Österreichische Datenschutzbehörde lehnt „risikobasierten Ansatz“ für Datenexporte in Drittländer ab

rubber stamp g6a6564d19 640Bereits im Februar 2022 berichteten wir darüber dass die österreichische Datenschutzbehörde DSB und die französische Datenschutzbehörde CNIL die Nutzung von Google Analytics in datenschutzrechtlicher Hinsicht für rechtswidrig erklärten. Nun lehnte die österreichische Datenschutzbehörde auch den von den US-Diensten oftmals vorgeschlagenen „risikobasierten Ansatz“ für Datenübermittlungen in Drittländer ab.
Zuvor stellten die spanische und luxemburgische Aufsichtsbehörde ihre Verfahren bezüglich der Rechtmäßigkeit der Nutzung von Google Analytics ein, da die betroffenen Websites den Google-Dienst nicht mehr verwenden.
Die österreichische Aufsichtsbehörde hat zu der Thematik um die Nutzung von Google Analytics einen Teilbescheid erlassen (Anonymisierte Version bei NOYB – Non of your Business: https://noyb.eu/sites/default/files/2022-04/Bescheid%20geschw%C3%A4rzt.pdf).

Risikobasierter Ansatz für Datenübermittlungen

Seit der „Schrems II“ Entscheidung des Europäischen Gerichtshofs haben sich die großen Tech-Unternehmen der USA Gedanken darüber gemacht, wie sie datenschutzkonform Daten importieren können. Dabei kamen sie zu dem „risikobasierten Ansatz“ für Datenübermittlungen. Durch diesen Ansatz nimmt der Verantwortliche nur zusätzliche Sicherheitsvorkehrungen vor, wenn ein erhebliches Risiko für die Rechte und Freiheiten der betroffenen Person besteht. Die Standardvertragsklauseln sollen parallel für risikoarme Fälle ausreichen, zum Beispiel beim Transfer von Online-Kennungen oder IP-Adressen.
Kern und Neuheit der Entscheidung der österreichischen Datenschutzbehörde ist, dass für die Einhaltung der DSGVO ein solcher risikobasierter Ansatz für Datenübermittlungen in unsichere Drittländer wie die USA nicht ausreicht.

Auch eine Pseudonymisierung der Daten oder eine Anonymisierung der IP-Adressen reicht nicht aus

Die Aufsichtsbehörde lehnt die technische Maßnahme der Pseudonymisierung der personenbezogenen Daten ab. An dieser Stelle argumentiert sie mit der Ansicht der Deutschen Datenschutzkonferenz. Diese hat zuvor bereits ausgeführt, dass die Tatsache, dass die Nutzer etwa über IDs oder Kennungen bestimmbar gemacht werden, keine Pseudonymisierungsmaßnahme i.S.d. DSGVO darstellt. Denn anders als in Fällen, in denen der Verantwortliche Daten pseudonymisiert, um die identifizierenden Daten zu verschleiern oder zu löschen, sodass die betroffenen Personen nicht mehr adressierbar sind, werden IDs oder Kennungen dazu genutzt, die einzelnen Individuen unterscheidbar und adressierbar zu machen. Eine Schutzwirkung liegt daher nicht vor.
Auch die Anonymisierung der IP-Adresse stellt keine wirksame technische Maßnahme zum Schutz der personenbezogenen Daten dar. Zwar sind Anonymisierungen grundsätzlich geeignet um personenbezogene Daten zu sichern, die Anonymisierung ist jedoch erst erst nach der Übermittlung an Google erfolgt. Zudem betrifft die Anonymisierung nur die IP-Adresse für sich. Online-Identifikatoren, die der Nutzer über Cookies oder Gerätedaten setzt, werden weiterhin im Klartext übertragen.

Fazit

Die österreichische Datenschutzbehörde nimmt mit diesem Teilbescheid eine klare Position ein. Die Datenübermittlung in die USA mittels Google Analytics ist auch unter der Anwendung des so genannten „risikobasierten Ansatzes“ weiterhin rechtswidrig. Dieser Leitsatz dürfte auch für zukünftige Verfahren anderer Aufsichtsbehörden interessant und wegweisend sein. Die Thematik rund um Google Analytics zeigt auf, dass Behörden und in diesem Fall auch die NGO Noyb, konsequent und immer häufiger mögliche Datenschutzverletzungen verfolgen. Gemäß Art. 83 ff. DSGVO können die Aufsichtsbehörden erhebliche Geldbußen bei Datenschutzverletzungen verhängen.

Co-Autor: Wissenschaftlicher Mitarbeiter – Ref. jur. Philipp Schmelz

Bildquelle: Bild von Gerd Altmann auf Pixabay

Benjamin Schmidt
Autor: Benjamin Schmidt
Diplomjurist & Business Development Manager
Autoren-Info:
Herr Diplomjurist Benjamin Schmidt gehört dem Team von DURY LEGAL bereits seit Januar 2016 an. Er ist Leiter der Website-Check Abteilung und ist in dieser Funktion zuständig für deren technischen Systeme im Zusammenhang mit der rechtlichen Prüfung von Webseiten und Online-Shops. Seine Abteilung bildet die Schnittstelle zur Website-Check GmbH, die ebenfalls der DURY Gruppe angehört. Er unerstützt zudem das Dezernat von Rechtsanwalt Marcus Dury LL.M.im Bereich der Vertragsbearbeitung und rechtlichen Beratung in IT-Projekten.

datenschutz luxemburg 2019 DURY cover

Jetzt bestellen: DURY / KERZ - Datenschutz in Luxemburg

Dieses Handbuch gibt einen praxisnahen Einblick in die Besonderheiten des luxemburgischen Datenschutzrechts und deren Zusammenspiel mit der Datenschutzgrundverordnung (DSGVO). Seit dem 25. Mai 2018 ist die DSGVO wirksam. Das neue luxemburgische Datenschutzgesetz ist seit dem 20. August 2018 in allen Datenverarbeitungsprozessen mit Bezug zu Luxemburg ergänzend zu der DSGVO zu beachten.
Im ersten Teil dieses Buches erfahren Sie, welche neuen gesetzlichen Anforderungen die DSGVO und das neue luxemburgische Datenschutzgesetz an Unternehmen in Luxemburg bzw. Konzernstrukturen mit Bezug zu Luxemburg stellen.
Im zweiten Teil des Buches finden Sie eine systematische Darstellung der DSGVO und des luxemburgischen Datenschutzgesetzes.
Es soll Ihnen im Unternehmensalltag helfen, datenschutzrechtliche Vorgaben in Luxemburg einzuhalten und diese in der Praxis mit möglichst wenig Aufwand umzusetzen.
Das Buch, inklusive des Textes des luxemburgischen Datenschutzgesetzes, ist in drei Sprachen erhältlich: Französisch, Englisch und Deutsch. Die deutsche und englische Übersetzung des Gesetzestextes sind zudem von der luxemburgischen Aufsichtsbehörde (CNPD) autorisiert, sodass Sie sicher sein können, dass Ihnen bei der Anwendung der Übersetzungen kein Nachteil gegenüber der Anwendung des ursprünglichen Gesetzeswortlauts entsteht.

Zielgruppe

Dieses Praxishandbuch richtet sich an alle, die sich mit dem Thema Datenschutz in Luxemburg beruflich beschäftigen, z. B. Datenschutzbeauftragte in Unternehmen oder Vereinen, Berater, Geschäftsführer oder sonstige IT-Verantwortliche.

Bestellen Sie jetzt per Fax unter +49 (0) 8581 754, bei Amazon.de oder auf www.shop.ruw.de