Update zur 101 Taskforce zu 101 Beschwerden von NOYB

27. April 2023

Viele Webseiten setzen zur Analyse und Auswertung von Besuchern auf den eigenen Websites Webtracking Tools sowie andere Dienste ein, die von US amerikanischen Unternehmen u.a. Google und Meta, zur Verfügung gestellt werden. Übermittlungen personenbezogener Daten in die USA sind bereits seit vielen Jahren aus Sicht des Datenschutzes nur mit Risiken umzusetzen. Nach einer Entscheidung des Europäischen Gerichtshofes zu US-Datentransfers im Jahre 2020 hat NOYB 101 Beschwerden bei verschiedenen europäischen Datenschutzaufsichtsbehörden eingereicht. Während die Verfahren bei den einzelnen Behörden noch nicht abgeschlossen sind, möchte fritzlaw-der Datenschutz Blog mit diesem Artikel über eine Stellungnahme in dieser Sache berichten.

Um welche Tools geht es in den Beschwerden?

Google Analytics ist ein Webtracker, also ein Analysetool, die auf Webseiten eingesetzt werden um z.B. die Besucher zu zählen, zu beobachten, wie sich Besucher auf einer Website bewegen und wann sie die Seiten wieder verlassen. Google Analytics ist seit Jahren ein beliebtes Webtrackingtool auf dem Markt, was nach Ansicht der Autorin sowohl daran liegt, dass die Kosten günstig sind, so wie sich auch viele Marketingleute mit dem Tool auskennen.

Facebook Connect ist ein Tool, mit welchem sich der User den Anmeldeprozess auf der Website ersparen kann, in welchem er sich über Facebook anmeldet und seine Daten (und seine entsprechende Anmeldung auf der entsprechenden Website teilt. Für den User (der einen Facebook Account besitzt) ergibt sich in dem Fall eine vereinfachte Anmeldemöglichkeit für den gewünschten Dienst, da die von ihm zuvor bereits mit Facebook geteilten Daten über einen Connect Button mit dem jeweiligen Websitebetreiber geteilt werden und der User sich insoweit sparen kann, nochmals seine Daten einzugeben.

Was ist NOYB und was ist 2020 geschehen?

NOYB – None of your business ist eine Non Governmental Organisation (NGO) mit Sitz in Wien, die sich der Durchsetzung des Datenschutzes in der Europäischen Union verschrieben hat. Im Jahr 2020 hat NOYB insgesamt 101 Beschwerden bei verschiedenen Aufsichtsbehörden hinsichtlich der Nutzung von Google Analytics und Facebook Business Tools auf europäischen Websites eingereicht.

NOYB hat seine Beschwerden zeitlich wenige Wochen nach dem Wegfall des EU-US-Privacy Shield Abkommens eingereicht. Durch den Wegfall des Privacy Shield Abkommens mussten sämtliche Datentransfers auf eine neue rechtliche Grundlage gestützt werden. Der EuGH hatte zu diesem Zeitpunkt geurteilt, dass Datentransfers in die USA aufgrund der Besonderheiten der US Ermittlungsgesetze zu Diensten Zeitpunkt nicht datenschutzkonform durchgeführt werden konnten. Entsprechend wurde seitens NOYB erwartet, dass die Tools von den Websitenbetreibern offline gestellt werden, damit die Datenschutzgrundverordnung vollumfassend gewahrt wird. Dies wurde in 101 Beschwerden verarbeitet.

Der Europäische Datenschutzausschuss (EDPB) hat, um die gemeinsame Haltung der Aufsichtsbehörden zu fördern, eine Taskforce eingerichtet, um die verschiedenen Meinungen der Aufsichtsbehörden zu vereinheitlichen.

Was steckt rechtlich dahinter?

Personenbezogene Daten aus der EU dürfen nur unter bestimmten Voraussetzungen in die USA übermittelt werden. Neben einer allgemeinen Zulässigkeit der Datenverarbeitung nach der DSGVO, TTDSG und BDSG müssen zusätzlich die besonderen Anforderungen der Art 45 DSGVO erfüllt werden. Art 45 ff DSGVO beschreiben insoweit zusätzliche Voraussetzungen, die für die einzelnen Datenübermittlungen erfüllt werden müssen, damit ein Transfer personenbezogener Daten in ein Land außerhalb der EU dasselbe Schutzniveau wie ein Datentransfer innerhalb der europäischen Union hat. Dies bedeutet, dass die Daten europäischer Bürger nur dann ins Ausland gesendet werden dürfen, wenn derjenige, der den Datentransfer auslöst sich zuvor darum gekümmert hat, dass die Daten ebenso wie in der Europäischen Union geschützt werden.

Welche Standpunkte wurden nun von der 101 Taskforce veröffentlicht?

Die 101 Taskforce hat die folgenden Punkte über den Europäischen Datenschutzausschuss veröffentlicht:

  • Zunächst wird festgestellt, dass eine allgemeine Verarbeitung durch die entsprechenden Tools nur zulässig sein kann, wenn die Verarbeitung an sich (zunächst ohne den Datentransfer überhaupt zu beachten) durch Art. 6 DSGVO gerechtfertigt sein muss.
  • Das Privacy Shield, das am 16.07.23 für unwirksam gefunden wurde darf nicht mehr als Schutzmechanismus für eine Datenübermittlung in die USA verwendet werden. Soweit die Datentransfers zum Zeitpunkt der Beschwerde auf das Privacy Shield gestützt wurden, können diese nicht mehr rückwirkend durch Standardvertragsklauseln geheilt werden.
  • Verschlüsselung ist keine geeignete Maßnahme zum Schutz personenbezogener Daten, wenn der Anbieter gesetzlich zur Herausgabe des Schlüssels an die entsprechenden Behörden verpflichtet ist.
  • Anonymisierung ist nur dann eine geeignete Maßnahme, wenn die Verschlüsselung bereits vor der Übertragung in das Drittland durchgeführt wird und nicht im Drittland.

Nach Auffassung der 101 Taskforce ist nicht nur ein Auftragsverarbeitungsnehmer, der in eigener Beauftragung personenbezogene Daten im Drittland verarbeiten lässt für den entsprechenden Transfer verantwortlich, sondern daneben auch der Verantwortliche. Beide können entsprechend der DSGVO haftbar gemacht werden.

Was müssen Nutzer der Softwareprodukte beachten?

Nutzer der genannten Tools sollten sich der datenschutzrechtlichen Risiken, die sie eingehen, wenn sie die Tools benutzen, bewusst sein. Jedenfalls ist zu empfehlen, die notwendigen Standardvertragsklauseln mit Meta und/oder Google abzuschließen und zu beobachten, wie sich die Meinung der Aufsichtsbehörden zu den Tools entwickelt.

Rechenschaftsverpflichtung nach Art 5 Abs. 2 DSGVO

Soweit die Tools eingesetzt werden, ist den Verantwortlichen zu raten, sich ein umfassendes Bild zu machen, welche Übermittlungen stattfinden und wie diese Übermittlungen zu rechtfertigen sind. Sonst droht ein Verstoß nach der Rechenschaftsverpflichtung nach Art 5 Abs. 2 DSGVO.

Wie geht es weiter?

Die Aufsichtsbehörden werden sich entsprechend der erreichten gemeinsamen Standpunkte nun mit den Beschwerden befassen und ihre Entscheidungen beizeiten veröffentlichen. Fritzlaw- der Datenschutz-Blog wird wieder berichten.

Kontakt

Sie möchten meine Expertise?
Kontaktieren Sie mich unter + 49 173 327 55 75 oder alma@fritzlaw.de .

Datenschützerin

Ich freue mich auf Ihre Nachricht!