunden ist.
Verwunderlich ist dabei, weshalb die CNIL davon ausgeht, dass eine Übertragung der IP-Adressen in die USA geschieht. Es wird nicht dargelegt, ob bei den beanstandeten Seiten die für Google Analytics genutzten Webserver in der EU oder in den USA standen.
Wir fassen zusammen: Die CNIL hält es eine Re-Identifizierung für möglich, weil die IP-Adresse in die USA übermittelt und zudem zahlreiche Informationen über das Endgerät der jeweiligen Nutzerin übertragen werden. Was genau das mit HTTPS zu tun haben soll, bleibt das Geheimnis der CNIL, so richtig sinnvoll klingt das für mich nicht.
Freundlicherweise hat die CNIL noch eine FAQ zu Google Analytics veröffentlicht. Dort wird unter anderem die Frage gestellt, ob man Google Analytics so einstellen könne, dass keine personenbezogenen Daten außerhalb der EU übermittelt werden. Keine personenbezogene Daten, kein Drittstaatentransfers – clevere Frage. Die CNIL schreibt in der Antwort, das sei nicht möglich, da Google (vermutlich die Google Ireland, das bleibt offen) auf Nachfrage der CNIL mitgeteilt habe, dass alle über Analytics gesammelten Daten in die USA übermittelt würden.
Personenbezogene Daten werden also immer übermittelt, so die CNIL. Okay, nächster Versuch: “Kann ich Google Analytics so einstellen, dass nur anonyme Daten in die USA übertragen werden”? Und da teilt die CNIL dann mit, dass sie nicht weiß, ob die durchgeführte Anonymisierung der IP-Adressen vor der Übertragung in die USA erfolgt oder danach.
Das große Manko bei Google Analytics ist also laut CNIL, dass die IP-Adressen in die USA übermittelt werden, obwohl die CNIL das gar nicht sicher weiß? Mega. Dennoch hat die französische Aufsichtsbehörde die Verwendung von Google Analytics auf Basis dieses unklaren Sachverhalts untersagt. Gut, dass die CNIL daneben eine Liste mit anderen Messtools veröffentlicht – bei der allerdings noch nicht geprüft wurde, wie es da mit den Drittstaatentransfers aussieht.
Damit wir uns nicht falsch verstehen: Natürlich lassen sich natürliche Personen erkennen, wenn man genügend Informationen über sie bzw. das (oder die) von ihnen genutzten Endgeräte hat, Stichwort “Fingerprinting”. Aber dass die IP-Adresse Quell des Übels sein soll, wenn sie direkt nach der technisch notwendigen Nutzung (und NEIN, man kann sie dafür nicht verschlüsseln) verworfen oder anonymisiert wird, ist für den Transfer an Dritt-Dienstleister, die keine Möglichkeit haben, die der IP-Adresse zum jeweiligen Zeitpunkt zugeordnete Person zu identifizieren, einfach nicht überzeugend.
Hier wird die IP-Adresse als ein Datum zur Re-Identifizierung genutzt. Ob die IP-Adresse für Google (egal ob Google Ireland Ltd. oder Google Inc.) in diesem Fall ein personenbeziehbares Datum ist, darf mit guten Gründen bezweifelt werden. Denn der EuGH hat im Fall Breyer entschieden, dass eine dynamische IP-Adresse für den Websitebetreiber ein personenbezogenes Datum im Sinne des Art. 2 lit. a Datenschutzrichtlinie 95/46/EG darstelle, wenn dieser über rechtliche Mittel verfüge, die es ermöglichen, den Betroffenen durch Zusatzinformationen Dritter zu identifizieren. (Rn. 49) Der EuGH bejaht damit die Personenbeziehbarkeit von Daten jedenfalls für den Fall, dass „Zusatzinformationen“ auch bei Dritten existieren, die es dem Verantwortlichen „vernünftigerweise“ erlauben, die natürliche Person zu „bestimmen“.
Ganz zu schweigen davon, dass die Person, der die IP-Adresse zugewiesen ist, nicht die Person sein muss, deren Webseitenbesuch via Google Analytics erfasst wurde.
Die CNIL ist der Ansicht, dass die IP-Adresse NIE zu einem Analysetool-Anbieter in einem Drittstaat übermittelt werden darf. Selbst wenn – wie hier – nicht ganz sicher ist, ob die IP-Adresse überhaupt in einen Drittstaat übermittelt wird, poltern sie lieber mal heftig, statt nochmal nachzuhaken. Da beginnt dann schon der nächste Streit zu schwelen: Wer muss nachweisen, dass ein Drittstaatentransfer entgegen Art. 44 ff. DSGVO vorliegt – die Aufsichtsbehörde oder der Verantwortliche? Die Accountability lässt grüßen. Aber das ist ein anderes Thema, über das wir uns zukünftig sicher noch Gedanken machen werden.
tl:dr: Die CNIL moniert einerseits, dass Google Analytics nicht verwendet werden kann, da die IP-Adresse stets in die USA übermittelt würde. Andererseits räumt sie in ihren FAQ ein, dass sie nicht weiß, ob die IP-Adressen vor dem Transfer in die USA anonymisiert werden. Da wird die Behauptung, es läge ein rechtswidriger Drittstaatentransfers vor, doch gleich deutlich weniger belastbar.