Dieser Beitrag beleuchtet die Folgen des Schrems-II-Urteil insbesondere bei dem Einsatz von außereuropäischen Tracking-Tools wie Google Analytics. Zusätzliche Brisanz ergibt sich hierbei aus der Ankündigung der Aufsichtsbehörden, eine bundesweit angelegte Kontrolle von Tracking-Diensten auf Websites durchzuführen.
Der Inhalt im Überblick
Welche Bedeutung hat das EuGH-Urteil Schrems II?
Grundsätzlich besteht die Wirkung dieses Urteils nur zwischen den betroffenen Parteien, nämlich für das vorlegende irische Gericht und den EuGH. Tatsächlich strahlt es jedoch Bindungswirkung für alle Mitgliedstaaten respektive deren Gerichte und Behörden aus.
Übermittlung in die USA
Das Urteil betrifft alle Behörden, Gerichte und Unternehmen, die Daten in die USA übermitteln und zwar eigentlich nicht nur dann, wenn hierfür die Auftragsverarbeitung auf das Privacy-Shield gestützt wurde. Letztendlich betrifft es auch den Datentransfer, der im Wege der Standardvertragsklausel (SCC´s) erfolgt. Denn auch bei deren Verwendung muss berücksichtigt werden, dass diese allein noch nicht das Schutzniveau im Empfängerland der Daten garantieren, dass in der EU herrscht. Der Datenexporteur ist aufgrund des Urteils gehalten, das dort bestehende Rechtssystem darauf zu prüfen, ob dies ein adäquates Schutzniveau bietet und dem Betroffenen durchsetzbare Rechte einräumt. Diese Prüfung ist schwierig genug, da nicht jedes Unternehmen über eine Rechtsabteilung verfügt und auch diese nicht zweifelsfrei fremde Rechtssysteme kennt bzw. prüfen kann.
Kann kein adäquates Schutzniveau zweifelsfrei im Empfängerland vorausgesetzt werden, dann muss der Datenübermittler mit anderen Maßnahmen vor der Datenübermittlung den Schutz der Betroffenenrechte, wie dies der DSGVO entspricht, sicherstellen. Hierbei kann die Verschlüsselung helfen, solange der Datenexporteur den Schlüssel behält oder die Pseudonymisierung, wenn auch hier die Liste für die Reidentifikation beim Datenexporteuer verbleibt. Machbar ist auch weiterhin die Anonymisierung, wobei hier darauf zu achten ist, dass tatsächlich eine Anonymisierung vorliegt. Hier divergieren die Vorstellungen, die Praktiker von der Anonymisierung haben, oftmals von denen der Aufsichtsbehörden.
Übermittlung in Drittländer ohne Angemessenheitsbeschluss
Würde man die Wirkung dieses Urteils nur auf die Unternehmen beziehen, die mit den USA Datenverkehr haben, würde man zu kurz springen. Letztendlich betrifft das Urteil alle Unternehmen, die Daten in ein Land außerhalb der EU und den EWR übermitteln und für das kein Angemessenheitsbeschluss gem. Art. 45 Abs. 3 DSGVO der EU vorliegt. In diesen Ländern muss ab sofort grundsätzlich geprüft werden,
- ob der betroffenen Person Betroffenenrechte, wie diese in Artt. 15ff der DSGVO festgelegt sind, zustehen,
- ob es eine adäquate Möglichkeit gibt, unabhängige Gerichte und Aufsichtsbehörden anzurufen und
- welche Möglichkeiten des Datenzugriffs für Landesbehörden und hier insbesondere dem Geheimdienst existieren.
Sondersituation Großbritannien
Noch gehört Großbritannien zur EU, jedoch naht der Brexit und daher sind auch hier bereits Vorkehrungen zu treffen. Da noch kein Angemessenheitsbeschluss vorliegt bzw. in Aussicht ist, sind hier dieselben Maßnahmen zu ergreifen, wie dies für die Drittländer ohne Angemessenheitsbeschluss gilt.
Übermittlung in Drittländer mit Angemessenheitsbeschluss
Datenübermittlungen in diese Länder, für die ein Angemessenheitsbeschluss existiert, sind privilegiert und dürfen ohne weitere Genehmigung vorgenommen werden. Wobei die inhaltliche Reichweite des Angemessenheitsbeschlusses von Land zu Land variieren kann, so dass jeder Datenexporteuer gehalten ist, vor dem Datentransfer zu prüfen, ob der Angemessenheitsbeschluss für das konkrete Land auch den jeweiligen, geplanten Datentransfer umfasst.
Für folgende Länder besteht derzeit ein Angemessenheitsbeschluss:
- Andorra
- Argentinien
- Kanada
- Färöer-Inseln
- Guernsey
- Israel
- Isle of Man
- Japan
- Jersey
- Neuseeland
- Schweiz
- Uruguay
Was ist zu tun?
Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg hat eine weitreichende Orientierungshilfe gegeben und darin folgende möglichen To-Dos angeführt:
- Bestandsaufnahme an welche Datenimporteure in Drittstaaten Daten exportiert werden
- Information dieser Datenimporteure über das Schrems II-Urteil und dessen Konsequenzen
- Auskunftsersuchen an den Datenimporteur, ob und wann dieser ggf. Daten an Geheimdienste, Behörden herausgeben muss
- eigenständige Prüfung der Rechtssituation im Empfängerstaat durch den Datenexporteur unter zur Hilfenahme der Auskunft
- Prüfung, ob ggf. ein Angemessenheitsbeschluss für das Drittland vorliegt und dieser den Datentransfer deckt
- Prüfung, ob die Standardvertragsklauseln genutzt werden können
- Prüfung, ob diese SCC´s ggf. mit weiteren Garantien ergänzt werden müssen, um einen Datentransfer zu ermöglichen
- andernfalls verbleibt in einem sehr engen Umfang die Übermittlung nach Art. 49 DSGVO
Bundesweite Kontrolle von Tracking-Tools
Basierend auf dem Planet-49-Urteil hat der BGH im Mai seine erwartete Entscheidung in Bezug auf die Nutzereinwilligung zum Einsatz von Cookies getroffen. Nicht nur, dass es höchste Zeit ist die Einwilligung für den Einsatz von nicht zwingend notwendigen Cookies von der betroffenen Person einzuholen und dies zu dokumentieren, d.h. einen ordnungsgemäßen Cookie-Consent-Tool für Cookie-Trackingdienste und Analysedienste einzusetzen. Es sind auch noch weitere Maßnahmen zu ergreifen, siehe unten.
Ordnungsgemäßer Einsatz von Cookie-Consent-Tools
Was viele hierbei immer noch nicht berücksichtigen, ist dass
- Cookies dürfen erst gesetzt werden, nachdem eine Einwilligung des Betroffenen in dokumentierbarer Form vorliegt, vorher dürfen nur die zwingend notwendigen Cookies gesetzt werden
- Einwilligungen müssen für jeden einzelnen Dienst eingeholt werden, z.B. Google Analytics
- Einwilligungen müssen jederzeit für die Zukunft widerrufbar sein, d.h. genauso einfach, wie die Einwilligung eingeholt wurde
Einsatz außereuropäischer Tracking-Tools
Hat man das Consent-Cookie-Banner ordnungsgemäß installiert, dann ist zu beachten, dass ein großer Teil der führenden Tracking-Tools außereuropäisch ist, d.h. großteils von US-Firmen betrieben wird. In den Datenschutzerklärungen und den Cookie Policies wird hierbei oftmals noch bei der Beschreibung des Dienstes auf das US Privacy Shield verwiesen, was nach Schrems II nicht mehr möglich ist. Abgesehen davon ist deren Einsatz datenschutzkonform kaum mehr vorstellbar.
Bereits jetzt reichen Privatpersonen Beschwerden bei den Aufsichtsbehörden ein, wenn diese Tracking-Tools von Unternehmen weiterhin verwendet werden. Im gleichen Zuge kündigen die Aufsichtsbehörden an, eine bundesweite, flächendeckende Prüfung der eingesetzten Online-Tracking-Technologien durchführen zu wollen. Wer jetzt noch ohne ordnungsgemäßen Consent-Cookie-Banner agiert und außereuropäische Technologien einsetzt, ist früher oder später dran und zahlt.
Das Wehklagen der Marketingabteilung
Auch wenn die Marketingabteilungen derzeit klagen, dass die Tracking-Tools unabdinbar sind. Sie sollten unbedingt nach alternativen Analyse-Möglichkeiten suchen, die diese Transferproblematik nicht haben. Sie sollten die Suche für alle Fälle dokumentieren, damit Sie Ihre Aktivität den Aufsichtsbehörden gegebenenfalls belegen können. Wenn Sie immer noch der Anschauung sind, außereuropäische Tracking-Tools notwendigerweise einsetzen zu müssen, sollten sie das Risiko für ein Bußgeld kennen und ihr Nutzen aus dem Einsatz des Tracking-Tools sollte demnach entsprechend groß sein. Andernfalls sollte man diese Tools mit Transferproblematik abstellen und nach Alternativen suchen.
Auch wenn für manche Dinge noch kein adäquater Ersatz vorhanden ist, ohne Nachfrage wird dieser nicht kommen. Es ist höchste Zeit diese Produkte nachzufragen und zu nutzen, und zwar im eigenen Interesse, um Bußgelder zu vermeiden.
Man sollte nicht unerwähnt lassen, dass eine „normale“ Einwilligung für Google Analytics nach Schrems 2 nicht mehr ausreicht. Er muss jetzt auf die besonderen Risiken durch den US-Datentransfer hingewiesen werden und die Tatsache, das US-Behörden beliebigem Zugriff auf die Daten nehmen. Kaum ein denkender Surfer wird dann noch beherzt auf Zustimmen klicken…
Ob die Aufsichtsbehörden jetzt wirklich aus dem Quark kommen muss ich jedoch stark bezweifeln. Denn die Bayrische Aufsichtsbehörde kündigte bereits im Frühjahr 2018 vollmundig an, man werde ab dem 26.5.2018 in einem automatisierten Verfahren überprüfen, dass korrekte Einwilligungen für Google Analytics eingeholt werden. Passiert ist seitdem nichts.
Auch die Hamburger Behörde sieht trotz zahlreicher Beschwerden seit Jahren lieber weg und macht das, was sie am besten kann: nichts (s. https://datenschutz-zwecklos.de/blog/2020/08/weiter-datenschutz-anarchie-im-internet-der-hamburger-aufsichtsbehoerde-sei-dank/).
Einzig Schadenersatzklagen von Verbrauchern oder Wettbewerbsklagen von Konkurrenten können eine schnelle Veränderung herbeiführen und das illegale Treiben endlich abstellen. Zwei Klagen sind mir bereits bekannt…
Guten Tag,
vielen Dank zunächst für die transparente Darstellung des Sachverhaltes.
Bezüglich Ihrer Darstellung, dass ein datenschutzkonformer Einsatz außereuropäischer Tracking-Tools (bspw. Google-Analytics) kaum möglich erscheint, sehe ich jedoch Klärungsbedarf.
Kann nach Wegfall des EU-US Privacy Shield nicht gerade Art. 49 Abs. 1 lit. a DSGVO (Einwilligung) die datenschutzrechtliche Grundlage für die Nutzung von Google Analytics und anderen Trackingdiensten darstellen? Voraussetzung muss natürlich sein, dass vor der Nutzung von Google Analytics auf der Webseite eine wirksame und informierte Einwilligung der Webseitenbesucher über ein angemessen eingerichtetes Consent Tool eingeholt wird.
Zu berücksichtigen ist hierbei sicherlich auch der im Mai dieses Jahres veröffentlichte Beschluss der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) – Hinweise zum Einsatz von Google Analytics im nicht-öffentlichen Bereich -, in dem am Beispiel von Google Analytics konkrete Vorgaben (bspw. zur Informierung der Webseitenbesucher über die erfolgende Datenverarbeitung) aufgelistet werden, um eine Wirksamkeit der eingeholten Einwilligungen sicherzustellen.
Über eine kurze Stellungnahme zu meiner Anfrage würde ich mich freuen.
Nach der Forderung des Europäischen Datenschutz-Ausschusses muss explizit bei der Einwilligung auf die Risiken des Datentransfers hingewiesen werden a la: „Wenn Sie auf „Akzeptieren“ klicken, erlauben Sie uns, Ihr Nutzungsverhalten auf dieser Website mit Google Analytics durch Cookies zu erfassen. Dadurch können wir unsere Webangebote verbessern und Inhalte sowie Werbung für Sie personalisieren. Google führt diese Informationen ggf. mit weiteren Daten zusammen und stellt sie Dritten zur Aussteuerung von Werbeanzeigen zur Verfügung. Ein dem Rechtsrahmen der Europäischen Union gegenüber angemessenes Datenschutzniveau kann dabei nicht garantiert werden, da ein Zugriff durch US-Nachrichtendienste nicht ausgeschlossen werden kann.“ Die Frage ist dann allerdings, wie viele Nutzer werden dann noch zustimmen?
Da bleibt aus meiner Sicht aber auch noch die Option, über das Consent-Tool klar und deutlich darauf hinzuweisen, dass Detailinformationen zu genutzten Diensten und der hierbei erfolgenden Datenverarbeitung in der Datenschutzerklärung enthalten sind und über das Consent-Tool direkt hierauf zu verlinken. So hat jeder Webseitenbenutzer vor Abgabe der Einwilligung die einfache Möglichkeit, sich anhand der Datenschutzerklärung über die Risiken zu informieren.
Leider ist Art. 49 Abs. 1 lit. a DSGVO nicht uneingeschränkt anwendbar. Wie die Überschrift aus Art. 49 DSGVO bereits beschreibt, ist dieser Artikel nur für bestimmte Fälle anwendbar, die eng auszulegen sind, wie sich auch aus dem Wortlaut in Art. 49 Abs. 1 S. 1 DSGVO, …“ für eine Übermittlung oder eine Reihe von Übermittlungen“, nach gängiger Lesart ist damit keine dauerhafte und stete Übermittlung zu verstehen.
Die in Art. 49 Abs. 1 lit. a DSGVO beschriebene Einwilligung setzt voraus, dass diese in informierter Weise bezogen auf den konkreten Zweck nach Art. 5 Abs. 1 b DSGVO, freiwillig, jederzeit widerrufbar und ausdrücklich erfolgt.
Ausdrücklich und jederzeit widerrufbar könnte über das Consent-Cookie-Banner-Tool erreicht werden. Hinsichtlich der informierten Einwilligung wird es jedoch schwierig. Es ist kaum möglich vollständig herauszufinden, wie Google mit den erhobenen Daten verfährt. Daher ist eine ausreichende Information des Nutzers aus Sicht der Datenschutzaufsichtsbehörden nicht möglich, so dass von diesem letztendlich auch keine informierte Einwilligung erteilt werden kann.
Sie schreiben unter der Überschrift „“ folgendes:
„Kann kein adäquates Schutzniveau zweifelsfrei im Empfängerland vorausgesetzt werden, dann muss der Datenübermittler mit anderen Maßnahmen vor der Datenübermittlung den Schutz der Betroffenenrechte, wie dies der DSGVO entspricht, sicherstellen. Hierbei kann die Verschlüsselung helfen, solange der Datenexporteur den Schlüssel behält oder die Pseudonymisierung, wenn auch hier die Liste für die Reidentifikation beim Datenexporteuer verbleibt.“
Da nach Ansicht der Aufsichtsbehörden auch verschlüsselte und/oder pseudonymisierte Daten weiterhin personenbezogene Daten bleiben, würde ich gerne wissen auf welchen Ausnahmeparagrafen ab § 44 sie die Übermittlung verschlüsselter Daten in unsichere Drittländer stützen?
Unter „https://dsgvo-gesetz.de/themen/drittland/“ steht folgendes geschrieben:
Mit dem Urteil „Schrems II“ vom 16.Juli 2020 (Az.: C-311/18) hat der EuGH den Durchführungsbeschluss (EU) 2016/1250 der Kommission vom 12. Juli 2016 gemäß der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates über die Angemessenheit des vom EU-US-Datenschutzschild (Privacy Shield) gebotenen Schutzes mit sofortiger Wirkung für ungültig erklärt. Datenübermittlungen in die USA können folglich nicht auf das Privacy Shield gestützt werden. Datentransfers in die USA bedürfen anderer Garantien, i. S. v. Art. 44 ff. DSGVO, zur Herstellung eines angemessenen Datenschutzniveaus.
Die im ersten Satz erwähnte Überschrift sollte „Übermittlung in die USA“ lauten.
Es handelt sich dabei aus meiner Sicht um eine Ergänzung der Standardvertragsklauseln zu Gunsten der betroffenen Person mittels geeigneter Garantien einer Verschlüsselung gem. Art. 46 DSGVO , die daher abweichend von Art. 46 Abs. 5 DSGVO keiner Genehmigungspflicht der Aufsichtsbehörden unterliegen dürfte (s. auch EG 109).