Wichtige Entscheidungen zur Datenübermittlung in Drittländer

Stand: 15.02.2023

Ein immer wichtiger werdender Bereich des Datenschutzes sind die Voraussetzungen des sog. Drittstaatentransfers. Sollen personenbezogene Daten aus der EU/dem EWR an ein Drittland im Sinne der DS-GVO übermittelt werden, müssen stets die Zulässigkeitsvoraussetzungen der Art. 44–50 DS-GVO eingehalten werden. Dadurch soll sichergestellt werden, dass das durch die DS-GVO gewährleistete Schutzniveau für natürliche Personen nicht untergraben wird (Art. 44 S. 2 DS-GVO) und personenbezogene Daten außerhalb der EU/des EWR ebenfalls angemessen geschützt sind.

Die Übermittlung personenbezogener Daten in ein Drittland stellt einen eigenen Verarbeitungsschritt dar, dessen Zulässigkeit zusätzlich zu den übrigen allgemeinen Vorgaben der DS-GVO zur Datenverarbeitung geprüft und sichergestellt werden muss. In der Praxis wird diese zweistufige Prüfung besonders häufig bei der Wahl bestimmter Software-Produkte wichtig: Beispielsweise ist eine Datenverarbeitung von Kundendaten in einem Customer-Relationship-Management-System (CRM-System) an sich in der Regel zulässig, hat der Anbieter des CRM-Systems seinen Sitz jedoch außerhalb der EU/des EWR, ist auf der zweiten Stufe (Drittstaatenübermittlung) Vorsicht geboten. Eine Datenübermittlung an den Anbieter ist nur zulässig, wenn die hohen Voraussetzungen der Art. 44 – 50 DS-GVO erfüllt sind. Ist dies nicht der Fall, darf das betreffende CRM-System des Anbieters nicht verwendet werden. Besonders relevant ist die Problematik beim Einsatz amerikanischer Clouddienste, wie MS-Office 365 oder Adobe, sowie der diversen Tracking- und Analysetools, wie z.B. Google Analytics, oder Newslettertools wie, z. B. Active Campaign.

Seit Inkrafttreten der DS-GVO werden Beschwerden und Unterlassungsklagen betroffener Personen, die sich aufgrund einer (vermeintlich) rechtswidrigen Übermittlung ihrer Daten in Drittstaaten in ihren Rechten verletzt fühlen, immer häufiger. Damit einhergehende (Prüf-)Verfahren bei Behörden und Gerichten haben Auswirkungen auf eine Vielzahl von Unternehmen. Dieser Artikel gibt Ihnen deshalb einen Überblick über wichtige Entscheidungen und Veröffentlichungen von Gerichten und (Aufsichts-)Behörden zum Thema Datenübermittlung in Drittländer.

OLG Köln: Datenübermittlung an Google LLC auch unter DPF datenschutzwidrig

Das Oberlandesgericht (OLG) entschied in einem aktuellen Fall, dass die Datenübermittlung an Google LLC in die USA auch unter dem neuen Angemessenheitsbeschluss (EU-US Data Privacy Framework, DPF) rechtswidrig ist. Hintergrund der Entscheidung war eine Unterlassungsklage des Verbraucherzentrale NRW e. V. gegen eine Tochtergesellschaft der Deutsche Telekom AG wegen verschiedener Datenschutzverstöße auf der Website des Unternehmens. Gegenstand der Klage war unter anderem der Einsatz von Analyse- und Marketingdiensten des Anbieters Google und die damit verbundene Datenübermittlung in die USA. Dies stellte nach Ansicht der Verbraucherzentrale einen Verstoß gegen § 25 Abs. 1 TTDSG (Erforderlichkeit einer Einwilligung) sowie gegen Art. 45 ff. DS-GVO (Rechtmäßigkeit der Datenübermittlung in Drittländer) dar.

Das Landgericht (LG) Köln gab dem Kläger in erster Instanz überwiegend Recht, die Datenübermittlung an Google LLC in die USA sei unzulässig (Urteil v. 23.03.2023, Az.: 33 O 376/22). Bei seiner Entscheidung bezog sich das Gericht insbesondere auf die Schrems-II-Entscheidung des EuGH, in der das Privacy-Shield-Abkommen für ungültig erklärt wurde. Auch Standardvertragsklauseln würden nicht genügen, um eine Datenübermittlung zu rechtfertigen. Durch einen solchen Vertrag ließe sich kein ausreichendes Datenschutzniveau gewährleisten, da ein Vertrag insbesondere keine Zugriffe von US-Behörden verhindern könne.

Gegen die Entscheidung legten beide Parteien Berufung ein, die vor dem Oberlandesgericht (OLG) Köln allerdings ohne Erfolg blieb (Urteil v. 03.11.2023. Az.: 6 U 58/23). Das OLG teilte die Ansichten der Vorinstanz bezüglich der Rechtswidrigkeit der Datenübermittlung zum Zeitpunkt der Abmahnung. Auch nach aktueller Rechtslage unter Einbeziehung des Angemessenheitsbeschlusses sei die Datenübermittlung noch unzulässig. Der Angemessenheitsbeschluss als solcher sei zwar grundsätzlich eine ausreichende Rechtsgrundlage für Datenübermittlungen in die USA, allerdings fehle es im vorliegenden Fall an Rechtsschutzmöglichkeiten der Betroffenen gegen die Überwachungsmaßnahmen.

EU-Kommission: Neuer Angemessenheitsbeschluss für die USA erlassen

Mehr als zwei Jahre nachdem der Europäische Gerichtshof (EuGH) das EU-US-Privacy-Shield für ungültig erklärt hat (Az.: C-311/18), hat die EU-Kommission ein Verfahren zur Annahme eines neuen sogenannten Angemessenheitsbeschlusses eingeleitet. An dem Verfahren sind der Europäische Datenschutzausschuss (EDSA), die Mitgliedsstaaten sowie das EU-Parlament beteiligt. Im Vorfeld hat der US-Präsident, Joe Biden, im vergangenen Oktober eine Verfügung (Executive Order) erlassen, welche die Kritikpunkte des EuGH aufgreift. Die Verfügung schränkt zum einen die Untersuchungsbefugnisse von US-Sicherheitsbehörden im Hinblick auf die Auswertung personenbezogener Daten von EU-Bürgern deutlich ein. Zum anderen soll ein unabhängiges und unparteiisches US-Gericht (Data Protection Review Court, DPRC) geschaffen werden, bei dem EU-Bürger, die sich in ihren Rechten verletzt sehen, Beschwerde einreichen können.

Am 10.07.2023 hat die EU-Kommission den Angemessenheitsbeschluss für den Datenschutzrahmen EU-USA angenommen. Der Angemessenheitsbeschluss kann künftig eine neue Rechtsgrundlage für eine Übermittlung personenbezogener Daten in die USA darstellen, soweit sich die betroffenen Unternehmen in den USA dem Datenrahmen angeschlossen haben. Um dem Datenrahmen beizutreten, müssen US-Unternehmen sich zur Einhaltung detaillierter Datenschutzpflichten verpflichten, darunter beispielsweise die Pflichten, personenbezogene Daten zu löschen, wenn sie für den Zweck, für den sie erhoben wurden, nicht mehr erforderlich sind, und den Fortbestand des Schutzes zu gewährleisten, wenn personenbezogene Daten an Dritte weitergegeben werden.

Die Europäische Kommission, Vertreter der europäischen Datenschutzbehörden sowie der zuständigen US-Behörden wollen die Funktionsweise des Datenrahmens regelmäßig gemeinsam überprüfen. In der ersten Prüfung soll ermittelt werden, ob alle einschlägigen Elemente vollständig im US-Rechtsrahmen umgesetzt wurden und in der Praxis wirksam funktionieren. Diese Prüfung soll innerhalb eines Jahres nach Inkrafttreten des Angemessenheitsbeschlusses erfolgen.

Zwar haben erste Datenschutzorganisationen – darunter die Organisation „Non of Your Business (NYOB)“ des Österreichers Max Schrems – bereits angekündigt, gegen den Beschluss vorzugehen. Falls ein Gerichtsverfahren eingeleitet wird, ist eine abschließende Entscheidung des EuGH allerdings erst in mehreren Jahren zu erwarten.

Österreichische Aufsichtsbehörde: Facebook-Tracking-Dienste nicht datenschutzkonform

Nach der Entscheidung zu Google Analytics erklärte die Datenschutzbehörde in Österreich (DSB) mit einem Bescheid von Anfang März 2023 nun auch den Einsatz von Tracking-Pixeln von Facebook (Meta) für nicht mit der DS-GVO vereinbar. Hintergrund der Untersuchung war auch hier eine Musterbeschwerde der Datenschutzorganisation None of Your Business (NOYB), die von dem aus Österreich stammenden Juristen Maximilian Schrems ins Leben gerufen wurde. Der Einsatz des Tracking-Pixels von Facebook – ebenso wie darauf basierende Instrumente wie Facebook Login und Meta Pixel – ist nicht datenschutzkonform möglich, da insbesondere die Vorgaben der Art. 44 ff. DS-GVO zur Datenübermittlung in Drittländer nicht erfüllt sind. Wie bei Google bieten auch die von Meta verwendeten Standardvertragsklauseln kein ausreichendes Schutzniveau für die übertragenen Daten, um Überwachungs- und Zugriffsmöglichkeiten der US-Nachrichtendienste nach dem Foreign Intelligence Surveillance Act (FISA) zu unterbinden. Die DSB verweist auch hier auf die Entscheidung des EuGH zum EU-US-Privacy-Shield („Schrems-II-Urteil“).

Die Beschwerden der Datenschutzorganisation NYOB wurden wiederum EU-weit eingereicht. Es ist deshalb davon auszugehen, dass weitere Bescheide europäischer Aufsichtsbehörden erlassen werden.

OLG Karlsruhe: Vergabe von Aufträgen an europäische Töchter von US-Dienstleistern doch möglich

Viele US-amerikanische Konzernunternehmen haben Tochtergesellschaften in Europa, die europäischen Kunden einen Serverstandort außerhalb der USA zur Verfügung stellen. Die Speicherung von personenbezogenen Daten auf Servern innerhalb der EU gewann insbesondere nach Wegfall des EU-US-Privacy-Shields an Bedeutung. Hierzu hatte die Entscheidung der Vergabekammer (VK) Baden-Württemberg im Juli 2022 Diskussionen ausgelöst, nachdem Bieter in einem Vergabeverfahren ausgeschlossen wurden (VK Baden-Württemberg, Beschluss v. 13.07.2022, Az.: 1 VK 23/22). Nach Ansicht der VK Baden-Württemberg ist es für eine „Weitergabe“ im Sinne der DS-GVO ausreichend, wenn eine nichteuropäische Muttergesellschaft theoretisch auf die Daten, welche auf Servern der europäischen Tochtergesellschaft gespeichert werden, zugreifen kann. Diese Datenübermittlung in ein Drittland kann nach dem Schrems II-Urteil des EuGH auch nicht per se durch den Abschluss der Standardvertragsklauseln legitimiert werden.

Das Oberlandesgericht (OLG) Karlsruhe hat den Beschluss der Vergabekammer aufgehoben (OLG Karlsruhe, Beschluss v. 07.09.2022, Az.: 15 Verg 8/22). Die Bieter durften sich vielmehr auf die bindenden Zusagen des Anbieters verlassen, dass die personenbezogenen Daten ausschließlich von ihm in Deutschland verarbeitet und nicht in die USA übermittelt werden. Zudem muss beachtet werden, dass durch die eingesetzte Verschlüsselungstechnik der Tochtergesellschaft gar keine Möglichkeit der Übermittlung personenbezogener Daten in die USA bestanden hat.

LG München: Schadensersatz wegen der Nutzung von Google Fonts

Ein Website-Betreiber nutzte auf seiner Seite Google Fonts. Dieser Dienst stellt eine Vielzahl von Schriftarten zur Verfügung, die kostenlos genutzt werden dürfen. Die Einbindung kann dabei statisch oder dynamisch erfolgen. Bei der statischen Einbindung kann der Betreiber die gewünschte Schriftart herunterladen, in seinen eigenen Webspace hochladen und lokal in seine Webseite einbinden. In diesem Fall entsteht beim Besuch der Website keine Verbindung zu Google Servern. Bei der dynamischen Einbindung wird ein Code-Snippet in den HTML-Code der Webseiten eingebunden. Dabei wird beim Aufruf der Webseite eine Verbindung zum Google-Server aufgebaut und die gewünschte Schriftart geladen. Durch den Verbindungsaufbau zum Google-Server wird mindestens die IP-Adresse des jeweiligen Webseitenbesuchers an Google übertragen. Im vorliegenden Fall hatte der Website-Betreiber jedoch kein Cookie-Consent-Banner o. ä. und konnte daher von keinem Besucher eine Einwilligung einholen. Aus diesem Grund erhob der Kläger Klage und verlangte Unterlassung sowie Schadensersatz.

Das LG München entschied, dass der Kläger einen Unterlassungsanspruch bezüglich der Weitergabe seiner IP-Adresse an Google hat. Der Website-Betreiber hatte von keinem Website-Besucher eine Einwilligung gem. Art. 6 Abs. 1 lit. a) DS-GVO für die Weitergabe der dynamischen IP-Adressen an Google eingeholt. Dieses Vorgehen konnte der Website-Betreiber auch nicht gem. Art. 6 Abs. 1 lit. f) DS-GVO auf ein berechtigtes Interesse stützen, da eine statische Einbindung möglich gewesen wäre. Zusätzlich sprach ihm das Gericht außerdem 100 Euro Schadenersatz zu. Begründet wurde dies damit, dass der mit der Datenweitergabe an Google verbundene Kontrollverlust und das vom Kläger empfundene individuelle Unwohlsein so erheblich sind, dass ein Schadensersatzanspruch gerechtfertigt ist. In diesem Zusammenhang muss berücksichtigt werden, dass die IP-Adresse unstreitig an einen Server von Google in den USA übermittelt wurde, obgleich dort nach herrschender Meinung kein angemessenes Datenschutzniveau gewährleistet ist.

Österreichische Datenschutzbehörde: Einsatz von Google Analytics nicht datenschutzkonform

Die Organisation My Privacy is None of Your Business (NOYB), die von dem aus Österreich stammenden Juristen Maximilian Schrems ins Leben gerufen wurde, hat in ganz Europa rund 100 Musterbeschwerden bei Datenschutz-Aufsichtsbehörden gegen Websitebetreiber wegen der Nutzung von Google Analytics eingereicht. Über das Analysetool werden personenbezogene Daten der User wie die einzigartige Nutzer-Identifikationsnummer, die IP-Adresse und Browserdaten an den Anbieter Google in die USA übermittelt. Die Österreichische Aufsichtsbehörde entschied in einem kürzlich veröffentlichten Teilbescheid, dass die Verwendung des Webseiten-Analyse-Tools nicht mit der DS-GVO vereinbar ist, da insbesondere die Vorgaben der Art. 44 ff. DS-GVO zur Datenübermittlung in Drittländer nicht erfüllt sind. Die von Google verwendeten Standardvertragsklauseln bieten auch zusammen mit den umgesetzten technischen und organisatorischen Maßnahmen kein ausreichendes Schutzniveau für die übertragenen Daten. Sie seien nicht ausreichend, um Überwachungs- und Zugriffsmöglichkeiten der US-Nachrichtendienste nach dem Foreign Intelligence Surveillance Act (FISA) zu unterbinden, wie auch bereits der EuGH in seinem Schrems II-Urteil entschieden hat.

Update:

Die französische Datenschutzbehörde CNIL hat in einer Entscheidung vom 10.02.2022 das österreichische Urteil gegen Google Analytics bestätigt. In ihrer Stellungnahme erklärt die CNIL ausdrücklich, dass die Entscheidung in Abstimmung mit den anderen EU-Datenschützern getroffen wurde.
Erneut wurde entschieden, dass das Trackingtool im DSGVO-Raum nicht datenschutzkonform einsetzbar ist. Es ist technisch nicht möglich Google Analytics so zu konfigurieren, dass der Einsatz im Sinne der DS-GVO erfolgt.
Wichtig in diesem Zusammenhang ist darauf hinzuweisen, dass für den Einsatz von Google Analytics immer der Website-Betreiber haftet. Aus diesem Grund sollten sich alle Betreiber schnellstmöglich nach einer Alternative umsehen, die ein Tracking nach Grundsätzen der DS-GVO ermöglicht, d. h., dass die Daten der Besucher anonymisiert werden und die Server in Europa stehen.

VG Wiesbaden untersagt Hochschule Verwendung von „Cookiebot“

In einem Eilverfahren hat das Verwaltungsgericht (VG) Wiesbaden einer beklagten Hochschule im Wege einer einstweiligen Anordnung untersagt, das weitverbreitete Tool Cookiebot weiter auf ihrer Website zu verwenden (Beschluss v. 01.12.2021, Az.: 6 L 738/21.WI). Hintergrund der Entscheidung war die Weigerung der Hochschule, gegenüber dem Betroffenen, einem Bibliotheksnutzer, der regelmäßig mit dem Onlinekatalog der Hochschulbibliothek auf der Website der Hochschule arbeitete, eine strafbewehrte Unterlassungserklärung abzugeben, den Dienst nicht weiter zu verwenden. Der Betroffene begründete seine Forderung damit, dass der Anbieter des Tools als Subunternehmen einen Cloud-Hosting-Anbieter mit Sitz in den USA einsetze und die damit einhergehende Datenübermittlung in die USA rechtswidrig sei.

EuGH erklärt EU-US-Privacy-Shield für ungültig

Nachdem der Österreicher Maximilian Schrems wegen der vermeintlich unzulässigen Datenübermittlung von Nutzerdaten der Facebook-Tochter Facebook Ireland Limited an die Konzernmutter in den USA Klage erhoben hat, erklärte der Europäische Gerichtshof (EuGH) in seinem Urteil vom 16.07.2020 („Schrems II“, Az.: C 311/18) das EU-US Privacy-Shield für ungültig. Die Luxemburger Richter begründeten ihre Entscheidung damit, dass aufgrund der Zugriffsmöglichkeiten der US-Behörden die Anforderungen an den Datenschutz nicht gewährleistet sind und den Betroffenen keine ausreichenden Rechtsmittel zur Verfügung stehen, um ihre Rechte in den USA gegenüber den Behörden durchzusetzen. Zwar können die Standardvertragsklauseln der EU-Kommission weiterhin als Rechtsgrundlage für eine Datenübermittlung in die USA herangezogen werden, müssen allerdings durch weitere geeignete Garantien ergänzt werden, um ein ausreichendes Datenschutzniveau zu gewährleisten.