Das Thema Übermittlung personenbezogener Daten in Drittstaaten, insbesondere in die USA, beschäftigt uns schon lange. In vielen Unternehmen ist das Risiko, welches mit dem Einsatz von US-Diensten einhergeht, bereits zum Alltag geworden. Doch aktuell, scheinen die europäischen Aufsichtsbehörden und Gerichte das Thema in den Fokus ihrer Tätigkeit gerückt zu haben. Nachfolgend haben wir daher einen kurzen Überblick über die aktuellen Entwicklungen zusammengefasst:
Österreichische Aufsichtsbehörde: Google Analytics ist rechtswidrig
Bereits Anfang des Jahres entschied die österreichische Datenschutzbehörde, dass der Einsatz von Google Analytics rechtswidrig ist. Dem Verfahren lag eine der 101 Beschwerden der Organisation NOYB (wir berichteten) zugrunde. Die europäischen Aufsichtsbehörden bildeten zur Bearbeitung der Beschwerden eine gemeinsame Task-Force, um die Beschwerden einheitlich zu bearbeiten. Mit der Entscheidung der österreichischen Aufsichtsbehörde erging die erste Entscheidung bezüglich der 101 Beschwerden.
Relevant an der Entscheidung ist insbesondere auch, dass die Behörde ausdrücklich feststellte, die damals verwendeten Standardvertragsklauseln von Google biete kein angemessenes Schutzniveau gemäß Art. 44 DSGVO, da Google den US-Überwachungsgesetzen unterfalle und die zusätzlich getroffenen technischen und organisatorischen Maßnahmen nicht ausreichend seien, um einen Zugriff der Überwachungsbehörden zu verhindern.
Französische Aufsichtsbehörde CNIL: Google Analytics ist rechtswidrig
In einem weiteren Verfahren hat sich die französische Aufsichtsbehörde Commission Nationale de l’Informatique et des Libertés (CNIL) den österreichischen Kollegen angeschlossen. Auch hierhandelte es sich um eine der 101 Beschwerdeverfahren von NOYB. In diesem Fall richtete sich die Beschwerde gegen einen Onlinehändler, der Google Analytics einsetzte.
Die Aufsichtsbehörde entschied ebenfalls, dass der Einsatz von Google Analytics im Onlineshop der Beschwerdegegnerin rechtswidrig sei. Gleichzeitig gab die Aufsichtsbehörde dem Onlinehändler einen Monat Zeit, um die Onlinepräsenz DSGVO-konform zu gestalten, „if necessary by ceasing to use the Google Analytics functionality“ (wenn nötig durch Abschalten der Google-Analytics Funktionen).
Die CNIL ging jedoch noch einige Schritte weiter. Im Vorfeld an die Entscheidung legte sie den Entwurf gemäß Art. 60 DSGVO den anderen europäischen betroffenen Aufsichtsbehörden vor. Hierbei gab es von keiner Aufsichtsbehörde einen Widerspruch gegen die Entscheidung. Daher ist davon auszugehen, dass auch alle anderen europäischen Aufsichtsbehörden, die in der Task-Force vertreten ist, identisch über Google Analytics entscheiden wird.
Auf nationaler Ebene hat die CNIL bereits angefangen weitere Webseitenbetreiber in Frankreich zu untersuchen und gegen diese Untersagungsverfügungen erlassen.
Irische Aufsichtsbehörde DPC: Meta wird der Datentransfer in die USA untersagt
Während die irische Aufsichtsbehörde Data Protection Commission (DPC) bisher eher dafür bekannt war, den Datenschutz möglichst nicht umzusetzen, scheint sie jetzt gegen Meta (ehemals Facebook) vorzugehen. In einer vorläufigen Entscheidung möchte die Behörde Meta die Übermittlung personenbezogener Daten in die USA untersagen. Das würde zahlreiche Dienste des Konzerns betreffen, wie Facebook, Whatsapp, Instagram und co.
Hierbei handelt es sich nicht um eine endgültige Entscheidung. Im nächsten Schritt wird die Entscheidung als Entwurf gemäß Art. 60 DSGVO den anderen europäischen Aufsichtsbehörden vorgelegt. Diese können daraufhin Stellung zu der Entscheidung beziehen und die irische Behörde hat den Stellungnahmen „gebührend Rechnung zu tragen“. Angesichts der Tatsache, dass die irische Behörde von ihren europäischen Kollegen häufig für ihr zaghaftes Vorgehen kritisiert wurde, ist jedoch nicht damit zu rechnen, dass der Beschluss abgeschwächt wird.
Landgericht München: Schadensersatz für Google Fonts
Das Landgericht München urteilte, dass der Einsatz von Google Fonts aufgrund der Drittlandsübermittlung rechtswidrig sei. Das Gericht sprach einen Webseitenbesucher Schadensersatz in Höhe von 100,- Euro zu. Der Betrag scheint zwar relativ niedrig, bei zahlreichen Webseitenzugriffen können sich Schadensersatzforderungen jedoch schnell zu erheblichen Beträgen summieren.
Was die Entscheidungen für Ihr Unternehmen bedeuten
Die Entwicklungen zeigen, dass die Aufsichtsbehörden und auch die Gerichte mittlerweile gegen Drittlandstransfers vorgehen. Hierbei kann es mittlerweile sowohl kleine Unternehmen als auch „Big Player“ wie Meta oder Google treffen. Unternehmen sollten daher ihre Risikobereitschaft im Hinblick auf US-Dienste neu evaluieren. Gerne unterstützen wir Sie bei der Erfassung problematischer Dienste und Beraten Sie zu Risiken und Maßnahmen, die Sie treffen können.