Stand: 14.02.2022

Ein immer wichtiger werdender Bereich des Datenschutzes sind die Voraussetzungen des sog. Drittstaatentransfers. Sollen personenbezogene Daten aus der EU/dem EWR an ein Drittland im Sinne der DS-GVO übermittelt werden, müssen stets die Zulässigkeitsvoraussetzungen der Art. 44–50 DS-GVO eingehalten werden. Dadurch soll sichergestellt werden, dass das durch die DS-GVO gewährleistete Schutzniveau für natürliche Personen nicht untergraben wird (Art. 44 S. 2 DS-GVO) und personenbezogene Daten außerhalb der EU/des EWR ebenfalls angemessen geschützt sind.

Die Übermittlung personenbezogener Daten in ein Drittland stellt einen eigenen Verarbeitungsschritt dar, dessen Zulässigkeit zusätzlich zu den übrigen allgemeinen Vorgaben der DS-GVO zur Datenverarbeitung geprüft und sichergestellt werden muss. In der Praxis wird diese zweistufige Prüfung besonders häufig bei der Wahl bestimmter Software-Produkte wichtig: Beispielsweise ist eine Datenverarbeitung von Kundendaten in einem Customer-Relationship-Management-System (CRM-System) an sich in der Regel zulässig, hat der Anbieter des CRM-Systems seinen Sitz jedoch außerhalb der EU/des EWR, ist auf der zweiten Stufe (Drittstaatenübermittlung) Vorsicht geboten. Eine Datenübermittlung an den Anbieter ist nur zulässig, wenn die hohen Voraussetzungen der Art. 44 – 50 DS-GVO erfüllt sind. Ist dies nicht der Fall, darf das betreffende CRM-System des Anbieters nicht verwendet werden. Besonders relevant ist die Problematik beim Einsatz amerikanischer Clouddienste, wie MS-Office 365 oder Adobe, sowie der diversen Tracking- und Analysetools, wie z.B. Google Analytics, oder Newslettertools wie, z. B. Active Campaign.

Seit Inkrafttreten der DS-GVO werden Beschwerden und Unterlassungsklagen betroffener Personen, die sich aufgrund einer (vermeintlich) rechtswidrigen Übermittlung ihrer Daten in Drittstaaten in ihren Rechten verletzt fühlen, immer häufiger. Damit einhergehende (Prüf-)Verfahren bei Behörden und Gerichten haben Auswirkungen auf eine Vielzahl von Unternehmen. Dieser Artikel gibt Ihnen deshalb einen Überblick über wichtige Entscheidungen und Veröffentlichungen von Gerichten und Datenschutz-Aufsichtsbehörden zum Thema Datenübermittlung in Drittländer.

LG München: Schadensersatz wegen der Nutzung von Google Fonts

Ein Website-Betreiber nutzte auf seiner Seite Google Fonts. Dieser Dienst stellt eine Vielzahl von Schriftarten zur Verfügung, die kostenlos genutzt werden dürfen. Die Einbindung kann dabei statisch oder dynamisch erfolgen. Bei der statischen Einbindung kann der Betreiber die gewünschte Schriftart herunterladen, in seinen eigenen Webspace hochladen und lokal in seine Webseite einbinden. In diesem Fall entsteht beim Besuch der Website keine Verbindung zu Google Servern. Bei der dynamischen Einbindung wird ein Code-Snippet in den HTML-Code der Webseiten eingebunden. Dabei wird beim Aufruf der Webseite eine Verbindung zum Google-Server aufgebaut und die gewünschte Schriftart geladen. Durch den Verbindungsaufbau zum Google-Server wird mindestens die IP-Adresse des jeweiligen Webseitenbesuchers an Google übertragen. Im vorliegenden Fall hatte der Website-Betreiber jedoch kein Cookie-Consent-Banner o. ä. und konnte daher von keinem Besucher eine Einwilligung einholen. Aus diesem Grund erhob der Kläger Klage und verlangte Unterlassung sowie Schadensersatz.
Das LG München entschied, dass der Kläger einen Unterlassungsanspruch bezüglich der Weitergabe seiner IP-Adresse an Google hat. Der Website-Betreiber hatte von keinem Website-Besucher eine Einwilligung gem. Art. 6 Abs. 1 lit. a) DS-GVO für die Weitergabe der dynamischen IP-Adressen an Google eingeholt. Dieses Vorgehen konnte der Website-Betreiber auch nicht gem. Art. 6 Abs. 1 lit. f) DS-GVO auf ein berechtigtes Interesse stützen, da eine statische Einbindung möglich gewesen wäre. Zusätzlich sprach ihm das Gericht außerdem 100 Euro Schadenersatz zu. Begründet wurde dies damit, dass der mit der Datenweitergabe an Google verbundene Kontrollverlust und das vom Kläger empfundene individuelle Unwohlsein so erheblich sind, dass ein Schadensersatzanspruch gerechtfertigt ist. In diesem Zusammenhang muss berücksichtigt werden, dass die IP-Adresse unstreitig an einen Server von Google in den USA übermittelt wurde, obgleich dort nach herrschender Meinung kein angemessenes Datenschutzniveau gewährleistet ist.

Österreichische Datenschutzbehörde: Einsatz von Google Analytics nicht datenschutzkonform

Die Organisation My Privacy is None of Your Business (NOYB), die von dem aus Österreich stammenden Juristen Maximilian Schrems ins Leben gerufen wurde, hat in ganz Europa rund 100 Musterbeschwerden bei Datenschutz-Aufsichtsbehörden gegen Websitebetreiber wegen der Nutzung von Google Analytics eingereicht. Über das Analysetool werden personenbezogene Daten der User wie die einzigartige Nutzer-Identifikationsnummer, die IP-Adresse und Browserdaten an den Anbieter Google in die USA übermittelt. Die Österreichische Aufsichtsbehörde entschied in einem kürzlich veröffentlichten Teilbescheid, dass die Verwendung des Webseiten-Analyse-Tools nicht mit der DS-GVO vereinbar ist, da insbesondere die Vorgaben der Art. 44 ff. DS-GVO zur Datenübermittlung in Drittländer nicht erfüllt sind. Die von Google verwendeten Standardvertragsklauseln bieten auch zusammen mit den umgesetzten technischen und organisatorischen Maßnahmen kein ausreichendes Schutzniveau für die übertragenen Daten. Sie seien nicht ausreichend, um Überwachungs- und Zugriffsmöglichkeiten der US-Nachrichtendienste nach dem Foreign Intelligence Surveillance Act (FISA) zu unterbinden, wie auch bereits der EuGH in seinem Schrems II-Urteil entschieden hat.

Update:

Die französische Datenschutzbehörde CNIL hat in einer Entscheidung vom 10.02.2022 das österreichische Urteil gegen Google Analytics bestätigt. In ihrer Stellungnahme erklärt die CNIL ausdrücklich, dass die Entscheidung in Abstimmung mit den anderen EU-Datenschützern getroffen wurde.
Erneut wurde entschieden, dass das Trackingtool im DSGVO-Raum nicht datenschutzkonform einsetzbar ist. Es ist technisch nicht möglich Google Analytics so zu konfigurieren, dass der Einsatz im Sinne der DS-GVO erfolgt
Wichtig in diesem Zusammenhang ist darauf hinzuweisen, dass für den Einsatz von Google Analytics immer der Website-Betreiber haftet. Aus diesem Grund sollten sich alle Betreiber schnellstmöglich nach einer Alternative umsehen, die ein Tracking nach Grundsätzen der DS-GVO ermöglicht, d. h., dass die Daten der Besucher anonymisiert werden und die Server in Europa stehen.

VG Wiesbaden untersagt Hochschule Verwendung von „Cookiebot“

In einem Eilverfahren hat das Verwaltungsgericht (VG) Wiesbaden einer beklagten Hochschule im Wege einer einstweiligen Anordnung untersagt, das weitverbreitete Tool Cookiebot weiter auf ihrer Website zu verwenden (Beschluss v. 01.12.2021, Az.: 6 L 738/21.WI). Hintergrund der Entscheidung war die Weigerung der Hochschule, gegenüber dem Betroffenen, einem Bibliotheksnutzer, der regelmäßig mit dem Onlinekatalog der Hochschulbibliothek auf der Website der Hochschule arbeitete, eine strafbewehrte Unterlassungserklärung abzugeben, den Dienst nicht weiter zu verwenden. Der Betroffene begründete seine Forderung damit, dass der Anbieter des Tools als Subunternehmen einen Cloud-Hosting-Anbieter mit Sitz in den USA einsetze und die damit einhergehende Datenübermittlung in die USA rechtswidrig sei.

EuGH erklärt EU-US-Privacy-Shield für ungültig

Nachdem der Österreicher Maximilian Schrems wegen der vermeintlich unzulässigen Datenübermittlung von Nutzerdaten der Facebook-Tochter Facebook Ireland Limited an die Konzernmutter in den USA Klage erhoben hat, erklärte der Europäische Gerichtshof (EuGH) in seinem Urteil vom 16.07.2020 („Schrems II“, Az.: C 311/18) das EU-US Privacy-Shield für ungültig. Die Luxemburger Richter begründeten ihre Entscheidung damit, dass aufgrund der Zugriffsmöglichkeiten der US-Behörden die Anforderungen an den Datenschutz nicht gewährleistet sind und den Betroffenen keine ausreichenden Rechtsmittel zur Verfügung stehen, um ihre Rechte in den USA gegenüber den Behörden durchzusetzen. Zwar können die Standardvertragsklauseln der EU-Kommission weiterhin als Rechtsgrundlage für eine Datenübermittlung in die USA herangezogen werden, müssen allerdings durch weitere geeignete Garantien ergänzt werden, um ein ausreichendes Datenschutzniveau zu gewährleisten.