DORDA Datenschutz Breaking News: DSB Leitentscheidung zum Drittlandstranfer

Am Mittwoch erging die lang erwartete, erste Entscheidung der DSB zum Leadverfahren der von NOYB 2020 eingebrachten 101 Beschwerden zum internationalen Datentransfer. Konkret ging es um die Nutzung von Google Analytics durch eine österreichische Plattform. Materiell geht es um die Frage, ob dabei (i) personenbezogene Daten erhoben und sodann (ii) auf Basis welcher geeigneten Garantien an einen Provider mit Sitz in den USA übermittelt werden. Im Verfahren standen de facto erstmals die Kombination von Standardvertragsklauseln mit zusätzlich vereinbarten Maßnahmen zur Absicherung des Datentransfers auf dem Prüfstand. Die (noch nicht rechtskräftige) Leitentscheidung hat damit über den konkreten Provider und das Produkt hinaus potentielle Auswirkungen. Unsere DORDA Datenschutzexperten haben die Erkenntnis für Sie im Detail aufbereitet und geben Ihnen, wie gewohnt, einen Überblick über den Handlungsbedarf bei Nutzung von US Providern und Produkten:

Entscheidung der DSB

Konkret hatte ein Websitebetreiber Google Analytics ohne IP Anonymisierung implementiert. NOYB argumentierte, dass damit ein Datenaustausch mit Google Inc einhergehen würde. Die DSB gab nach Abstimmung mit den anderen europäischen Behörden der Beschwerde entlang der derzeit vorherrschenden, generell sehr restriktiven Linie zu Cookies im Wesentlichen statt. So kommt die Behörde zum Ergebnis, dass (i) durch die Implementierung und Nutzung von Google Analytics personenbezogene Daten des Beschwerdeführers erhoben und an Google LLC übermittelt wurden und (ii) die abgeschlossenen Standarddatenschutzklauseln (SCC) trotz der implementierten, zusätzlichen Maßnahmen keinen geeigneten Schutz iSd Art 44 DSGVO bieten. Im Detail:

Aus Sicht der DSB liegen beim Einsatz von Google Analytics personenbezogene Daten vor. Im Anlassfall war die IP-Anonymisierungsfunktion nicht implementiert. Die DSB hält unabhängig davon fest, dass aus ihrer Sicht auch ohne IP Adresse die über die Cookies generierten Google Kennnummern für eine Identifikation ausreichend sind. Damit kommt es auf die Anonymisierung der IP Adresse gar nicht an. Unerheblich sei auch, ob danach eine Identifizierung tatsächlich stattfindet oder nicht – die bloße (wahrscheinliche) Möglichkeit ist ausreichend. Letzteres ergäbe sich insbesondere durch die Kombination mit weiteren Daten aus dem Userverhalten, das über Cookies erhoben und an Google gesendet wird.

Die DSB hat sodann, im Sinne der Schrems II Entscheidung des EuGH festgestellt, dass der bloße Abschluss von SCC Risiken potentieller Zugriffe durch US Behörden nicht ausreichend mitigiert. Am Prüfstand stand jedoch das nunmehr veraltete Muster aus dem Jahr 2010, da die neuen, mittlerweile verpflichtend zu verwendenden Standarddatenschutzklauseln zum Beschwerdezeitpunkt noch gar nicht veröffentlicht waren. Es gibt also noch keine Entscheidung zu den aktuellen SCC.

Die im Anlassfall bei der Nutzung von Google Analytics implementierten zusätzlichen vertraglichen, organisatorischen und technischen Schutzmaßnahmen sind nach Ansicht der DSB jedoch ebenfalls nicht ausreichend: Die DSB zitiert dazu aus den Guidelines des ESDA und hält fest, dass

  • vertragliche Maßnahmen US-Behörden nicht binden und daher alleine nicht ausreichend sein können;
  • von Sender und Empfänger verpflichtend eingehaltene organisatorische Maßnahmen zur Ergänzung von vertraglichen und technischen Abhilfen geboten sind; und
  • technische Maßnahmen so effektiv sein müssen, dass ausländische Behörden an der Identifikation von Betroffenen gehindert werden.

Die DSB hat auf Basis dieser Parameter die von Google gemachten Angaben zu den ergriffenen, zusätzlichen Maßnahmen geprüft und ihre Effektivität verneint. Konkret hält sie fest, dass in Bezug auf die vertraglichen und organisatorischen Maßnahmen nicht erkennbar sei, "inwiefern eine Benachrichtigung der betroffenen Person über Datenanfragen (sollte dies im Einzelfall überhaupt zulässig sein), die Veröffentlichung eines Transparenzberichts oder eine „Richtlinie für den Umgang mit Regierungsanfragen“ sowie die „sorgfältige Prüfung einer jeder Datenzugriffsanfrage“ effektiv" sein kann. Damit seien aus Sicht der DSB technische Maßnahmen zur Absicherung zwingend notwendig. Zu den im aktuellen Fall etablierten Verschlüsselungstechniken hält sie fest, dass sie nur dann effektiv wären und ausreichen, wenn der Provider in den USA selbst keine Möglichkeit auf einen Zugriff auf die Daten im Klartext hätte.

Knackpunkt der ablehnenden Entscheidung war somit, dass (i) die Daten nicht (ausreichend) pseudonymisiert und damit identifizierbar waren und vor allem (ii) die Verschlüsselung bei Google Analytics bei gleichzeitigem Zugriff auf den Schlüssel durch den Provider nicht ausreichend ist. Diese Conclusio wirkt sich in der Praxis auf zahlreiche weitere Anlassfälle und Provider aus und lässt sich durch den bloßen Abschluss der neuen SCC nicht (allein) sanieren:

Handlungsbedarf bei bestehenden Verträgen mit US Providern

Unabhängig vom Dienst und dem eingesetzten Provider, liegt das mit der Schrems II Entscheidung des EuGH angesprochene Grundproblem weiterhin beim potentiellen Zugriff durch US Behörden bei gleichzeitig fehlendem Rechtschutz für europäische Betroffene. Das betrifft sämtliche US Anbieter, die am Markt ähnliche Bestimmungen und Maßnahmen zur Mitigierung dieser Risken implementiert haben. Damit wirkt sich die Entscheidung nicht nur auf das entscheidungsgegenständliche Produkt und Anbieter aus. Bei sämtlichen Verträgen mit US-Anbietern ist daher jeweils im Rahmen des Transfer Impact Assessment zu prüfen, wie nahe das Wording und die implementierten organisatorischen wie insbesondere auch technischen Maßnahmen an denen der Ausgangsentscheidung sind oder ob (zumindest vorerst ausreichende) Abweichungen und Zusätze vereinbart wurden. Schließlich kommt es in jedem Einzelfall auf das Gesamtbild und sämtliche zu berücksichtigen Umstände ab.

Fazit und Ausblick

Die Entscheidung ist noch nicht rechtskräftig. Es ist aber zu erwarten, dass US-Provider – wie in der Vergangenheit – ihre Verträge und Maßnahmen für Europa nachschärfen sowie (bessere) Konzepte zur Verschlüsselung ausarbeiten werden. Faktisch werden sie dabei aber zunehmend an die Grenzen des US Rechts stoßen. Langfristig sorgt daher nur ein Abschluss der Verhandlungen zwischen der EU und den USA zur Sicherstellung von durchsetzbaren Betroffenenrechten – und darauf aufbauend ein Angemessenheitsbeschluss für die USA – für Entspannung. Dementsprechend werden mit dieser Leitentscheidung der DSB und den zu erwartenden Folgeentscheidungen in den Mitgliedsstaaten wohl auch die Bestrebungen zu einer Erneuerung des Abkommens mit den USA maßgeblich angefeuert.

Am Mittwoch erging die lang erwartete, erste Entscheidung der DSB zum Leadverfahren der von NOYB 2020 eingebrachten 101 Beschwerden zum internationalen Datentransfer. Konkret ging es um die Nutzung von Google Analytics durch eine österreichische Plattform. Materiell geht es um die Frage, ob dabei (i) personenbezogene Daten erhoben und sodann (ii) auf Basis welcher geeigneten Garantien an einen Provider mit Sitz in den USA übermittelt werden. Im Verfahren standen de facto erstmals die Kombination von Standardvertragsklauseln mit zusätzlich vereinbarten Maßnahmen zur Absicherung des Datentransfers auf dem Prüfstand. Die (noch nicht rechtskräftige) Leitentscheidung hat damit über den konkreten Provider und das Produkt hinaus potentielle Auswirkungen. Unsere DORDA Datenschutzexperten haben die Erkenntnis für Sie im Detail aufbereitet und geben Ihnen, wie gewohnt, einen Überblick über den Handlungsbedarf bei Nutzung von US Providern und Produkten:

Entscheidung der DSB

Konkret hatte ein Websitebetreiber Google Analytics ohne IP Anonymisierung implementiert. NOYB argumentierte, dass damit ein Datenaustausch mit Google Inc einhergehen würde. Die DSB gab nach Abstimmung mit den anderen europäischen Behörden der Beschwerde entlang der derzeit vorherrschenden, generell sehr restriktiven Linie zu Cookies im Wesentlichen statt. So kommt die Behörde zum Ergebnis, dass (i) durch die Implementierung und Nutzung von Google Analytics personenbezogene Daten des Beschwerdeführers erhoben und an Google LLC übermittelt wurden und (ii) die abgeschlossenen Standarddatenschutzklauseln (SCC) trotz der implementierten, zusätzlichen Maßnahmen keinen geeigneten Schutz iSd Art 44 DSGVO bieten. Im Detail:

Aus Sicht der DSB liegen beim Einsatz von Google Analytics personenbezogene Daten vor. Im Anlassfall war die IP-Anonymisierungsfunktion nicht implementiert. Die DSB hält unabhängig davon fest, dass aus ihrer Sicht auch ohne IP Adresse die über die Cookies generierten Google Kennnummern für eine Identifikation ausreichend sind. Damit kommt es auf die Anonymisierung der IP Adresse gar nicht an. Unerheblich sei auch, ob danach eine Identifizierung tatsächlich stattfindet oder nicht – die bloße (wahrscheinliche) Möglichkeit ist ausreichend. Letzteres ergäbe sich insbesondere durch die Kombination mit weiteren Daten aus dem Userverhalten, das über Cookies erhoben und an Google gesendet wird.

Die DSB hat sodann, im Sinne der Schrems II Entscheidung des EuGH festgestellt, dass der bloße Abschluss von SCC Risiken potentieller Zugriffe durch US Behörden nicht ausreichend mitigiert. Am Prüfstand stand jedoch das nunmehr veraltete Muster aus dem Jahr 2010, da die neuen, mittlerweile verpflichtend zu verwendenden Standarddatenschutzklauseln zum Beschwerdezeitpunkt noch gar nicht veröffentlicht waren. Es gibt also noch keine Entscheidung zu den aktuellen SCC.

Die im Anlassfall bei der Nutzung von Google Analytics implementierten zusätzlichen vertraglichen, organisatorischen und technischen Schutzmaßnahmen sind nach Ansicht der DSB jedoch ebenfalls nicht ausreichend: Die DSB zitiert dazu aus den Guidelines des ESDA und hält fest, dass

  • vertragliche Maßnahmen US-Behörden nicht binden und daher alleine nicht ausreichend sein können;
  • von Sender und Empfänger verpflichtend eingehaltene organisatorische Maßnahmen zur Ergänzung von vertraglichen und technischen Abhilfen geboten sind; und
  • technische Maßnahmen so effektiv sein müssen, dass ausländische Behörden an der Identifikation von Betroffenen gehindert werden.

Die DSB hat auf Basis dieser Parameter die von Google gemachten Angaben zu den ergriffenen, zusätzlichen Maßnahmen geprüft und ihre Effektivität verneint. Konkret hält sie fest, dass in Bezug auf die vertraglichen und organisatorischen Maßnahmen nicht erkennbar sei, "inwiefern eine Benachrichtigung der betroffenen Person über Datenanfragen (sollte dies im Einzelfall überhaupt zulässig sein), die Veröffentlichung eines Transparenzberichts oder eine „Richtlinie für den Umgang mit Regierungsanfragen“ sowie die „sorgfältige Prüfung einer jeder Datenzugriffsanfrage“ effektiv" sein kann. Damit seien aus Sicht der DSB technische Maßnahmen zur Absicherung zwingend notwendig. Zu den im aktuellen Fall etablierten Verschlüsselungstechniken hält sie fest, dass sie nur dann effektiv wären und ausreichen, wenn der Provider in den USA selbst keine Möglichkeit auf einen Zugriff auf die Daten im Klartext hätte.

Knackpunkt der ablehnenden Entscheidung war somit, dass (i) die Daten nicht (ausreichend) pseudonymisiert und damit identifizierbar waren und vor allem (ii) die Verschlüsselung bei Google Analytics bei gleichzeitigem Zugriff auf den Schlüssel durch den Provider nicht ausreichend ist. Diese Conclusio wirkt sich in der Praxis auf zahlreiche weitere Anlassfälle und Provider aus und lässt sich durch den bloßen Abschluss der neuen SCC nicht (allein) sanieren:

Handlungsbedarf bei bestehenden Verträgen mit US Providern

Unabhängig vom Dienst und dem eingesetzten Provider, liegt das mit der Schrems II Entscheidung des EuGH angesprochene Grundproblem weiterhin beim potentiellen Zugriff durch US Behörden bei gleichzeitig fehlendem Rechtschutz für europäische Betroffene. Das betrifft sämtliche US Anbieter, die am Markt ähnliche Bestimmungen und Maßnahmen zur Mitigierung dieser Risken implementiert haben. Damit wirkt sich die Entscheidung nicht nur auf das entscheidungsgegenständliche Produkt und Anbieter aus. Bei sämtlichen Verträgen mit US-Anbietern ist daher jeweils im Rahmen des Transfer Impact Assessment zu prüfen, wie nahe das Wording und die implementierten organisatorischen wie insbesondere auch technischen Maßnahmen an denen der Ausgangsentscheidung sind oder ob (zumindest vorerst ausreichende) Abweichungen und Zusätze vereinbart wurden. Schließlich kommt es in jedem Einzelfall auf das Gesamtbild und sämtliche zu berücksichtigen Umstände ab.

Fazit und Ausblick

Die Entscheidung ist noch nicht rechtskräftig. Es ist aber zu erwarten, dass US-Provider – wie in der Vergangenheit – ihre Verträge und Maßnahmen für Europa nachschärfen sowie (bessere) Konzepte zur Verschlüsselung ausarbeiten werden. Faktisch werden sie dabei aber zunehmend an die Grenzen des US Rechts stoßen. Langfristig sorgt daher nur ein Abschluss der Verhandlungen zwischen der EU und den USA zur Sicherstellung von durchsetzbaren Betroffenenrechten – und darauf aufbauend ein Angemessenheitsbeschluss für die USA – für Entspannung. Dementsprechend werden mit dieser Leitentscheidung der DSB und den zu erwartenden Folgeentscheidungen in den Mitgliedsstaaten wohl auch die Bestrebungen zu einer Erneuerung des Abkommens mit den USA maßgeblich angefeuert.