Vier Lehren aus dem Bericht der Taskforce 101 des EDPB zur Datenübermittlung nach der DSGVO

Der Europäische Datenschutzausschuss (EDPB) hat einen Bericht über die Arbeit seiner Task Force 101 veröffentlicht. Der Bericht gibt Einblicke in die Art und Weise, wie die europäischen Datenschutzbehörden an Beschwerden über eines der schwierigsten Probleme der Datenschutz-Grundverordnung herangehen: die internationale Datenübermittlung.

Der Europäische Datenschutzausschuss (EDPB) hat einen Bericht über die Arbeit seiner Task Force 101. Der Bericht gibt Einblicke in die Art und Weise, wie die europäischen Datenschutzbehörden (DSB) an Beschwerden über eines der schwierigsten Probleme der GDPRInternationale Datenübermittlung.

In diesem Artikel werden die Hintergründe der 101 Task Force des EDPB erläutert und vier wichtige Erkenntnisse aus dem Bericht herausgearbeitet, damit Sie verstehen, warum die Verwendung bestimmter Softwareprodukte mit Sitz in den USA nach der Datenschutz-Grundverordnung illegal sein könnte.

Was ist die Task Force 101?

Die 101-Task-Force des EDPB wurde eingerichtet, um sich mit
101 Beschwerden
die in mehreren EU-Ländern von der Datenschutzkampagnengruppe noyb („None of Your Business“) eingereicht wurden.

Die Beschwerden kamen kurz nachdem der Gründer von noyb, der österreichische Aktivist Max Schrems, vor dem Gerichtshof der Europäischen Union (EuGH) einen Prozess gegen Facebook (jetzt Meta) gewonnen hatte.

Der Fall, der jetzt als „Schrems II“ bekannt ist, betraf die Vorschriften der Datenschutz-Grundverordnung über die internationale Datenübermittlung-die Weitergabe personenbezogener Daten an Organisationen mit Sitz außerhalb des Europäischen Wirtschaftsraums (EWR).

Gemäß der GDPR, müssen internationale Datenübermittlungen durch eine „Übermittlungssicherung“ abgedeckt sein. In der Rechtssache Schrems II kippte der EuGH ein internationales Datentransfersystem namens Privacy Shield, das von Tausenden von in den USA ansässigen Unternehmen zur Absicherung von Datentransfers aus dem EWR genutzt wurde.

Standardvertragsklauseln (SCCs)

Der EuGH hat nicht nur das Privacy Shield für ungültig erklärt, sondern auch die Gültigkeit eines anderen häufig verwendeten Übermittlungsmechanismus in Frage gestellt, der als „Standardvertragsklauseln“ (SCCs).

SCCs sind Bestimmungen, die in ein Abkommen zwischen einem „Datenimporteur“ (mit Sitz in einem „Drittland“, z. B. den USA) und einem „Datenexporteur“ (mit Sitz im EWR) aufgenommen werden können und den Datenimporteur zur Einhaltung eines hohen Datenschutzniveaus verpflichten.

Der CJEU stellte fest, dass SCCs allein nicht verhindern, dass ausländische Nachrichtendienste-insbesondere die der USA- nicht am Zugriff auf personenbezogene Daten hindern.

Das Gericht stellte fest, dass im EWR ansässige Datenexporteure auch technische Maßnahmen ergreifen um das Risiko eines unbefugten Zugriffs auf personenbezogene Daten wirksam auszuschalten.

Google und Meta

Die 101 Beschwerden von Noyb betrafen jeweils im EWR ansässige Unternehmen, die zwei gängige Online-Tracking-Tools verwenden: Google Analytics und das Meta Pixel (früher „Facebook-Pixel“).

Die Gruppe behauptete, dass Unternehmen, die diese Tools verwenden, verstoßen gegen das Gesetz weil sie keine Sicherheitsvorkehrungen getroffen hätten, die den Zugriff auf personenbezogene Daten durch US-Geheimdienste verhindern würden.

Beachten Sie jedoch, dass Google Analytics und das Meta Pixel nicht eindeutig sind in der Art und Weise, wie sie personenbezogene Daten an in den USA ansässige Unternehmen übermitteln. Die Lehren aus dem Bericht der Task Force 101 könnten auch für viele andere Software-Tools gelten.

Vier Lehren aus dem Bericht der Task Force 101

Inzwischen sollten Sie den Hintergrund und die Bedeutung wichtiger Begriffe wie „SCC“ und „internationaler Datentransfer“ verstehen. Schauen wir uns also an vier Lektionen über Datenübertragungen aus dem Bericht der Task Force 101.

1. Datenübertragungen sind nicht die einzige Überlegung bei der Nutzung der Tools von Google und Meta

Der EDPB stellt gleich zu Beginn fest, dass Datenübertragungen nur eine Überlegung sind für im EWR ansässige Unternehmen, die Google Analytics oder das Meta Pixel nutzen möchten.

„…wenn ein bestimmtes Tool zur Erhebung personenbezogener Daten auf einer Website ohne Rechtsgrundlage im Sinne von Artikel 6 Absatz 1 DSGVO verwendet wird, ist die Datenverarbeitung rechtswidrig, selbst wenn keine Probleme mit den Anforderungen von Kapitel V der DSGVO bestehen.“

Artikel 6 Absatz 1 der Datenschutz-Grundverordnung verlangt, dass jede Verarbeitung personenbezogener Daten „rechtmäßig, fair und transparent“ ist. Kapitel V der Datenschutz-Grundverordnung enthält die Vorschriften für die internationale Datenübermittlung.

Die 101 Task Force konzentriert sich zwar ausschließlich auf Datenübertragungen, doch ist es wichtig zu bedenken, dass es andere rechtliche Probleme geben kann bei der Verwendung von Produkten wie Google Analytics und dem Meta Pixel.

So erfordert beispielsweise die Verarbeitung personenbezogener Daten nach der DSGVO eine „Rechtsgrundlage“. Organisationen, die Analyse- und Werbetools einsetzen, die Cookies verwenden sollte normalerweise die Zustimmung einholenDas bedeutet, dass die Tools so konfiguriert werden müssen, dass sie nicht ohne die Zustimmung des Besuchers der Website aktiviert werden.

Die 101 Beschwerden von Noyb konzentrierten sich auf Datenübertragungen – doch das ist nur ein Teil des Puzzles zur Einhaltung der DSGVO. Die Produkte von Google und Meta sammeln eine Menge personenbezogener Datenund es könnten noch weitere Fragen zur Einhaltung der GDPR zu klären sein, bevor diese Tools eingesetzt werden.

2. Verschlüsselung schützt persönliche Daten nicht immer

Die 101 Task Force war sich einig, dass die Tools von Google und Meta personenbezogene Daten in die USA übertragen und nicht die Art von technischen Sicherheitsvorkehrungen die den Anforderungen der GDPR an die Datenübertragung entsprechen.

Wie bereits erwähnt, können SCCs ein brauchbares Datenübertragungsinstrument sein. In der Entscheidung in der Rechtssache Schrems II stellte der EuGH jedoch fest, dass Unternehmen, die eine SCC einsetzen, unter Umständen auch Folgendes beachten müssen den Schutz durch SCCs ergänzen durch zusätzliche technische Sicherheitsvorkehrungen.

Die Verschlüsselung kann ein solcher technischer Schutz sein. Die Task Force 101 stellt jedoch fest, dass Verschlüsselung ist nicht immer genug.

Im EWR ansässige Unternehmen können personenbezogene Daten rechtmäßig an in den USA ansässige Unternehmen übermitteln, wenn die folgenden drei Bedingungen erfüllt sind:

  1. SCCs sind vorhanden, und
  2. Die persönlichen Daten werden verschlüsselt und
  3. Das in den USA ansässige Unternehmen verfügt nicht über die Entschlüsselungsschlüssel.

Google Analytics und das Meta Pixel erfüllen die ersten beiden Bedingungen, nicht aber die dritte.

Google Analytics und das Meta-Pixel werden zum Teil zur Analyse des individuellen Nutzerverhaltens eingesetzt. Als solche, Google und Meta müssen die persönlichen Daten, die ihre Tools sammeln, „sehen“..

Sowohl Google als auch Meta geben an, dass sie personenbezogene Daten „bei der Übermittlung“ in die USA verschlüsseln, was verhindern soll, dass unbefugte Dritte personenbezogene Daten abfangen können.

Allerdings, Google und Meta kontrollieren die VerschlüsselungsschlüsselDadurch können die Unternehmen die personenbezogenen Daten entschlüsseln und analysieren und die Ergebnisse dieser Analyse an die Betreiber der Website weitergeben. Die personenbezogenen Daten sind somit für diese Unternehmen in unverschlüsselter Form zugänglich sind.

Aufgrund der nationalen Sicherheitsgesetze der USA können die US-Geheimdienste US-Unternehmen anweisen, sowohl sowohl verschlüsselte personenbezogene Daten als auch die Verschlüsselungsschlüssel zur Entschlüsselung erforderlich. Dies birgt ein inakzeptables Risiko des unbefugten Zugriffs und macht die Übermittlung unrechtmäßig.

3. Europäische Organisationen sind für unrechtmäßige Datenübermittlungen haftbar

Europäische Unternehmen – nicht Google und Meta – sind verantwortlich für alle GDPR-Verstöße die durch die Verwendung von Tools wie Google Analytics und dem Meta Pixel verursacht werden.

Obwohl sich die 101 Beschwerden von Noyb auf diese beiden Produkte konzentrierten, Google und Meta waren nicht die Auskunftspersonen. Die Beschwerden von Noyb richteten sich gegen im EWR ansässige Websites, die als „für die Datenverarbeitung Verantwortliche“ handeln, indem sie Google Analytics oder das Meta Pixel auf ihren Websites einsetzen.

Nach der DSGVO bestimmt der für die Verarbeitung Verantwortliche „die Zwecke und Mittel“ der Verarbeitung personenbezogener Daten.

Ausgangspunkt für die Beurteilung jeder der 101 Beschwerden wardass ein Website-Betreiber, der Google Analytics oder das Meta Pixel verwendet, ein für die Verarbeitung Verantwortlicher ist, weil er:

  • beschließt (entscheidet), das Tool auf seiner Website zu installieren.
  • Es gibt einen Grund (Zweck) für die Verwendung des Tools (z. B. zur Steigerung des Absatzes durch verhaltensorientierte Werbung).
  • wählt die Methode (Mittel) der Verarbeitung personenbezogener Daten (z. B. die Verwendung des Meta-Pixels, um personenbezogene Daten über seine Nutzer zu sammeln und relevante Werbung anzuzeigen).

Website-Betreiber, die Google Analytics und Meta Pixel verwenden, übertragen personenbezogene Daten über ihre Website-Besucher an in den USA ansässige Server, die Google bzw. Meta gehören. Diese Website-Betreiber sind verantwortlich für die Umsetzung von Schutzmaßnahmen bei der Datenübertragung – nicht Google oder Meta.

4. Die europäischen Regulierungsbehörden verfolgen einen einheitlichen Ansatz

Anfang 2022 begannen die EU-Datenschutzbehörden, einige der 101 Beschwerden abzuschließen. So haben beispielsweise die Datenschutzbehörden in mehreren Ländern, darunter Finnland, Österreich, Frankreich, Italien und Dänemark, Beschwerden über Unternehmen, die Google Analytics verwenden, entschieden.

In beiden Fällen kamen die Datenschutzbehörden zu demselben Ergebnis: Google Analyticswenn es in einer der von Google bereitgestellten Standardkonfigurationen implementiert wird, kann nicht verwendet werden, ohne gegen die GDPR zu verstoßen.

Jede Datenschutzbehörde traf die gleiche Entscheidung: Der Website-Betreiber muss Google Analytics entfernen.

Dieser konsequente Ansatz hat seinen Grund. Die EWR-Regulierungsbehörden verfügen über Mechanismen, die ihnen helfen, Unstimmigkeiten zu beseitigen und sicherzustellen, dass sie das Recht konsequent anwenden.

Dies bedeutet, dass alle noch ausstehenden 101 Beschwerden wahrscheinlich auf die gleiche Weise entschieden werden – zusammen mit allen weiteren Beschwerden, die sich auf Google Analytics, das Meta Pixel oder alle anderen Tools, die personenbezogene Daten in die USA übertragen ohne ausreichende Sicherheitsvorkehrungen.

Wir hoffen, dass dieser Leitfaden hilfreich war. Wir danken Ihnen für die Lektüre und wünschen Ihnen viel Erfolg bei der Verbesserung der Datenschutzpraktiken in Ihrem Unternehmen! Bleiben Sie dran und lesen Sie weitere hilfreiche Artikel und Tipps, wie Sie Ihr Geschäft ausbauen und durch die Einhaltung von Datenschutzbestimmungen Vertrauen gewinnen können. Testen Sie die Datenschutzpraktiken Ihres Unternehmens,

HIER KLICKEN

und erhalten Sie jetzt Ihre sofortige Datenschutzbewertung!