Google Analytics & Co. – Die Folgen des Schrems-II-Urteils

Google Analytics & Co. – Die Folgen des Schrems-II-Urteils

– Reposting – Hier geht's zum Original:

Google Analytics & Co. – Die Folgen des Schrems-II-Urteils

Dieser Beitrag beleuchtet die Folgen des Schrems-II-Urteil insbesondere bei dem Einsatz von außereuropäischen Tracking-Tools wie Google Analytics. Zusätzliche Brisanz ergibt sich hierbei aus der Ankündigung der Aufsichtsbehörden, eine bundesweit angelegte Kontrolle von Tracking-Diensten auf Websites durchzuführen.

Welche Bedeutung hat das EuGH-Urteil Schrems II?

Grundsätzlich besteht die Wirkung dieses Urteils nur zwischen den betroffenen Parteien, nämlich für das vorlegende irische Gericht und den EuGH. Tatsächlich strahlt es jedoch Bindungswirkung für alle Mitgliedstaaten respektive deren Gerichte und Behörden aus.

Übermittlung in die USA

Das Urteil betrifft alle Behörden, Gerichte und Unternehmen, die Daten in die USA übermitteln und zwar eigentlich nicht nur dann, wenn hierfür die Auftragsverarbeitung auf das Privacy-Shield gestützt wurde. Letztendlich betrifft es auch den Datentransfer, der im Wege der Standardvertragsklausel (SCC´s) erfolgt. Denn auch bei deren Verwendung muss berücksichtigt werden, dass diese allein noch nicht das Schutzniveau im Empfängerland der Daten garantieren, dass in der EU herrscht. Der Datenexporteur ist aufgrund des Urteils gehalten, das dort bestehende Rechtssystem darauf zu prüfen, ob dies ein adäquates Schutzniveau bietet und dem Betroffenen durchsetzbare Rechte einräumt. Diese Prüfung ist schwierig genug, da nicht jedes Unternehmen über eine Rechtsabteilung verfügt und auch diese nicht zweifelsfrei fremde Rechtssysteme kennt bzw. prüfen kann.

Kann kein adäquates Schutzniveau zweifelsfrei im Empfängerland vorausgesetzt werden, dann muss der Datenübermittler mit anderen Maßnahmen vor der Datenübermittlung den Schutz der Betroffenenrechte, wie dies der DSGVO entspricht, sicherstellen. Hierbei kann die Verschlüsselung helfen, solange der Datenexporteur den Schlüssel behält oder die Pseudonymisierung, wenn auch hier die Liste für die Reidentifikation beim Datenexporteuer verbleibt. Machbar ist auch weiterhin die Anonymisierung, wobei hier darauf zu achten ist, dass tatsächlich eine Anonymisierung vorliegt. Hier divergierendie Vorstellungen die Praktiker von der Anonymisierung haben oftmals mit denen der Aufsichtsbehörden.

Übermittlung in Drittländer ohne Angemessenheitsbeschluss

Würde man die Wirkung dieses Urteils nur auf die Unternehmen beziehen, die mit den USA Datenverkehr haben, würde man zu kurz springen. Letztendlich betrifft das Urteil alle Unternehmen, die Daten in ein Land außerhalb der EU und den EWR übermitteln und für das kein Angemessenheitsbeschluss gem. Art. 45 Abs. 3 DSGVO der EU vorliegt. In diesen Ländern muss ab sofort grundsätzlich geprüft werden,

  • ob der betroffenen Person Betroffenenrechte, wie diese in Artt. 15ff der DSGVO festgelegt sind, zustehen,
  • ob es eine adäquate Möglichkeit gibt, unabhängige Gerichte und Aufsichtsbehörden anzurufen und
  • welche Möglichkeiten des Datenzugriffs für Landesbehörden und hier insbesondere dem Geheimdienst existieren.

Sondersituation Großbritannien
Noch gehört Großbritannien zur EU, jedoch naht der Brexit und daher sind auch hier bereits Vorkehrungen zu treffen. Da noch kein Angemessenheitsbeschluss vorliegt bzw. in Aussicht ist, sind hier dieselben Maßnahmen zu ergreifen, wie dies für die Drittländer ohne Angemessenheitsbeschluss gilt.

Übermittlung in Drittländer mit Angemessenheitsbeschluss

Datenübermittlungen in diese Länder, für die ein Angemessenheitsbeschluss existiert, sind privilegiert und dürfen ohne weitere Genehmigung vorgenommen werden. Wobei die inhaltliche Reichweite des Angemessenheitsbeschlusses von Land zu Land variieren kann, so dass jeder Datenexporteuer gehalten ist, vor dem Datentransfer zu prüfen, ob der Angemessenheitsbeschluss für das konkrete Land auch den jeweiligen, geplanten Datentransfer umfasst.

Für folgende Länder besteht derzeit ein Angemessenheitsbeschluss:

  • Andorra
  • Argentinien
  • Kanada
  • Färöer-Inseln
  • Guernsey
  • Israel
  • Isle of Man
  • Japan
  • Jersey
  • Neuseeland
  • Schweiz
  • Uruguay

Was ist zu tun?

Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg hat eine weitreichende Orientierungshilfe gegeben und darin folgende möglichen To-Dos angeführt:

  • Bestandsaufnahme an welche Datenimporteure in Drittstaaten Daten exportiert werden
  • Information dieser Datenimporteure über das Schrems II-Urteil und dessen Konsequenzen
  • Auskunftsersuchen an den Datenimporteur, ob und wann dieser ggf. Daten an Geheimdienste, Behörden herausgeben muss
  • eigenständige Prüfung der Rechtssituation im Empfängerstaat durch den Datenexporteur unter zur Hilfenahme der Auskunft
  • Prüfung, ob ggf. ein Angemessenheitsbeschluss für das Drittland vorliegt und dieser den Datentransfer deckt
  • Prüfung, ob die Standardvertragsklauseln genutzt werden können
  • Prüfung, ob diese SCC´s ggf. mit weiteren Garantien ergänzt werden müssen, um einen Datentransfer zu ermöglichen
  • andernfalls verbleibt in einem sehr engen Umfang die Übermittlung nach Art. 49 DSGVO

Bundesweite Kontrolle von Tracking-Tools

Basierend auf dem Planet-49-Urteil hat der BGH im Mai seine erwartete Entscheidung in Bezug auf die Nutzereinwilligung zum Einsatz von Cookies getroffen. Nicht nur, dass es höchste Zeit ist die Einwilligung für den Einsatz von nicht zwingend notwendigen Cookies von der betroffenen Person einzuholen und dies zu dokumentieren, d.h. einen ordnungsgemäßen Cookie-Consent-Tool für Cookie-Trackingdienste und Analysedienste einzusetzen. Es sind auch noch weitere Maßnahmen zu ergreifen, siehe unten.

Ordnungsgemäßer Einsatz von Cookie-Consent-Tools

Was viele hierbei immer noch nicht berücksichtigen, ist dass

  • Cookies dürfen erst gesetzt werden, nachdem eine Einwilligung des Betroffenen in dokumentierbarer Form vorliegt, vorher dürfen nur die zwingend notwendigen Cookies gesetzt werden
  • Einwilligungen müssen für jeden einzelnen Dienst eingeholt werden, z.B. Google Analytics
  • Einwilligungen müssen jederzeit für die Zukunft widerrufbar sein, d.h. genauso einfach, wie die Einwilligung eingeholt wurde

Einsatz außereuropäischer Tracking-Tools

Hat man das Consent-Cookie-Banner ordnungsgemäß installiert, dann ist zu beachten, dass ein großer Teil der führenden Tracking-Tools außereuropäisch ist, d.h. großteils von US-Firmen betrieben wird. In den Datenschutzerklärungen und den Cookie Policies wird hierbei oftmals noch bei der Beschreibung des Dienstes auf das US Privacy Shield verwiesen, was nach Schrems II nicht mehr möglich ist. Abgesehen davon ist deren Einsatz datenschutzkonform kaum mehr vorstellbar.

Bereits jetzt reichen Privatpersonen Beschwerden bei den Aufsichtsbehörden ein, wenn diese Tracking-Tools von Unternehmen weiterhin verwendet werden. Im gleichen Zuge kündigen die Aufsichtsbehörden an, eine bundesweite, flächendeckende Prüfung der eingesetzten Online-Tracking-Technologien durchführen zu wollen. Wer jetzt noch ohne ordnungsgemäßen Consent-Cookie-Banner agiert und außereuropäische Technologien einsetzt, ist früher oder später dran und zahlt.

Das Wehklagen der Marketingabteilung

Auch wenn die Marketingabteilungen derzeit klagen, dass die Tracking-Tools unabdinbar sind. Sie sollten unbedingt nach alternativen Analyse-Möglichkeiten suchen, die diese Transferproblematik nicht haben. Sie sollten die Suche für alle Fälle dokumentieren, damit Sie Ihre Aktivität den Aufsichtsbehörden gegebenenfalls belegen können. Wenn Sie immer noch der Anschauung sind, außereuropäische Tracking-Tools notwendigerweise einsetzen zu müssen, sollten sie das Risiko für ein Bußgeld kennen und ihr Nutzen aus dem Einsatz des Tracking-Tools sollte demnach entsprechend groß sein. Andernfalls sollte  man diese Tools mit Transferproblematik abstellen und nach Alternativen suchen.

Auch wenn für manche Dinge noch kein adäquater Ersatz vorhanden ist, ohne Nachfrage wird dieser nicht kommen. Es ist höchste Zeit diese Produkte nachzufragen und zu nutzen, und zwar im eigenen Interesse, um Bußgelder zu vermeiden.


Gefällt Ihnen der Beitrag?
Dann unterstützen Sie uns doch mit einer Empfehlung per:
TWITTER   FACEBOOK   E-MAIL   XING
Oder schreiben Sie uns Ihre Meinung zum Beitrag:
HIER KOMMENTIEREN


© www.intersoft-consulting.de

HINWEIS / ENDE ZITAT:
Diesen Artikel finde ich sehr interessant und lesenswert, allerdings stammt der Text nicht von mir / diesem Projekt. Dieser Post stammt ursprünglich von: Dr. Datenschutz (Info leider im Original-Beitrag ggf. nicht enthalten) und natürlich liegen alle Rechte beim Verfasser / Rechteinhaber. Hier geht's zum Original:

Google Analytics & Co. – Die Folgen des Schrems-II-Urteils

.

Wir haben auch den sehr interessanten SFC-Newsletter...

SFC hilft Ihnen wenn Sie mögen!

DSGVO & Datenschutz sind super! Wenn man weiß, was zu tun ist… Wir melden uns gerne bei Ihnen!

Sie registrieren sich für unseren Newsletter. Natürlich wird Ihre Registrierung durch einen Double-Opt-In abgesichert.