Datenschutz, wo Sie sind – Aktuelles zur Datenübermittlung in Drittländer
Interview mit Dr. Axel Anderl
Das neue Jahr beginnt mit einer Entscheidung der österreichischen und französischen Datenschutzbehörden zu Google Analytics, die für Aufruhr sorgt. Zum aktuellen Stand der Datenübermittlung in Drittländer und um Handlungsempfehlungen für Datenschutzbeauftragte in Erfahrung zu bringen, haben wir den Datenschutzexperten Dr. Axel Anderl, Managing Partner und Leiter der Digital Industries Group bei DORDA Rechtsanwälte interviewt.
Unterschiede im Datenschutzniveau
Das Privacy Shield ist nun bereits das zweite EU-US-Abkommen zum Umgang mit Nutzerdaten, das seit 2015 scheiterte. Welche grundsätzlichen Unterschiede gibt es zwischen dem europäischen und US-amerikanischen Datenschutzniveau?
Ein wesentlicher Unterschied besteht darin, dass amerikanische Geheimdienste und Gerichte sehr umfassenden Zugang zu Daten haben, und das weltweit. Dagegen haben Betroffene in Europa keine Rechtsmittel. Ein US-Amerikaner könnte sich wehren, sofern er informiert wird, ein europäischer Bürger nicht.
Somit liegt der Kern des Problems darin, dass europäische Nutzer gegen den sehr breiten Zugriff der US-Behörden und US-Geheimdienste nicht geschützt sind.
Standardvertragsklauseln als Basis für Datenschutz
Wieviel Schutz bieten Standardvertragsklauseln, die, nach dem Scheitern des Privacy Shields im letzten Jahr, den absoluten Stillstand des transatlantischen Datentransfers verhindern konnten?
Die europäische Kommission hat klargestellt, dass nur der Abschluss der Standardvertragsklauseln, also die vertragliche Selbstbindung der Unternehmen, nicht ausreicht, um Daten zu schützen. Sie dienen lediglich als vertragliche Grundlage, die dann um zusätzliche technische und organisatorische Maßnahmen ergänzt werden muss, je nachdem wie (un)sicher der Drittstaat ist. Sie sind nicht als Ersatz von Safe Harbour oder Privacy Shield zu verstehen, wo sich US-amerikanische Unternehmen zertifizieren konnten und daher als gleichgestellt sicher galten.
Der Datenschutz-Konflikt mit Google Analytics
Mit Google Analytics wird das Nutzungsverhalten von Webseitenbesuchern analysiert, um eigene Services an sie anzupassen. Was bedeutet der Datenschutz-Konflikt nun für europäische Unternehmen die US-Dienste wie Google Analytics aktiv verwenden?
Hierbei gilt es erst einmal herauszufinden, ob personenbezogene Daten betroffen sind. Denn wenn es keine Rückführung auf personenbezogene Daten gibt, ist die Datenschutzgrundverordnung (DSGVO) nicht anwendbar. Die Datenschutzbehörde (DSB) nimmt eine sehr weite Zurechnung vor und geht aufgrund gewisser Mechanismen von einem Personenbezug aus. Ob das stimmt, ist eine technische Frage, die von einem technischen Sachverständigen zu lösen ist.
Die Büchse der Pandora ist geöffnet
Es geht aber nicht nur um Google oder Google Analytics, sondern generell um US-Provider und US-Dienste. Hier ist eine wahre Büchse der Pandora geöffnet worden und jedes Unternehmen muss prüfen, ob und welche personenbezogenen Daten übermittelt werden, wie es das verhindern oder minimieren oder durch Sicherheitsmaßnahmen absichern kann.
Derzeit besteht sehr große Nachfrage von Unternehmen, die sich überlegen müssen, ob und unter welchen Prämissen sie US-Dienstleister noch einsetzen können. Gleichzeitig führt die Entscheidung der DSB zu einem faktischen Druck auf die amerikanischen Provider weitere Maßnahmen anzubieten, um das Risiko zu minimieren.
Zudem kommt nunmehr offenbar endlich Bewegung in den transatlantischen politischen Diskurs, um das Problem auf dieser Ebene zu lösen.
Google und die DSGVO
Die Wiener Non-Profit-Organisation „none-of-your-business“ (kurz: NOYB), die sich seit 2017 für Datenschutz einsetzt, brachte eine Beschwerde gegen Google bei der österreichischen Datenschutzbehörde ein. Verstößt Google Analytics gegen die DSGVO?
Also ich würde nicht sagen, dass Google Analytics per se gegen die DSGVO verstößt. Es gibt in der Sache aus meiner Sicht sehr viele offene Rechtsfragen sowie technische Themen, die in der Instanz geklärt werden müssen.
War das bereits absehbar?
Es war absehbar, dass die europäischen Behörden einen eher strengen Zugang zu den Themen Personenbezug und transatlantischer Datenaustausch haben. Das hat sich schon durch diverse Stellungnahmen und die jüngsten Entwicklungen im Vollzug abgezeichnet. Man wird sehen, wie die Sache am Ende des Tages ausgeht, wie die Instanzen dazu entscheiden und zu welchem Ergebnis der europäische Gerichtshof gegebenenfalls kommt.
Veralteter Sachverhalt
An dieser Stelle muss man auch noch erwähnen, dass die Grundlage der Entscheidung eigentlich schon überholt ist. Die Datenübermittlung ist noch auf Basis der alten, nun überholten Standard Contractual Clauses erfolgt. Zudem ist die Datenübermittlung von der Website direkt zu Google Inc. erfolgt. Beide Aspekte waren in der Entscheidungsbegründung zentral. Mittlerweile bringt Google die neuen SCC zur Anwendung und der Datentransfer erfolgt zu Google Ireland – somit zu einer europäischen Gesellschaft. Dazu gibt es mittlerweile neue, begleitende technische Maßnahmen. Dadurch liegt ein mittlerweile doch anderer Sachverhalt vor.
Handlungsempfehlungen
Welche Handlungsempfehlungen geben Sie Datenschutzbeauftragten eines Unternehmens, das Google Analytics oder andere US-Provider verwendet?
Erst einmal gilt es zu evaluieren: Welche US-Provider verwende ich tatsächlich, welche Software-Komponenten, die mit US-Unternehmen Datenaustäusche vornehmen? Also zuerst sind die Fakten zu erheben. Zweitens ist eine Gap-Analyse durchzuführen: Wie unterscheidet sich der aktuelle Sachverhalt von dem der jüngst ergangenen Entscheidungen in Österreich und in Frankreich. Man muss sich in jedem einzelnen Fall anschauen, wie das konkrete Setting ist, welche Maßnahmen ergriffen worden sind, welche Daten überhaupt betroffen sind, ob es sich um personenbezogene Daten handelt oder nicht und welche vertraglichen Maßnahmen bestehen. Auf der Basis kann man dann eine risikobasierte Entscheidung treffen.
Vertragliche Maßnahmen können Risiken minimieren
Die Datenschutzbehörde hat mit der Entscheidung den Eindruck erweckt, als ob vertragliche Maßnahmen per se nicht ausreichen können. Ich denke, das ist in dieser Pauschalität kritisch. Vielmehr kann man durch vertragliche Maßnahmen das Risiko minimieren. So kann man mit zusätzlichen vertraglichen Maßnahmen und der Verpflichtung des Providers, mit sämtlichen verfügbaren Rechtsmitteln gegen etwaige Herausgabe-Ansprüche vorzugehen, die Datenherausgabe massiv erschweren. Das macht bei der Risikobewertung doch einen wesentlichen Unterschied im Vergleich zu einem sehr kooperativen Provider.
Daher ist aus meiner Sicht ein gesunder Mix aus rechtlichen, organisatorischen und technischen Maßnahmen wesentlich, um das Risiko der Datenherausgabe zu minimieren.