Österreichische Datenschutzbehörde lehnt „risikobasierten Ansatz“ für Datenexporte in Drittländer ab

Bereits im Februar 2022 berichteten wir darüber dass die österreichische Datenschutzbehörde DSB und die französische Datenschutzbehörde CNIL die Nutzung von Google Analytics in datenschutzrechtlicher Hinsicht für rechtswidrig erklärten. Nun lehnte die österreichische Datenschutzbehörde auch den von den US-Diensten oftmals vorgeschlagenen „risikobasierten Ansatz“ für Datenübermittlungen in Drittländer ab.
Zuvor stellten die spanische und luxemburgische Aufsichtsbehörde ihre Verfahren bezüglich der Rechtmäßigkeit der Nutzung von Google Analytics ein, da die betroffenen Websites den Google-Dienst nicht mehr verwenden.
Die österreichische Aufsichtsbehörde hat zu der Thematik um die Nutzung von Google Analytics einen Teilbescheid erlassen (Anonymisierte Version bei NOYB – Non of your Business: https://noyb.eu/sites/default/files/2022-04/Bescheid%20geschw%C3%A4rzt.pdf).

Risikobasierter Ansatz für Datenübermittlungen

Seit der „Schrems II“ Entscheidung des Europäischen Gerichtshofs haben sich die großen Tech-Unternehmen der USA Gedanken darüber gemacht, wie sie datenschutzkonform Daten importieren können. Dabei kamen sie zu dem „risikobasierten Ansatz“ für Datenübermittlungen. Durch diesen Ansatz nimmt der Verantwortliche nur zusätzliche Sicherheitsvorkehrungen vor, wenn ein erhebliches Risiko für die Rechte und Freiheiten der betroffenen Person besteht. Die Standardvertragsklauseln sollen parallel für risikoarme Fälle ausreichen, zum Beispiel beim Transfer von Online-Kennungen oder IP-Adressen.
Kern und Neuheit der Entscheidung der österreichischen Datenschutzbehörde ist, dass für die Einhaltung der DSGVO ein solcher risikobasierter Ansatz für Datenübermittlungen in unsichere Drittländer wie die USA nicht ausreicht.

Auch eine Pseudonymisierung der Daten oder eine Anonymisierung der IP-Adressen reicht nicht aus

Die Aufsichtsbehörde lehnt die technische Maßnahme der Pseudonymisierung der personenbezogenen Daten ab. An dieser Stelle argumentiert sie mit der Ansicht der Deutschen Datenschutzkonferenz. Diese hat zuvor bereits ausgeführt, dass die Tatsache, dass die Nutzer etwa über IDs oder Kennungen bestimmbar gemacht werden, keine Pseudonymisierungsmaßnahme i.S.d. DSGVO darstellt. Denn anders als in Fällen, in denen der Verantwortliche Daten pseudonymisiert, um die identifizierenden Daten zu verschleiern oder zu löschen, sodass die betroffenen Personen nicht mehr adressierbar sind, werden IDs oder Kennungen dazu genutzt, die einzelnen Individuen unterscheidbar und adressierbar zu machen. Eine Schutzwirkung liegt daher nicht vor.
Auch die Anonymisierung der IP-Adresse stellt keine wirksame technische Maßnahme zum Schutz der personenbezogenen Daten dar. Zwar sind Anonymisierungen grundsätzlich geeignet um personenbezogene Daten zu sichern, die Anonymisierung ist jedoch erst erst nach der Übermittlung an Google erfolgt. Zudem betrifft die Anonymisierung nur die IP-Adresse für sich. Online-Identifikatoren, die der Nutzer über Cookies oder Gerätedaten setzt, werden weiterhin im Klartext übertragen.

Fazit

Die österreichische Datenschutzbehörde nimmt mit diesem Teilbescheid eine klare Position ein. Die Datenübermittlung in die USA mittels Google Analytics ist auch unter der Anwendung des so genannten „risikobasierten Ansatzes“ weiterhin rechtswidrig. Dieser Leitsatz dürfte auch für zukünftige Verfahren anderer Aufsichtsbehörden interessant und wegweisend sein. Die Thematik rund um Google Analytics zeigt auf, dass Behörden und in diesem Fall auch die NGO Noyb, konsequent und immer häufiger mögliche Datenschutzverletzungen verfolgen. Gemäß Art. 83 ff. DSGVO können die Aufsichtsbehörden erhebliche Geldbußen bei Datenschutzverletzungen verhängen.

Co-Autor: Wissenschaftlicher Mitarbeiter – Ref. jur. Philipp Schmelz

Bildquelle: Bild von Gerd Altmann auf Pixabay