Es ist unmöglich, Google Analytics so zu konfigurieren, dass es DSGVO-konform ist, warnt Cnil

In einer Frage-und-Antwort-Sitzung, die am 7. Juni auf ihrer Website veröffentlicht wurde, schloss die Nationale Kommission für Informatik und Freiheiten (CNIL) fast alle Türen für die Verwendung von Google Analytics in Frankreich. Dieser Website-Zuschaueranalysedienst, der von der überwiegenden Mehrheit der Website-Administratoren verwendet wird, wurde im vergangenen Februar von der französischen Behörde als nicht konform mit der Allgemeinen Datenschutzverordnung (DSGVO) eingestuft. Damit trat sie in die Fußstapfen ihres österreichischen Amtskollegen.

Thema: Übermittlung personenbezogener Daten an Die vereinigten Stadtenein Land, für das die Europäische Union seit der Aufhebung des Privacy Shield durch den Gerichtshof der Europäischen Union (EuGH) im Juli 2020 keinen Angemessenheitsbeschluss mehr hat. Die Unterzeichnung einer neuen politischen Vereinbarung stellt keine neue Entscheidung dar, Cnil erklärt.

Alle relevanten Datenverantwortlichen

Diese Entscheidung hat viele Bedenken geweckt. Tatsächlich sind alle Datenverantwortlichen verpflichtet, ihre Praktiken unter Androhung der Gefahr durch die CNIL zu überprüfen. Als solches weist es darauf hin, dass sie, sobald eine förmliche Mitteilung erfolgt ist, einen Monat Zeit haben, um der Aufforderung nachzukommen, indem sie auf „Ein Dienstleister, der angemessene Garantien für die Einhaltung bietet„.

Die französische Behörde urteilt sehr entschieden, dass Google nicht so konfiguriert werden kann, dass keine personenbezogenen Daten außerhalb der Europäischen Union übermittelt werden. eigentlich, „Die Nutzung von Lösungen, die von Unternehmen in außereuropäischen Rechtsordnungen angeboten werden, kann zu Schwierigkeiten beim Datenzugriff führenWie in den Vereinigten Staaten können Technologieunternehmen wie Google von Justizbehörden gezwungen werden, Informationen über ihre Nutzer offenzulegen.

Pseudonyme, unzureichende Aktion

Die französische Behörde fügt hinzu, dass man den Einsatz von Google Analytics auch nicht damit rechtfertigen könne, dass die übermittelten Daten anonymisiert seien. Tatsächlich bietet Google Cloaking-Verfahren und keine Cloaking-Verfahren an. Der Unterschied besteht darin, dass ersteres reversibel ist. „Die alleinige Verwendung eindeutiger Identifikatoren zur Unterscheidung von Personen kann dazu beitragen, Daten identifizierbar zu machen, insbesondere wenn sie mit anderen Informationen wie Browser- und Betriebssystem-Metadaten kombiniert werden.„, stellt die Kommission fest. In diesem Fall kann die kombinierte Nutzung von Google Analytics mit anderen Google-Diensten, insbesondere Marketing, die Risiken des Trackings vergrößern.

Die gleiche Schlussfolgerung für die Verschlüsselung. Dieses Verfahren gilt als unzureichend, wenn die Daten für die behördlich unterstellte Organisation eindeutig zugänglich sind. Dies ist bei Google der Fall, da es die Verschlüsselung selbst implementiert, es verpflichtet ist, Zugang zu gewähren oder die importierten Daten in seinem Besitz bereitzustellen, einschließlich der Verschlüsselungsschlüssel, die erforderlich sind, um die Daten verständlich zu machen.

Proxy kann mit Bedingungen verwendet werden

Daher wird keine der zusätzlichen Garantien, die Cnil im Zusammenhang mit der offiziellen Mitteilung gegeben wurden, es ermöglichen, den Zugriff der Geheimdienste der Vereinigten Staaten auf die personenbezogenen Daten europäischer Nutzer zu verhindern oder ungültig zu machen, wenn das einzige Google Analytics-Tool verwendet wird. Denkbar wäre die Verwendung eines Proxys – um jede direkte Verbindung zwischen dem Endgerät des Internetnutzers und den Zählerservern zu vermeiden – was die französische Behörde verärgern würde. Aber der jeweilige Diener muss respektiert werden der Rahmen Eingerichtet vom Europäischen Datenschutzrat.

Die Nutzung von US-Diensten durch europäische Unternehmen und öffentliche Einrichtungen erscheint zunehmend gefährdet. Im vergangenen Mai forderte die CNIL Hochschulforschungseinrichtungen auf, aus Angst vor der Vertraulichkeit von Daten die Nutzung von kollaborativen Tools einzustellen, die von US-Unternehmen angeboten werden. Nadi Bo Hanna, Ministerial Digital Director, gab seinerseits bekannt, dass das Angebot von Microsoft 365 (früher bekannt als Office 365) nicht mit dem „Cloud in the Middle“-Prinzip der Regierung vereinbar sei.

Französisch-amerikanische Lizenzen … die Wunderlösung?

Diese Situation zwingt Unternehmen und öffentliche Einrichtungen dazu, auf Lösungen umzusteigen, die von französischen oder europäischen Akteuren vermarktet werden. Eine weitere Möglichkeit: Zukünftige Lizenzen werden an ähnliche amerikanische Großunternehmen vergeben Thales Und Google oder Microsoft und Orange. Sie müssen laut Regierung die Daten vor US-Gesetzen schützen. Wieder einmal gibt es Raum für Zweifel.

Auf Nachfrage von L’Usine Digitale räumte der ehemalige Außenminister Cédric O ein, dass die rechtlich-technische Situation besonders komplex sei, weigerte sich jedoch, Unternehmen zu verpflichten, ausschließlich an französische Spieler zu gehen. „Es ist Sache der großen französischen Konzerne, zwischen OVHcloud und Outscale zu wählen oder ein Joint Venture zwischen Microsoft, Capgemini und Orange einzugehen, es ist ihre Entscheidung.‚, er argumentierte.

HINTERLASSEN SIE EINE ANTWORT

Please enter your comment!
Please enter your name here