![\"\"](\"https:\/\/www.ubiscore.com\/wp-content\/uploads\/2023\/05\/four-gdpr-data-transfer-lessons-from-the-edpb-s-101-task-force-report-300x158.png\"){kind=spacer}
<\/p>\n<\/p>\n
Der Europ\u00e4ische Datenschutzausschuss (EDPB) hat einen Bericht \u00fcber die Arbeit seiner <\/span>Task Force 101<\/b>. Der Bericht gibt Einblicke in die Art und Weise, wie die europ\u00e4ischen Datenschutzbeh\u00f6rden (DSB) an Beschwerden \u00fcber <\/span>eines der schwierigsten Probleme der GDPR<\/b>Internationale Daten\u00fcbermittlung.<\/span><\/p>\n In diesem Artikel werden die Hintergr\u00fcnde der 101 Task Force des EDPB erl\u00e4utert und vier wichtige Erkenntnisse aus dem Bericht herausgearbeitet, damit Sie verstehen, warum<\/span> die Verwendung bestimmter Softwareprodukte mit Sitz in den USA nach der Datenschutz-Grundverordnung illegal sein k\u00f6nnte.<\/b><\/p>\n Die 101-Task-Force des EDPB wurde eingerichtet, um sich mit <\/span> Die Beschwerden kamen kurz nachdem der Gr\u00fcnder von noyb, der \u00f6sterreichische Aktivist Max Schrems, vor dem Gerichtshof der Europ\u00e4ischen Union (EuGH) einen Prozess gegen Facebook (jetzt Meta) gewonnen hatte.<\/span><\/p>\n Der Fall, der jetzt als „Schrems II“ bekannt ist, betraf <\/span>die Vorschriften der Datenschutz-Grundverordnung \u00fcber die internationale Daten\u00fcbermittlung<\/b>-die Weitergabe personenbezogener Daten an Organisationen mit Sitz au\u00dferhalb des Europ\u00e4ischen Wirtschaftsraums (EWR).<\/span><\/p>\n Gem\u00e4\u00df der GDPR, <\/span>m\u00fcssen internationale Daten\u00fcbermittlungen durch eine „\u00dcbermittlungssicherung“ abgedeckt sein<\/b>. In der Rechtssache Schrems II kippte der EuGH ein internationales Datentransfersystem namens Privacy Shield, das von Tausenden von in den USA ans\u00e4ssigen Unternehmen zur Absicherung von Datentransfers aus dem EWR genutzt wurde.<\/span><\/p>\n Der EuGH hat nicht nur das Privacy Shield f\u00fcr ung\u00fcltig erkl\u00e4rt, sondern auch die G\u00fcltigkeit eines anderen h\u00e4ufig verwendeten \u00dcbermittlungsmechanismus in Frage gestellt, der als <\/span>„Standardvertragsklauseln“ (SCCs).<\/b> <\/span><\/p>\n SCCs sind Bestimmungen, die in ein Abkommen zwischen einem „Datenimporteur“ (mit Sitz in einem „Drittland“, z. B. den USA) und einem „Datenexporteur“ (mit Sitz im EWR) aufgenommen werden k\u00f6nnen und den Datenimporteur zur Einhaltung eines hohen Datenschutzniveaus verpflichten.<\/span><\/p>\n Der CJEU stellte fest, dass <\/span>SCCs allein nicht verhindern, dass ausl\u00e4ndische Nachrichtendienste<\/b>-insbesondere die der USA- nicht am Zugriff auf personenbezogene Daten hindern. <\/span> <\/p>\n Das Gericht stellte fest, dass im EWR ans\u00e4ssige Datenexporteure auch <\/span>technische Ma\u00dfnahmen ergreifen <\/b>um das Risiko eines unbefugten Zugriffs auf personenbezogene Daten wirksam auszuschalten.<\/span><\/p>\n Die 101 Beschwerden von Noyb betrafen jeweils im EWR ans\u00e4ssige Unternehmen, die zwei g\u00e4ngige Online-Tracking-Tools verwenden: <\/span>Google Analytics und das Meta Pixel <\/b>(fr\u00fcher „Facebook-Pixel“).<\/span><\/p>\n Die Gruppe behauptete, dass <\/span>Unternehmen, die diese Tools verwenden, versto\u00dfen gegen das Gesetz <\/b>weil sie keine Sicherheitsvorkehrungen getroffen h\u00e4tten, die den Zugriff auf personenbezogene Daten durch US-Geheimdienste verhindern w\u00fcrden.<\/span><\/p>\n Beachten Sie jedoch, dass <\/span>Google Analytics und das Meta Pixel nicht eindeutig sind <\/b> in der Art und Weise, wie sie personenbezogene Daten an in den USA ans\u00e4ssige Unternehmen \u00fcbermitteln. Die Lehren aus dem Bericht der Task Force 101 k\u00f6nnten auch f\u00fcr viele andere Software-Tools gelten.<\/span><\/p>\n Inzwischen sollten Sie den Hintergrund und die Bedeutung wichtiger Begriffe wie „SCC“ und „internationaler Datentransfer“ verstehen. Schauen wir uns also an <\/span>vier Lektionen \u00fcber Daten\u00fcbertragungen <\/b>aus dem Bericht der Task Force 101.<\/span><\/p>\n Der EDPB stellt gleich zu Beginn fest, dass <\/span>Daten\u00fcbertragungen nur eine \u00dcberlegung sind <\/b>f\u00fcr im EWR ans\u00e4ssige Unternehmen, die Google Analytics oder das Meta Pixel nutzen m\u00f6chten.<\/span><\/p>\n „…wenn ein bestimmtes Tool zur Erhebung personenbezogener Daten auf einer Website ohne Rechtsgrundlage im Sinne von Artikel 6 Absatz 1 DSGVO verwendet wird, ist die Datenverarbeitung rechtswidrig, selbst wenn keine Probleme mit den Anforderungen von Kapitel V der DSGVO bestehen.“<\/span><\/i><\/p>\n Artikel 6 Absatz 1 der Datenschutz-Grundverordnung verlangt, dass <\/span>jede Verarbeitung personenbezogener Daten „rechtm\u00e4\u00dfig, fair und transparent“ ist<\/b>. Kapitel V der Datenschutz-Grundverordnung enth\u00e4lt die Vorschriften f\u00fcr die internationale Daten\u00fcbermittlung.<\/span><\/p>\n Die 101 Task Force konzentriert sich zwar ausschlie\u00dflich auf Daten\u00fcbertragungen, doch ist es wichtig zu bedenken, dass <\/span>es andere rechtliche Probleme geben kann <\/b>bei der Verwendung von Produkten wie Google Analytics und dem Meta Pixel.<\/span><\/p>\n So erfordert beispielsweise die Verarbeitung personenbezogener Daten nach der DSGVO eine „Rechtsgrundlage“. Organisationen, die Analyse- und Werbetools einsetzen, die Cookies verwenden <\/span>sollte normalerweise die Zustimmung einholen<\/b>Das bedeutet, dass die Tools so konfiguriert werden m\u00fcssen, dass sie nicht ohne die Zustimmung des Besuchers der Website aktiviert werden.<\/span><\/p>\n Die 101 Beschwerden von Noyb konzentrierten sich auf Daten\u00fcbertragungen – doch das ist nur ein Teil des Puzzles zur Einhaltung der DSGVO. <\/span>Die Produkte von Google und Meta sammeln eine Menge personenbezogener Daten<\/b>und es k\u00f6nnten noch weitere Fragen zur Einhaltung der GDPR zu kl\u00e4ren sein, bevor diese Tools eingesetzt werden.<\/span><\/p>\n Die 101 Task Force war sich einig, dass die Tools von Google und Meta personenbezogene Daten in die USA \u00fcbertragen und nicht die Art von <\/span>technischen Sicherheitsvorkehrungen <\/b>die den Anforderungen der GDPR an die Daten\u00fcbertragung entsprechen.<\/span><\/p>\n Wie bereits erw\u00e4hnt, k\u00f6nnen SCCs ein brauchbares Daten\u00fcbertragungsinstrument sein. In der Entscheidung in der Rechtssache Schrems II stellte der EuGH jedoch fest, dass Unternehmen, die eine SCC einsetzen, unter Umst\u00e4nden auch Folgendes beachten m\u00fcssen <\/span>den Schutz durch SCCs erg\u00e4nzen <\/b>durch zus\u00e4tzliche technische Sicherheitsvorkehrungen.<\/span><\/p>\n Die Verschl\u00fcsselung kann ein solcher technischer Schutz sein. Die Task Force 101 stellt jedoch fest, dass <\/span>Verschl\u00fcsselung ist nicht immer genug<\/b>. <\/span> <\/p>\n Im EWR ans\u00e4ssige Unternehmen k\u00f6nnen personenbezogene Daten rechtm\u00e4\u00dfig an in den USA ans\u00e4ssige Unternehmen \u00fcbermitteln, wenn die folgenden drei Bedingungen erf\u00fcllt sind:<\/span><\/p>\n Google Analytics und das Meta Pixel erf\u00fcllen die ersten beiden Bedingungen, nicht aber die dritte.<\/span><\/p>\n Google Analytics und das Meta-Pixel werden zum Teil zur Analyse des individuellen Nutzerverhaltens eingesetzt. Als solche, <\/span>Google und Meta m\u00fcssen die pers\u00f6nlichen Daten, die ihre Tools sammeln, „sehen“.<\/b>.<\/span><\/p>\n Sowohl Google als auch Meta geben an, dass sie personenbezogene Daten „bei der \u00dcbermittlung“ in die USA verschl\u00fcsseln, was verhindern soll, dass unbefugte Dritte personenbezogene Daten abfangen k\u00f6nnen. <\/span><\/p>\n Allerdings, <\/span>Google und Meta kontrollieren die Verschl\u00fcsselungsschl\u00fcssel<\/b>Dadurch k\u00f6nnen die Unternehmen die personenbezogenen Daten entschl\u00fcsseln und analysieren und die Ergebnisse dieser Analyse an die Betreiber der Website weitergeben. Die personenbezogenen Daten sind somit <\/span>f\u00fcr diese Unternehmen in unverschl\u00fcsselter Form zug\u00e4nglich sind<\/b>.<\/span><\/p>\n Aufgrund der nationalen Sicherheitsgesetze der USA k\u00f6nnen die US-Geheimdienste US-Unternehmen anweisen, sowohl <\/span>sowohl verschl\u00fcsselte personenbezogene Daten als auch die Verschl\u00fcsselungsschl\u00fcssel <\/b> zur Entschl\u00fcsselung erforderlich. Dies birgt ein inakzeptables Risiko des unbefugten Zugriffs und macht die \u00dcbermittlung unrechtm\u00e4\u00dfig.<\/span><\/p>\n Europ\u00e4ische Unternehmen – nicht Google und Meta – sind <\/span>verantwortlich f\u00fcr alle GDPR-Verst\u00f6\u00dfe <\/b>die durch die Verwendung von Tools wie Google Analytics und dem Meta Pixel verursacht werden.<\/span><\/p>\n Obwohl sich die 101 Beschwerden von Noyb auf diese beiden Produkte konzentrierten, <\/span>Google und Meta waren nicht die Auskunftspersonen<\/b>. Die Beschwerden von Noyb richteten sich gegen im EWR ans\u00e4ssige Websites, die als „f\u00fcr die Datenverarbeitung Verantwortliche“ handeln, indem sie Google Analytics oder das Meta Pixel auf ihren Websites einsetzen.<\/span><\/p>\n Nach der DSGVO bestimmt der f\u00fcr die Verarbeitung Verantwortliche „die Zwecke und Mittel“ der Verarbeitung personenbezogener Daten. <\/span><\/p>\n Ausgangspunkt f\u00fcr die Beurteilung jeder der 101 Beschwerden war<\/span>dass ein Website-Betreiber, der Google Analytics oder das Meta Pixel verwendet, ein f\u00fcr die Verarbeitung Verantwortlicher ist,<\/b> weil er:<\/span><\/p>\n Website-Betreiber, die Google Analytics und Meta Pixel verwenden, \u00fcbertragen personenbezogene Daten \u00fcber ihre Website-Besucher an in den USA ans\u00e4ssige Server, die Google bzw. Meta geh\u00f6ren. <\/span>Diese Website-Betreiber sind verantwortlich <\/b>f\u00fcr die Umsetzung von Schutzma\u00dfnahmen bei der Daten\u00fcbertragung – nicht Google oder Meta.<\/span><\/p>\n Anfang 2022 begannen die EU-Datenschutzbeh\u00f6rden, einige der 101 Beschwerden abzuschlie\u00dfen. So haben beispielsweise die Datenschutzbeh\u00f6rden in mehreren L\u00e4ndern, darunter Finnland, \u00d6sterreich, Frankreich, Italien und D\u00e4nemark, Beschwerden \u00fcber Unternehmen, die Google Analytics verwenden, entschieden.<\/span><\/p>\n In beiden F\u00e4llen kamen die Datenschutzbeh\u00f6rden zu demselben Ergebnis: <\/span>Google Analytics<\/b>wenn es in einer der von Google bereitgestellten Standardkonfigurationen implementiert wird, <\/span>kann nicht verwendet werden, ohne gegen die GDPR zu versto\u00dfen<\/b>.<\/span><\/p>\n Jede Datenschutzbeh\u00f6rde traf die gleiche Entscheidung: <\/span>Der Website-Betreiber muss Google Analytics entfernen<\/b>.<\/span><\/p>\n Dieser konsequente Ansatz hat seinen Grund. Die EWR-Regulierungsbeh\u00f6rden verf\u00fcgen \u00fcber Mechanismen, die ihnen helfen, Unstimmigkeiten zu beseitigen und sicherzustellen, dass sie das Recht konsequent anwenden.<\/span><\/p>\n Dies bedeutet, dass alle noch ausstehenden 101 Beschwerden wahrscheinlich auf die gleiche Weise entschieden werden – zusammen mit allen weiteren Beschwerden, die sich auf Google Analytics, das Meta Pixel oder <\/span>alle anderen Tools, die personenbezogene Daten in die USA \u00fcbertragen <\/b>ohne ausreichende Sicherheitsvorkehrungen.<\/span><\/p>\n Wir hoffen, dass dieser Leitfaden hilfreich war. Wir danken Ihnen f\u00fcr die Lekt\u00fcre und w\u00fcnschen Ihnen viel Erfolg bei der Verbesserung der Datenschutzpraktiken in Ihrem Unternehmen! Bleiben Sie dran und lesen Sie weitere hilfreiche Artikel und Tipps, wie Sie Ihr Gesch\u00e4ft ausbauen und durch die Einhaltung von Datenschutzbestimmungen Vertrauen gewinnen k\u00f6nnen. Testen Sie die Datenschutzpraktiken Ihres Unternehmens, Der Europ\u00e4ische Datenschutzausschuss (EDPB) hat einen Bericht \u00fcber die Arbeit seiner Task Force 101 ver\u00f6ffentlicht. Der Bericht gibt Einblicke in die Art und Weise, wie die europ\u00e4ischen Datenschutzbeh\u00f6rden an Beschwerden \u00fcber eines der schwierigsten Probleme der Datenschutz-Grundverordnung herangehen: die internationale Daten\u00fcbermittlung.<\/p>\n","protected":false},"author":9,"featured_media":5808,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"inline_featured_image":false,"_themeisle_gutenberg_block_has_review":false,"footnotes":""},"categories":[35],"tags":[],"class_list":["post-5810","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-expertenmeinung"],"_links":{"self":[{"href":"https:\/\/www.ubiscore.com\/de\/wp-json\/wp\/v2\/posts\/5810","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ubiscore.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ubiscore.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ubiscore.com\/de\/wp-json\/wp\/v2\/users\/9"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ubiscore.com\/de\/wp-json\/wp\/v2\/comments?post=5810"}],"version-history":[{"count":1,"href":"https:\/\/www.ubiscore.com\/de\/wp-json\/wp\/v2\/posts\/5810\/revisions"}],"predecessor-version":[{"id":5811,"href":"https:\/\/www.ubiscore.com\/de\/wp-json\/wp\/v2\/posts\/5810\/revisions\/5811"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ubiscore.com\/de\/wp-json\/wp\/v2\/media\/5808"}],"wp:attachment":[{"href":"https:\/\/www.ubiscore.com\/de\/wp-json\/wp\/v2\/media?parent=5810"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ubiscore.com\/de\/wp-json\/wp\/v2\/categories?post=5810"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ubiscore.com\/de\/wp-json\/wp\/v2\/tags?post=5810"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Was ist die Task Force 101?<\/span><\/h2>\n
\n 101 Beschwerden<\/span>
\n<\/a> die in mehreren EU-L\u00e4ndern von der Datenschutzkampagnengruppe noyb („None of Your Business“) eingereicht wurden.<\/span><\/p>\nStandardvertragsklauseln (SCCs)<\/span><\/h3>\n
Google und Meta<\/span><\/h3>\n
Vier Lehren aus dem Bericht der Task Force 101<\/span><\/h2>\n
1. Daten\u00fcbertragungen sind nicht die einzige \u00dcberlegung bei der Nutzung der Tools von Google und Meta<\/span><\/h3>\n
2. Verschl\u00fcsselung sch\u00fctzt pers\u00f6nliche Daten nicht immer<\/span><\/h3>\n
\n
3. Europ\u00e4ische Organisationen sind f\u00fcr unrechtm\u00e4\u00dfige Daten\u00fcbermittlungen haftbar<\/span><\/h3>\n
\n
4. Die europ\u00e4ischen Regulierungsbeh\u00f6rden verfolgen einen einheitlichen Ansatz<\/span><\/h3>\n
\n
\n HIER KLICKEN<\/b>
\n <\/span>
\n<\/a> und erhalten Sie jetzt Ihre sofortige Datenschutzbewertung!<\/p>\n","protected":false},"excerpt":{"rendered":"