DSGVO: mögliche „Razzien“ durch Datenschutzbehörden
Die Entscheidung des EuGH zum Privacy Shield hat jede Menge Staub aufgewirbelt und Fragen offen gelassen. Bisher ist weitestgehend davon ausgegangen worden, dass bis zur Klärung der Rechtslage (etwa eines neuen Abkommens) seitens der Behörden wie auch schon zu Zeiten des Safe-Harbour-Urteils nichts weiter unternommen werde.
Es sind bereits stichprobenartige Kontrollen durch die Datenschutzbehörden vorgenommen worden. Dabei wurden der rechtskonforme Einsatz von Tracking-Diensten unter die Lupe genommen und Anhörungsverfahren eingeleitet. Meistens soll es bei den Kontrollen um den Analysedienst „Google Analytics“ gegangen sein.
Jetzt soll nach einer Pressemitteilung des Landesbeauftragten für Datenschutz Baden-Württemberg eine groß angelegte Kontrolle durchgeführt werden. Dabei sollen zwar zunächst die sog. „Big Player“, später aber flächendeckend kontrolliert werden. Die Behörden wollen damit die einheitliche Einhaltung der Vorgaben zum Datenschutz bei Trackingdiensten erreichen.
„Der Landesbeauftragte für Datenschutz und Informationsfreiheit (LfDI) Baden-Württemberg wird daher zeitgleich mit anderen deutschen Aufsichtsbehörden in einem groß angelegten Verfahren Online-Angebote auf eine rechtskonforme Einbindung von Tracking-Technologien prüfen. Die Prüfung wurde länderübergreifend vorbereitet. Sie wird in enger Zusammenarbeit der beteiligten Landesdatenschutzbehörden innerhalb des jeweiligen Zuständigkeitsbereiches in völliger Unabhängigkeit durchgeführt.
Gegenstand dieser Prüfung werden in einem ersten Schritt die Internetpräsenzen von Medienunternehmen sein. Diese setzen Tracking-Dienste häufig in besonders großem Umfang auf ihren Websites ein. Wollen Medienunternehmen Tracking-Technologien nutzen, können diese nur erlaubt sein, wenn die/der Nutzer*in hierin wirksam einwilligt – d.h. informiert, freiwillig, vorab, separat und in Kenntnis einer zumutbaren Möglichkeit, die Einwilligung jederzeit mit Wirkung für die Zukunft zu widerrufen“ lautet die Pressemitteilung.
Bei einem Verstoß gegen die Vorschriften würden die Behörden zunächst ein Anhörungsverfahren eröffnen, in dem der Betroffene Verwender Gelegenheit zur Stellungnahme erhält. Die Behörden sind befugt, ein Bußgeldverfahren einzuleiten, wenn der Vorwurf nicht entkräftet werden kann.
Daher sollten Webseitenbetreiber es möglichst gar nicht erst zu einer Anhörung kommen lassen.
Wir haben bereits regelmäßig darüber informiert, dass Tracking Dienste ausschließlich nach erfolgter wirksamer (und im besten Fall auf dokumentierter) Einwilligung des Nutzers aktiv werden dürfen. Hierzu muss die Einwilligung ausdrücklich und informiert erfolgen.
Dies kann unter anderem durch sog. Cookie-Consent-tools erfolgen. Es öffnet sich dann beim Betreten der Seite ein Overlay, bei dem alle Cookie-Einwilligungen einzeln abgefragt werden können. Diese dürfen nicht vorab schon eingestellt sein. Außerdem muss die Möglichkeit bestehen, jederzeit mit Wirkung für die Zukunft Cookies wieder zu deaktivieren.
Es reicht ausdrücklich nicht aus, einen Hinweis zu erteilen, nach dem das Weitersurfen auf der Webseite eine konkludente Einwilligung darstellt!
Nun ist nach wie vor die mit dem Privacy-Shield-Urteil aufgetretene Problematik der „informierten“ Einwilligung damit leider noch nicht beseitigt, jedenfalls nicht in jedem Fall. Nachdem nämlich nun der Privacy-Shield nicht mehr wirksam ist, kann das Schutzniveau des Datentransfers nur noch über die sog. Standardvertragsklauseln der EU legitimiert werden. Der Bundesbeauftragte für den Datenschutz hat dazu jedoch mitgeteilt, dass eine Übermittlung von Daten in die USA nur dann über Standardvertragsklauseln begründet werden kann, wenn zusätzliche Maßnahmen getroffen werden, die das gleiche Datenschutzniveau wie in der Europäischen Union gewährleisten.
Eine „Orientierungshilfe“ dazu gibt es seitens des Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg (https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2020/08/LfDI-BW-Orientierungshilfe-zu-Schrems-II.pdf):
Es muss im Zielland ein Schutzniveau für die personenbezogenen Daten
sichergestellt sein, das dem in der Europäischen Union entspricht. Der Verantwortliche (also der Webseitenbetreiber) muss für den Einzelfall prüfen, ob das Recht des Drittlandes ein angemessenes Schutzniveau bietet und entsprechende zusätzliche Maßnahmen treffen bzw. mit dem Datenimporteur vereinbaren. Wo der Verantwortliche auch mit zusätzlichen Maßnahmen keinen geeigneten Schutz vorsehen kann, muss er den Transfer aussetzen/beenden.
Das gilt insbesondere dann, wenn das Land Datenimporteurs (hier also beispielhaft USA) diesem Pflichten auferlegt, die den hier erforderlichen Schutz gegen den Zugriff von Behörden stören. Wenn also der Datenimporteur aufgrund eigener Pflichten gegenüber seinen Behörden (etwas weil er ihnen den Zugang zu den Daten ermöglichen muss) das Schutzniveau der EU nicht einhalten kann, ist der Transfer nicht erlaubt, sofern nicht andere Maßnahmen den Schutz gewährleisten.
Als Beispiel werden genannt:
- Verschlüsselung, bei der nur der Datenexporteur den Schlüssel hat und die auch von US-Diensten nicht gebrochen werden kann
- Anonymisierung oder Pseudonymisierung, bei der nur der Datenexporteur die Zuordnung vornehmen kann
Wenn Sie Daten in ein anderes Drittland übermitteln sollten Sie nach Ansicht des LfDI die Rechtslage in dem genannten Land überprüfen, insbesondere hinsichtlich der Zugriffsmöglichkeiten des Geheimdienstes und der dem Betroffenen zustehenden Rechte und Rechtsschutzmöglichkeiten und auch hier die genannten Ergänzungen der Garantien der Standardvertragsklauseln aufnehmen.
Der LfDI schlägt folgende Checkliste zur Abarbeitung vor, wobei Kontaktaufnahmen möglichst schriftlich festzuhalten sind, um gegebenenfalls bei einer Prüfung den Willen zur Einhaltung der DSGVO demonstrieren zu können:
- Machen Sie eine Bestandsaufnahme machen: wo und wie exportieren Sie Daten in Drittländer? (darunter können auch Zugriffsmöglichkeiten von privaten oder öffentlichen Stellen in Drittstaaten auf bei Ihnen vorgehaltene Daten zählen, ein physischer Export der Daten ist also nicht erforderlich
- Setzen Sie sich mit Ihrem Dienstleister/Vertragspartner im Drittland in Verbindung. Informieren Sie ihn über die EuGH Entscheidung und die Konsequenzen.
- informieren Sie sich über die Rechtslage im Drittland (öffentliche Stellen wie die Datenschutz-Aufsichtsbehörden, der Europ. Datenschutz- Ausschuss (EDSA), die EU-Kommission oder das Auswärtige Amt sollten dazu Hilfestellungen geben können)
- überprüfen Sie, ob es für das Drittland einen Angemessenheitsbeschluss nach Art. 45 DS-GVO gibt Für die USA wurde dieser nun für ungültig erklärt, aber für Argentinien, Kanada, Japan, Neuseeland oder die Schweiz besteht diese Möglichkeit z.B. noch, s. eine ausführliche Liste hier: https://ec.europa.eu/info/law/lawtopic/data-protection/international-dimension-data-protection/adequacydecisions_en ;ggfls. können Sie sich auch auf verbindliche interne Datenschutzvorschriften gemäß Artikel 47 (BCRs) berufen
- überprüfen Sie, ob Sie die von der EU-Kommission beschlossenen Standardvertragsklauseln für das jeweilige Land nutzen können (Art. 46 Abs. 2c DS-GVO) – diese sind abrufbar unter https://eurlex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32010D0087.
Hinweis:
Standardvertragsklauseln werden eher nicht nutzbar sein, wenn Behörden oder sonstige Stellen des Drittlandes in unverhältnismäßiger Art und Weise in die Rechte der betroffenen Personen eingreifen können (z.B. ein massenhafter Abruf von Daten ohne Information der Betroffenen und ohne verfahrensrechtliche Sicherungen wie einen Richtervorbehalt) und es keinen wirksamen Rechtsschutz für die Betroffenen gibt. Für die USA wurde dies vom EuGH verneint. Eine Übermittlung von Daten mithilfe der Standardvertragsklauseln ist in die USA daher nur in eng begrenzten Fällen mithilfe zusätzlicher Garantien (z.B. Verschlüsselung, s.o. etc.) möglich.
- Überprüfen Sie, ob Sie die Daten mithilfe der Standardvertragsklauseln und zusätzlicher Garantien in das jeweilige Land übertragen können. Dies beinhaltet insbesondere die Überlegung, ob Sie die Übertragung bzw. den Zugriff durch andere relativ vermeiden können (Verschlüsselung, Vereinbarung, dass die Daten innerhalb des Geltungsbereichs der DSGVO gehostet werden oder dass keine Datenübertragung in die USA vorgenommen wird)
- Um Ihren Willen zu einem rechtskonformen Handeln zu demonstrieren und zu dokumentieren, sollten Sie zudem Kontakt mit dem jeweiligen Empfänger der Daten aufnehmen und sich insbesondere über eine Änderung der Bestimmungen der Standardvertragsklauseln verständigen.
Sollten Sie daran Interesse haben, sind wir Ihnen dabei im Einzelnen gerne behilflich.
Diese Ankündigung und die damit verbundenen notwendigen Schritte sind, gelinde gesagt, für den juristischen Laien nur sehr schwer umsetzbar. Die Empfehlungen halten wir für fernab jeglicher Praktikabilität, jedoch bieten sie immerhin einen Anhaltspunkt dafür, was mit „zusätzlichen Maßnahmen“ gemeint sein kann.