EU-Datenschutzbehörden: Implementierung von Google Analytics verstösst gegen DSGVO

Allgemeine Einordnung und Hintergründe

Den Stein ins Rollen brachte der Teilbescheid der österreichischen Datenschutzbehörde (DSB) vom 22. Dezember 2021 (D.155.027, 2021-0.586.257). Dieser erging als Reaktion auf eine Beschwerde, welche durch die NGO none of your Business (NOYB), mit Max Schrems als Vorstandsvorsitzenderm stellvertretend eingereicht wurde. Die Beschwerde an die DSB war eine von insgesamt 101 im Nachgang zum Schrems II Urteil des EuGH in ganz Europa durch NOYB eingereichten Musterbeschwerden (vgl. dazu MLL-News vom 05.10.2020). Die Beschwerde richtete sich zum einen gegen einen österreichischen Verlag, der auf seiner Website das Tool «Google Analytics» integriert hatte, zum anderen gegen Google LLC (USA) selbst. Der Beschwerdeführer hatte die Website des Verlages besucht, wobei er während des Besuchs in sein Google-Account, verknüpft mit seiner E-Mail-Adresse, eingeloggt gewesen war. Im Verlauf dieses Besuchs kam es zu einer Verarbeitung der IP-Adresse und Cookie-Daten, wobei – als Folge der Implementierung von Google Analytics – einige dieser Daten an Google übermittelt wurden. Mit der Beschwerde wurde insbesondere eine Verletzung der allgemeinen Grundsätze der Datenübermittlung in Drittstatten gerügt (vgl. Art. 44 DSGVO). In einem Parallelverfahren mit praktisch deckungsgleicher Ausgangslage doppelte die DSB mit dem Teilbescheid vom 22. April 2022 (verfügbar gemacht durch NOYB) nach.

Die Beschwerden gegen Google selbst wies die DSB indes in beiden Fällen ab. Von der DSB in beiden Teilbescheiden jeweils (noch) nicht beurteilt wurden die Verhängung einer Busse sowie weitere, mögliche Verstösse gegen die Bestimmungen der DSGVO durch Google.

In der Sache gleich entschieden haben auch die CNIL (Entscheid vom 10. Februar 2022) und der GPDP (Entscheid vom 9. Juni 2022). Dies jeweils ebenfalls auf Musterbeschwerden von NOYB hin. Zwecks Veranschaulichung der Argumentation fokussiert die nachfolgende Analyse auf die Teilbescheide der DSB. Die diesbezüglichen Ausführungen stehen jedoch exemplarisch für die im Wesentlichen gleichlautenden Entscheide der anderen genannten europäischen Datenschutzbehörden.

Google Analytics Kennnummern als «personenbezogene Daten»

Die DSB setzte sich in den beiden Entscheiden in einem ersten Schritt jeweils damit auseinander, ob es sich bei den vom Browser des Website-Besuchers an die Server von Google übermittelten Informationen überhaupt um personenbezogene Daten im Sinne der DSGVO handelt. Übermittelt wurden zum einen einzigartige von Google vergebene Online-Kennungen («unique identifier»), die sowohl den Browser bzw. das Gerät des Website-Besuchers als auch des Website-Betreibers (durch die Google Analytics Account ID) identifizieren. Weiter wurden Informationen zu der besuchten Website, Informationen zum Browser, Betriebssystem etc. des Beschwerdeführers sowie die IP-Adresse des vom Beschwerdeführer verwendeten Geräts übermittelt.

Ausgehend von der in der DSGVO enthaltenen Legaldefinition, wonach unter personenbezogenen Daten alle Informationen zu verstehen sind, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, kommt die DSB im Hinblick auf die Google Analytics spezifischen und einzigartigen Kennnummern zum Schluss, dass es sich dabei um personenbezogene Daten in Form der Online-Kennung handle.

Nach Auffassung des DSB ist für die Annahme der Identifizierbarkeit einer natürlichen Person und der damit einhergehenden Qualifikation als personenbezogene Daten nicht vorausgesetzt, dass solche Kennnummern auch mit einem bestimmten «Gesicht» einer natürlichen Person – also insbesondere deren Namen – in Verbindung gebracht werden können. Vielmehr sei in Bezug auf die Identifizierbarkeit einer natürlichen Person ausreichend, dass vom Verantwortlichen Mittel – wie etwa das Aussondern (oder Singularisieren / englisch «singling out») – genutzt werden, um natürliche Personen direkt oder indirekt zu identifizieren (vgl. Erwägungsgrund 26 DSGVO). Die DSB führt dazu aus, dass gerade der Einsatz von Google Analytics und den entsprechend generierten Kennnummern eine Unterscheidung von Website-Besuchern ermögliche, die vor dieser Zuordnung so nicht möglich war. Eine derartige Individualisierung von Website-Besuchern durch Zuordnung entsprechender Kennnummern, sprich ein Aussondern, sei für die Herstellung eines Personenbezugs eines Datums ausreichend.

Diesbezüglich verweist die DSB weiter auf die in der Literatur ausdrücklich vertretene Auffassung, dass bereits ein digitaler Fussabdruck, der es erlaubt, Geräte und in der Folge den konkreten Nutzer eindeutig zu individualisieren, ein personenbezogenes Datum darstelle. Diese Überlegung könne sodann aufgrund der Einzigartigkeit der Google Analytics Kennnummern auf den zu beurteilenden Fall übertragen werden, weshalb Google Analytics Kennnummern bereits als Personendatum angesehen werden können.

Bezüglich dieser Einschätzung schiebt die DSB nach, dass spätestens durch die Kombination der Kennnummern mit weiteren Elementen, wie Browserdaten oder IP-Adresse, von personenbezogenen Daten – und damit der Anwendbarkeit der DSGVO – auszugehen ist. Die DSB begründet dies damit, dass bei der Verknüpfung der Kennnummern mit weiteren Elementen die Identifizierung umso wahrscheinlicher werde, da der jeweilige Website-Besucher dadurch einen noch einzigartigeren digitalen Fussabdruck erhalte. Im Zusammenhang mit IP-Adressen merkte die DSB zudem an, dass diese gemäss Rechtsprechung des EuGH bereits für sich alleine gesehen ein personenbezogenes Datum darstellen können (vgl. MLL-News vom 26.10.2016).

In Bezug auf die Verwendung der Anonymisierungsfunktion von Google, mit welcher die IP-Adresse maskiert wird («IP-Anonymisierung»), hielt die DSB im Teilbescheid vom 22. April 2022 zudem fest, dass diese Funktion keinen effektiven Schutz biete, da die vollständige IP-Adresse jedenfalls für einen kurzen Zeitraum auf Servern von Google bearbeitet würde. Im Teilbescheid vom 22. Dezember 2021 liess die DSB diese Frage noch offen, da die Anonymisierungsfunktion im konkreten Fall vom Website-Betreiber nicht korrekt implementiert wurde.

Die DSB verweist im Weiteren darauf, dass ein Ausschluss der Anwendbarkeit der DSGVO auf die mit dem Google Analytics Tool zusammenhängende Datenverarbeitung nicht mit dem Grundrecht auf Datenschutz (gem. Art. 8 EU-Grundrechtecharta) zu vereinbaren wäre, weil es gerade wesentlicher Bestandteil des Konzepts von Google Analytics sei, auf möglichst vielen Websites implementiert zu werden, um Informationen zu Website-Besuchern zu sammeln.

Rückführbarkeit zum «Gesicht» des Beschwerdeführers mittels Google-Account

In der Folge ergänzte die DSB eine Eventualbegründung für den Fall der Ablehnung des Konzepts der Singularisierung. Selbst in diesem Fall kommt die DSB zum Schluss, dass eine ausreichende Zuordnung bzw. Identifizierbarkeit in der zu beurteilenden Konstellation jedenfalls über den Google-Account des Beschwerdeführers erfolgen kann. Über das Login im Google-Account zum Zeitpunkt des Website-Besuchs – was nicht bei jedem Website-Besucher zwingend der Fall sein muss – sei eine klare Identifizierung des Website-Besuchers / Beschwerdeführers möglich. Nicht erforderlich sei dabei die alleinige Herstellung eines Personenbezugs, etwa durch den Verantwortlichen. Vielmehr sei es ausreichend, dass irgendjemand diesen Personenbezug – mit rechtlich zulässigen Mitteln und vertretbarem Aufwand – herstellen könne. Die DSB spricht sich in den beiden Entscheiden für eine weite Auslegung des Begriffs des personenbezogenen Datums in der DSGVO aus, macht aber insofern eine Einschränkung, als dass es den Begriff «irgendjemand» nicht auf unbekannte Akteure mit theoretischem Spezialwissen ausgeweitet haben möchte. Eine solche Auslegung würde dazu führen, dass beinahe jede Information als personenbezogenes Datum gemäss DSGVO zu qualifizieren wäre, was die Abgrenzung zu nicht-personenbezogenen Daten nur erschweren oder gar verunmöglichen würde. Im vorliegenden Fall seien aber mit Google und den US-Nachrichtendiensten bestimmte und bekannte Akteure im Besitz von Spezialwissen vorhanden, welche einen Personenbezug zum Website-Besucher herstellen und diesen identifizieren könnten.

Kein angemessenes Schutzniveau für Datenübermittlung in die USA

Da die in die USA übermittelten Daten von der DSB als personenbezogene Daten qualifiziert wurden, war die Einhaltung der Vorgaben der DSGVO zu überprüfen. Diese verlangt bei der Datenübermittlung an ein Drittland die Sicherstellung eines angemessenen Schutzniveaus (Art. 44 DSGVO).

Als erstes Instrument zur Sicherstellung eines angemessenen Schutzniveaus kommt grundsätzlich eine Datenübertragung auf der Grundlage eines Angemessenheitsbeschlusses in Frage. Ein solcher fehlt aber für die USA und das Datenschutzniveau in den USA gilt als unangemessen. Folglich braucht es für Datenübermittlungen in die USA zusätzliche Massnahmen. Seit den Grundsatzurteilen des Europäischen Gerichtshofs (EuGH) zählt das sog. «Privacy Shield» nicht mehr dazu (vgl. MLL-News vom 5.10.2020 zum Fall «Schrems II»).

Vorliegend haben der Website-Betreiber und Google Standardvertragsklauseln für die Übermittlung von personenbezogenen Daten abgeschlossen – es handelte sich dabei noch nicht um die revidierten Standardvertragsklauseln. Der EuGH hat jedoch in seinem»Schrems II»-Urteil bekräftigt, dass solche Standardvertragsklauseln allein nicht genügen. Es bedarf zusätzlicher Massnahmen, um ein ausreichendes Schutzniveau zu gewährleisten (zu den entsprechenden Empfehlungen des EDSA zu den zusätzlichen Massnahmen siehe MLL-News vom 12.08.2021). Vorliegend wurden auf Seiten von Google zusätzliche Massnahmen – sowohl vertraglicher und organisatorischer als auch technischer Art – ergriffen. Sämtliche dieser Massnahmen wurden von der DSB jedoch als nicht effektiv und unzureichend eingestuft, um die vorhandenen Rechtslücken, namentlich die Zugriffs- und Überwachungsmöglichkeiten von US-Nachrichtendiensten, zu schliessen.

Konkret sei in Bezug auf die dargelegten vertraglichen und organisatorischen Massnahmen nicht erkennbar, inwiefern eine Benachrichtigung der betroffenen Person über Datenanfragen, die Veröffentlichung eines Transparenzberichts oder eine „Richtlinie für den Umgang mit Regierungsanfragen“ effektive Massnahmen darstellen sollten. Die DSB hält fest, dass nicht ersichtlich ist, inwiefern eine vertragliche Vereinbarung zwischen zwei privaten Parteien die nach US-Recht zulässigen Datenanfrage von US-Nachrichtendiensten verhindern sollen. Entsprechend sind sie für den Schutz des Grundrechts auf Datenschutz in der EU grundsätzlich ungeeignet.

Vor diesem Hintergrund befand die DSB auch die von den Beschwerdegegnern ergriffenen technischen Massnahmen für nicht effektiv. Es sei nicht erkennbar inwiefern der Schutz der Kommunikation zwischen Google-Diensten, der Schutz von Daten im Transit zwischen Rechenzentren, der Schutz der Kommunikation zwischen Nutzern und Websites oder eine „On-Site-Security“ die Zugriffsmöglichkeiten von US-Nachrichtendiensten auf der Grundlage des US-Rechts tatsächlich verhindern oder einschränken. Auch der Verweis auf die Verwendung von Verschlüsselung von Daten im Ruhezustand seitens von Google vermag keinen effektiven Schutz vor dem Zugriff durch US-Nachrichtendienste zu gewährleisten, da das Zugriffsrecht letzterer sich gemäss einschlägigem US-Recht explizit auch auf kryptografische Schlüssel erstreckt. Solange Google dabei selbst die Möglichkeit habe, auf Daten im Klartext zuzugreifen, seien die angeführten technischen Massnahmen als nicht effektiv zu betrachten.

Die DSB macht in den beiden Entscheiden klar, dass ein risikobasierter Ansatz („je grösser die Wahrscheinlichkeit eines behördlichen Zugriffs, desto mehr Maßnahmen sind zu implementieren“) auf die Datenübermittlung in Drittstaaten keine Anwendung finde. Ein solcher risikobasierter Ansatz könne aus dem Wortlaut von Art. 44 DSGVO nicht abgeleitet werden. Vielmehr liege demnach bereits dann eine Verletzung der Bestimmung vor, wenn personenbezogene Daten in ein Drittland ohne Gewährleistung eines entsprechenden Datenschutzniveaus übermittelt werden. Im Zusammenhang mit jenen Vorgaben der DSGVO, wo tatsächlich ein risikobasierter Ansatz zu verfolgen ist, habe der Verordnungsgeber dies auch ausdrücklich und unzweifelhaft normiert (so z.B. in Bezug auf die Vorschriften zu Privacy-By-Design/Default oder zur Datensicherheit). Im Ergebnis kommt deshalb der DSB zum Schluss, dass sich ein risikobasierter Ansatz hinsichtlich der Datenübermittlung in Drittstaaten weder aus dem Schrems II-Urteil des EuGH noch aus dem Durchführungsbeschluss über die revidierten Standartschutzklauseln der EU Kommission ableiten lässt (vgl. dazu auch MLL-News vom 20.06.2021). Entsprechend sei die Frage der Wahrscheinlichkeit des Zugriffs durch US-Behörden irrelevant.

Schliesslich befand die DSB, dass sich die Datenübermittlung in den beiden zu beurteilenden Fällen auch nicht auf eine Ausnahme, insbesondere eine Einwilligung seitens des Beschwerdeführers, stützen liesse.

Zusammenfassend kam die DSB jeweils zum Schluss, dass für die gegenständliche Datenübermittlung der Website-Betreiber an Google kein angemessenes Schutzniveau gewährleistet wurde. Die aufgrund der Implementierung von Google Analytics erfolgte Datenübermittlung in die USA stellte folglich eine Verletzung von Art. 44 DSGVO durch die Website-Betreiber dar.

Koordination unter den einzelnen EU-Datenschutzbehörden

Wie oben erwähnt, haben neben dem DSB auch die französische Datenschutzbehörde (CNIL: Entscheid vom 10. Februar 2022) und die italienische Datenschutzbehörde (GPDP: Entscheid vom 9. Juni 2022) über Musterbeschwerden von NOYB entschieden. In ihren Entscheiden gelangten beide Behörden zum selben Ergebnis wie die DSB: Die Google Analytics Kennnummern seien als personenbezogene Daten zu qualifizieren und die Übermittlung dieser Daten in die USA verstosse gegen die DSGVO.

Angesichts der Koordination zwischen den europäischen Datenschutzbehörden in Bezug auf die Behandlung der von NOYB eingereichten 101 Musterbeschwerden ist es wenig erstaunlich, dass die Entscheidungen im Ergebnis gleich lauten. In naher Zukunft sind weitere Entscheidungen von europäischen Datenschutzbehörden bezüglich der Verwendung von Google Analytics zu erwarten. Die allgemeine Stossrichtung hinsichtlich der zu adaptierenden Praxis in den einzelnen Mitgliedsstaaten ist jedoch anhand der veröffentlichten Entscheide der DSB, der CNIL und des GPDP deutlich erkennbar. Es sei an dieser Stelle erwähnt, dass einige europäische Datenschutzbehörden nicht auf die Musterbeschwerden der NOYB eingetreten sind bzw. diese abgewiesen haben; dies jeweils mit der Begründung, dass Google Analytics nach Beschwerdeeingang von der jeweiligen Website entfernt wurde. Eine abweichende inhaltliche Beurteilung ergibt sich daraus somit nicht.

Einordnung der Entscheide unter der DSGVO und Konsequenzen für die Praxis

Neben dem viel diskutierten Aspekt der Datenübermittlungen in die USA sind die Entscheide vor allem mit Blick auf das Konzept der Singularisierung von grosser Bedeutung. Es geht also um die Frage, ob es für das Vorliegen von personenbezogenen Daten und die Anwendung der DSGVO tatsächlich bereits genügen soll, wenn eine Person anhand von Geräte- oder anderen Kennnummern aus der Masse ausgesondert werden kann. Diese Frage ist besonders kontrovers, was sich auch darin zeigt, dass die DSB eine Alternativbegründung, die nicht auf diesem Konzept basiert, angefügt hat. Auch wenn man das Konzept (richtigerweise) ablehnt, zeigen die Verfahren, dass beim Einsatz von Google Analytics – auch nach einer Beurteilung gestützt auf die weiteren (richtigen) Kriterien – personenbezogene Daten verarbeitet werden dürften. Website-Betreiber sollten jedenfalls vom Vorliegen personenbezogener Daten und damit der Anwendbarkeit der DSGVO ausgehen.

In Bezug auf die Vorgaben der DSGVO zur Datenübermittlung in Drittstaaten kann in den Entscheidungen die konsequente Umsetzung des Schrems II Urteils sowie der danach erlassenen EDSA-Empfehlungen in die Praxis gesehen werden. Geht man vom Vorliegen von personenbezogenen Daten aus, ist der Einsatz von Google Analytics und die damit einhergehende Datenübermittlung in die USA praktisch kaum noch mit den Vorgaben der DSGVO in Einklang zu bringen. Eine hinreichende Gewährleistung eines angemessenen Datenschutzniveaus im Sinne der aktuellen Praxis wäre wohl nur noch in Konstellationen denkbar, in welchen eine behördensichere Verschlüsselung ermöglicht würde. Dies stellt jedoch keinen Lösungsansatz dar, wenn der Datenempfänger Zugriff auf die Daten im Klartext haben soll bzw. muss. Letzteres ist aber gerade bei der aktuellen Version von Google Analytics der Fall. Damit ist insgesamt nicht ersichtlich, wie für EU-Unternehmen die Verwendung von Google Analytics im Einklang mit der Praxis der EU-Datenschutzbehörden möglich sein soll.

Als Folge dieser Entscheide der EU-Datenschutzbehörden verstärkt sich die Einschätzung, dass der Einsatz von Google Analytics in seiner aktuellen Form mit erheblichen Risiken behaftet ist. Bis zu einer höchstrichterlichen Klärung sollten Website-Betreiber deshalb sorgfältig prüfen, inwieweit diese Risiken in Kauf genommen oder ob alternative Dienste (ohne Datenübermittlung in die USA) genutzt werden sollen. Ansonsten setzen sich die EU-Unternehmen oder auch Schweizer Unternehmen, die in den Anwendungsbereich der DSGVO fallen (vgl. dazu MLL News vom 19.12.2019), dem Risiko entsprechender Sanktionierungen aus, da letztlich die Website-Betreiber (und nicht nur Google) für den Schutz der personenbezogenen Daten ihrer Nutzer verantwortlich gemacht werden können.

In der Zwischenzeit hat Google mit Google Analytics 4 eine neue Version eingeführt. Die Vorgängerversion wird ab dem 1. Juli 2023 eingestellt. Es ist allerdings fraglich, ob sich mit der neu eingeführten Version an der rechtlichen Einschätzung bezüglich der datenschutzrechtlichen Konformität des Tools etwas ändert. Auch wenn Google Analytics 4 unbestritten neue datenschutzfreundliche Funktionalitäten beinhaltet, bestehen Zweifel in Bezug auf die entscheidende Frage, ob mit der Implementierung der erneuerten Version die Bekanntgabe von personenbezogenen Daten in die USA tatsächlich unterbunden werden kann. Es gilt die mit der Einführung von Google Analytics 4 einhergehenden Neuerungen einer sorgfältigen Analyse zu unterziehen.

Blick auf die Rechtslage in der Schweiz und Konsequenzen für Schweizer Website-Betreiber

Ob die Auffassung der europäischen Datenschutzbehörden zur Qualifikation der Google Analytics Kennnummern auch vom Eidg. Datenschutzbeauftragten (EDÖB) geteilt werden würde, lässt sich derzeit nicht abschliessend beurteilen. Der EDÖB hat hierzu noch keine Entscheidungen gefällt. Sofern diese Kennnummern jedoch mit weiteren Daten kombiniert werden, so dürfte es als wahrscheinlich gelten, dass der EDÖB von Personendaten und der Anwendbarkeit des DSG ausgeht. Dies gilt insbesondere auch vor dem Hintergrund, dass IP-Adressen vom EDÖB in der Vergangenheit als Personendaten qualifiziert wurden. Das Bundesgericht hat in seinem Logistep-Urteil aus 2010 zur Frage des Personenbezugs von IP-Adressen einen deutlich differenziertere Haltung. So soll im Einzelfall zu prüfen sein, ob die Voraussetzungen eines Personenbezugs im konkreten Fall vorliegen – eine rein theoretische Identifizierbarkeit soll gerade nicht ausreichen. Es müsse an der Identifizierung ein Interesse bestehen und diese müsse mit zumutbaren Mitteln auch möglich sein (vgl. MLL-News vom 5.12.2010). Dieser bundesgerichtlichen Praxis ist denn der Gesetzgeber in seiner Botschaft zum revidierten DSG gefolgt und definiert die Identifizierbarkeit von IP Adressen im Einklang mit dem Logistep-Urteil.

Sofern aber auch unter dem DSG im Falle der mittels Google Analytics gesammelten Daten von Personendaten ausgegangen werden kann und diese Personendaten an Google übermittelt werden, so ist es wiederum sehr wahrscheinlich, dass eine solche Datenübermittlung auch unter den Bestimmungen des DSG als unrechtmässig beurteilt würde. In der Sache zeigt sich der EDÖB – wie seine europäischen Pendants – in Bezug auf Datenübermittlungen in Länder ohne angemessenes Datenschutzniveau streng. Nötig wären auch hier in vielen Konstellationen zusätzliche wirksame Massnahmen z.B. in Form einer behördensicheren Verschlüsselung. Diese ist gemäss dem heutigen Stand der Technik nicht nur anspruchsvoll, sondern eben keine Lösung, wenn der Datenempfänger Zugriff auf die Daten im Klartext haben soll (weitere Hinweise dazu MLL-News vom 07.11.2021).

Mit Blick auf die strengen Anforderungen der Datenschutzbehörden an die Wirksamkeit der zusätzlichen Massnahmen ist nicht ersichtlich, wie ein Datentransfer in die USA aktuell rechtmässig ausgestaltet werden könnte. Urteile höherer Instanzen liegen noch keine vor. Website-Betreiber müssen jedoch abwägen, ob sie sich auf einen solchen Instanzenweg einlassen möchten. Diese rechtliche Ausgangslage ist absolut unbefriedigend. Sie lässt sich aber unseres Erachtens nur politisch lösen – indem die USA den Rechtsmittelweg gegen behördliche Datenzugriffe für Personen ohne Wohnsitz in den USA öffnen – der eigentliche Kernvorwurf in Schrems II.

Insgesamt sollten deshalb auch Schweizer Webseiten-Betreiber, sofern sie nicht ohnehin auch in den Anwendungsbereich der DSGVO fallen, die Verwendung von Google Analytics einer genauen Prüfung unterziehen und sich gegebenenfalls nach geeigneten Alternativen umsehen. Dies gilt umso mehr als mit der Revision des DSG, ab dem 1. September 2023, eine Verschärfung der Sanktionsmöglichkeiten im Falle von Verstössen gegen das Datenschutzrecht einhergeht (vgl. dazu MLL-News vom 10.03.2022 und MLL-News vom 19.10.2020). Ohne eine politische Lösung, wie vorangehend erwähnt, werden Website-Betreiber beim Entscheid für oder gegen den Einsatz von Google Analytics (leider) nicht um einen Risikoentscheid herumkommen.

Weitere Informationen:

• Österreichische Datenschutzbehörde (DSB): Teilbescheid vom 22. Dezember 2021 (D.155.027, 2021-0.586.257)
• Französische Datenschutzbehörde (CNIL): Entscheid vom 10. Februar 2022 (keine Fallnummer)
• Italienische Datenschutzbehörde (GPDP): Entscheid (italienisch) vom 9. Juni 2022 (n. 9782890)
• Italienische Datenschutzbehörde (GPDP): Pressemitteilung (englisch) vom 23. Juni 2022
• MLL-News vom 5.10.2020: EuGH: Privacy Shield ist ungültig, höhere Anforderungen an den Einsatz von Standardvertragsklauseln – Schrems II
• MLL-News vom 05.10.2020: EDÖB: Stellungnahme zu Datentransfers in die USA und weitere Staaten ohne angemessenes Datenschutzniveau
• MLL-News vom 20.06.2021: Datentransfer in Drittstaaten nach Schrems II: EU-Kommission verabschiedet revidierte Standardvertragsklauseln
• MLL-News vom 12.08.2021: Datentransfer in Drittstaaten nach Schrems II: finale Empfehlungen des EDSA zu zusätzlichen Massnahmen
• MLL-News vom 07.11.2021: EDÖB: aktualisierter Leitfaden für die Datenübermittlung ins Ausland und Anerkennung revidierter Standardvertragsklauseln
• Verordnung (EU) 2016/679 vom 27. April 2016, Datenschutz-Grundverordnung (DSGVO)
• Charta der Grundrechte der europäischen Union (2010/C 83/02), EU-Grundrechtecharta
• Empfehlungen 01/2020 zu Maßnahmen zur Ergänzung von Übermittlungstools zur Gewährleistung des unionsrechtlichen Schutzniveaus für personenbezogene Daten