Stand: 14.01.2022

Ein immer wichtiger werdender Bereich des Datenschutzes sind die Voraussetzungen des sog. Drittstaatentransfers. Sollen personenbezogene Daten aus der EU/dem EWR an ein Drittland im Sinne der DS-GVO übermittelt werden, müssen stets die Zulässigkeitsvoraussetzungen der Art. 44–50 DS-GVO eingehalten werden. Dadurch soll sichergestellt werden, dass das durch die DS-GVO gewährleistete Schutzniveau für natürliche Personen nicht untergraben wird (Art. 44 S. 2 DS-GVO) und personenbezogene Daten außerhalb der EU/des EWR ebenfalls angemessen geschützt sind.

Die Übermittlung personenbezogener Daten in ein Drittland stellt einen eigenen Verarbeitungsschritt dar, dessen Zulässigkeit zusätzlich zu den übrigen allgemeinen Vorgaben der DS-GVO zur Datenverarbeitung geprüft und sichergestellt werden muss. In der Praxis wird diese zweistufige Prüfung besonders häufig bei der Wahl bestimmter Software-Produkte wichtig: Beispielsweise ist eine Datenverarbeitung von Kundendaten in einem Customer-Relationship-Management-System (CRM-System) an sich in der Regel zulässig, hat der Anbieter des CRM-Systems seinen Sitz jedoch außerhalb der EU/des EWR, ist auf der zweiten Stufe (Drittstaatenübermittlung) Vorsicht geboten. Eine Datenübermittlung an den Anbieter ist nur zulässig, wenn die hohen Voraussetzungen der Art. 44 – 50 DS-GVO erfüllt sind. Ist dies nicht der Fall, darf das betreffende CRM-System des Anbieters nicht verwendet werden. Besonders relevant ist die Problematik beim Einsatz amerikanischer Clouddienste, wie MS-Office 365 oder Adobe, sowie der diversen Tracking- und Analysetools, wie z.B. Google Analytics, oder Newslettertools wie, z. B. Active Campaign.

Seit Inkrafttreten der DS-GVO werden Beschwerden und Unterlassungsklagen betroffener Personen, die sich aufgrund einer (vermeintlich) rechtswidrigen Übermittlung ihrer Daten in Drittstaaten in ihren Rechten verletzt fühlen, immer häufiger. Damit einhergehende (Prüf-)Verfahren bei Behörden und Gerichten haben Auswirkungen auf eine Vielzahl von Unternehmen. Dieser Artikel gibt Ihnen deshalb einen Überblick über wichtige Entscheidungen und Veröffentlichungen von Gerichten und Datenschutz-Aufsichtsbehörden zum Thema Datenübermittlung in Drittländer.

Österreichische Datenschutzbehörde: Einsatz von Google Analytics nicht datenschutzkonform

Die Organisation My Privacy is None of Your Business (NOYB), die von dem aus Österreich stammenden Juristen Maximilian Schrems ins Leben gerufen wurde, hat in ganz Europa rund 100 Musterbeschwerden bei Datenschutz-Aufsichtsbehörden gegen Websitebetreiber wegen der Nutzung von Google Analytics eingereicht. Über das Analysetool werden personenbezogene Daten der User wie die einzigartige Nutzer-Identifikationsnummer, die IP-Adresse und Browserdaten an den Anbieter Google in die USA übermittelt. Die Österreichische Aufsichtsbehörde entschied in einem kürzlich veröffentlichten Teilbescheid, dass die Verwendung des Websiten-Analyse-Tools nicht mit der DS-GVO vereinbar ist, da insbesondere die Vorgaben der Art. 44 ff. DS-GVO zur Datenübermittlung in Drittländer nicht erfüllt sind. Die von Google verwendeten Standardvertragsklauseln bieten auch zusammen mit den umgesetzten technischen und organisatorischen Maßnahmen kein ausreichendes Schutzniveau für die übertragenen Daten. Sie seien nicht ausreichend, um Überwachungs- und Zugriffsmöglichkeiten der US-Nachrichtendienste nach dem Foreign Intelligence Surveillance Act (FISA) zu unterbinden, wie auch bereits der EuGH in seinem Schrems II-Urteil entschieden hat.

VG Wiesbaden untersagt Hochschule Verwendung von „Cookiebot“

In einem Eilverfahren hat das Verwaltungsgericht (VG) Wiesbaden einer beklagten Hochschule im Wege einer einstweiligen Anordnung untersagt, das weitverbreitete Tool Cookiebot weiter auf ihrer Website zu verwenden (Beschluss v. 01.12.2021, Az.: 6 L 738/21.WI). Hintergrund der Entscheidung war die Weigerung der Hochschule, gegenüber dem Betroffenen, einem Bibliotheksnutzer, der regelmäßig mit dem Onlinekatalog der Hochschulbibliothek auf der Website der Hochschule arbeitete, eine strafbewehrte Unterlassungserklärung abzugeben, den Dienst nicht weiter zu verwenden. Der Betroffene begründete seine Forderung damit, dass der Anbieter des Tools als Subunternehmen einen Cloud-Hosting-Anbieter mit Sitz in den USA einsetze und die damit einhergehende Datenübermittlung in die USA rechtswidrig sei.

EuGH erklärt EU-US-Privacy-Shield für ungültig

Nachdem der Österreicher Maximilian Schrems wegen der vermeintlich unzulässigen Datenübermittlung von Nutzerdaten der Facebook-Tochter Facebook Ireland Limited an die Konzernmutter in den USA Klage erhoben hat, erklärte der Europäische Gerichtshof (EuGH) in seinem Urteil vom 16.07.2020 („Schrems II“, Az.: C 311/18) das EU-US Privacy-Shield für ungültig. Die Luxemburger Richter begründeten ihre Entscheidung damit, dass aufgrund der Zugriffsmöglichkeiten der US-Behörden die Anforderungen an den Datenschutz nicht gewährleistet sind und den Betroffenen keine ausreichenden Rechtsmittel zur Verfügung stehen, um ihre Rechte in den USA gegenüber den Behörden durchzusetzen. Zwar können die Standardvertragsklauseln der EU-Kommission weiterhin als Rechtsgrundlage für eine Datenübermittlung in die USA herangezogen werden, müssen allerdings durch weitere geeignete Garantien ergänzt werden, um ein ausreichendes Datenschutzniveau zu gewährleisten.