Im Juli 2020 Schrems II Entscheidung unterbrach den Fluss der grenzüberschreitenden Datenübertragung zwischen der EU und den Vereinigten Staaten und machte den EU-US- Datenschutzschild-Abkommen.
Aufgrund der Entscheidung sind Unternehmen nun gezwungen, andere rechtliche Mechanismen für die Datenübertragung zu nutzen, beispielsweise Standardvertragsklauseln (SCCs).
Die Folgen von Schrems II
Schneller Vorlauf in die Gegenwart. Das neue Jahr hat erst wenige Wochen begonnen, und bereits jetzt sind im Anschluss an das Schrems-II-Urteil zwei wichtige Entscheidungen gefallen. Die neuen Entscheidungen wurden von der österreichischen Datenschutzbehörde (DSB) und dem Europäischen Datenschutzbeauftragten (EDSB) erlassen.
Einer dieser Fälle war der erste einer Reihe von 101 koordinierten Beschwerden, die eingereicht wurden von NOYB (Geht dich nichts an) – das Unternehmen, das von Max Schrems, dem österreichischen Anwalt im Zentrum des Titelverfahrens, nach Schrems II gegründet wurde.
Die Die österreichische Datenschutzbehörde kam zu dem Schluss, dass eine in Österreich ansässige Gesundheitswebsite unter Verstoß gegen Kapitel V der DSGVO durch die Verwendung von Google Analytics unrechtmäßig Daten aus der EU in die USA übertragen habe.
Der zweite Fall gehörte ebenfalls zu den 101 koordinierten Beschwerden, die das NYOB einreichte. In diesem Fall EDSB Das EU-Parlament stellte fest, dass es gegen das Schrems-II-Urteil zum Datentransfer zwischen der EU und den USA verstoßen habe. Der Verstoß erfolgte durch die Verwendung von Google Analytics und Cookies des Zahlungsdienstleisters Stripe auf einer von Stripe eingerichteten Website zur Planung von COVID-19-Tests.
Eine wichtige Erkenntnis aus diesen beiden Entscheidungen ist, dass es nach dem Schrems-II-Urteil nun klare Richtlinien für den Einsatz von Analytics und Cookies in der EU gibt. Zwar veröffentlichte die österreichische Datenschutzbehörde 2017/18 einen Leitfaden zur ordnungsgemäßen Nutzung von Google Analytics, dieser stammt jedoch aus der Zeit vor dem Schrems-II-Urteil und ist daher veraltet.
Auch die niederländische Datenschutzbehörde wird in Kürze eine Entscheidung in einem ähnlichen Fall wie dem in Österreich erlassen. Dementsprechend ist mit einer aktualisierten Version des Google Analytics-Leitfadens für die EU-Mitgliedstaaten zu rechnen.
Google Analytics und grenzüberschreitende Übertragungen
Der Europäische Datenschutzausschuss (EDSA) richtete 2020 eine Task Force ein, um die Entscheidungen in diesen beiden Fällen zu koordinieren. Die Task Force wählte diese Fälle bewusst aus, da die betroffenen Websites Daten auf diese Weise verarbeiteten und mit wem sie zusammenarbeiteten.
Obwohl beide Websites Google Analytics nutzten, enthielt keine der beiden Websites offensichtliche grenzüberschreitende Elemente. Dadurch wurde sichergestellt, dass die vermeintlichen Übertragungen im Wohngebiet der beschwerdeführenden Partei verblieben. Dies trug auch dazu bei, dass die Fälle zu ähnlichen Schlussfolgerungen führten, was die Wahrscheinlichkeit ähnlicher Entscheidungen in zukünftigen Fällen erhöht.
Die Ergebnisse dieser Fälle widersprechen der Theorie des risikobasierten Ansatzes, die aus der Schrems-II-Entscheidung übrig geblieben ist. Diese Theorie wurde von Fall zu Fall angewandt, wobei abgewogen wurde, ob die Fakten eines Einzelfalls für eine US-Behörde von ausreichendem Interesse wären, um die aus der EU übermittelten Daten zu überwachen und darauf zuzugreifen.
Nach diesen Fällen spielen die Fakten eines Einzelfalls keine Rolle mehr – lediglich, dass Daten NICHT aus der EU in die USA übertragen werden sollten, wenn IRGENDEINE Möglichkeit besteht, dass die US-Regierung Zugriff auf diese Daten erhält. Diese Feststellung ist für alle grenzüberschreitenden Datenübertragungen zwischen der EU und den USA relevant – und betrifft alle Übertragungen, die unter die Anforderungen von Artikel 46 der DSGVO.
Cookies und personenbezogene Daten
Die österreichische Datenschutzbehörde und der Europäische Datenschutzbeauftragte stellten fest, dass personenbezogene Daten über auf Websites platzierte Cookies von Google Analytics und Stripe verarbeitet wurden. Nach einer eingehenden Analyse kam die österreichische Datenschutzbehörde zu dem Schluss, dass die Kombination der von Cookies gesetzten ID-Nummern mit anderen Elementen, wie beispielsweise einer IP-Adresse, zur Verarbeitung personenbezogener Daten durch die Verwendung von Cookies führen könnte.
Im zweiten Fall argumentierte das EU-Parlament, dass Stripe-Cookies inaktiv seien und ihr einziger Zweck darin bestehe, die Zahlungsabwicklung zu unterstützen – nicht die Durchführung von Covid-19-Tests. Der EDSB stellte fest, dass ob ein Cookie aktiv oder inaktiv ist, ist irrelevant, solange die ID-Nummer zur Kennzeichnung des Endbenutzers platziert wird.
Wenn also ein in den USA ansässiges Unternehmen ein Cookie auf einer Website platziert, die von einem EU-Unternehmen kontrolliert wird, stellt dies eine Datenübertragung dar und es ist ein Rechtsmechanismus gemäß Artikel 5 der DSGVO erforderlich.
SCCs und ergänzende Maßnahmen
Sowohl die österreichische Datenschutzbehörde als auch der Europäische Datenschutzbeauftragte (EDSB) stellten fest, dass bei internationalen Datenübermittlungen zwischen der EU und den USA auf Basis von Standardvertragsklauseln die Parteien zusätzlich zu den Standardvertragsklauseln „ergänzende Maßnahmen“ ergreifen müssen. Angaben dazu, was diese Maßnahmen beinhalten könnten, bleiben vage – da es keine Dokumentation, Beweise oder sonstige Informationen zu den vertraglichen, technischen oder organisatorischen Maßnahmen gibt, die erforderlich sind, um ein im Wesentlichen gleichwertiges Schutzniveau zu gewährleisten.
Die österreichische Datenschutzbehörde stellte zudem ausdrücklich fest, dass bestimmte ergänzende Maßnahmen unzureichend sein könnten, wenn sie die Möglichkeit der Überwachung und des Zugriffs auf personenbezogene Daten durch US-Behörden nicht ausschließen. Zu diesem Zeitpunkt wurde die Theorie des risikobasierten Ansatzes aus Schrems II offiziell abgelehnt.
Der EDSB stellte jedoch klar, dass Übermittlungen aus der EU in die USA unter engen Bedingungen weiterhin möglich seien, etwa wenn ein Unternehmen garantieren könne, dass die personenbezogenen Daten vollständig anonymisiert seien.
Schließlich zeigen diese Fälle, dass manchmal DSARsTransparenzberichte, Verbraucherbenachrichtigungen, Verschlüsselungstechnologien und andere Sicherheitsmaßnahmen reichen möglicherweise nicht aus, um die Möglichkeit der Überwachung und des Datenzugriffs durch die US-Regierung auszuschließen. In einigen Fällen – wie dem gegen das EU-Parlament – gilt ein vollständiger Stopp der Datenübermittlung als Einhaltung der DSGVO und des Schrems-II-Urteils.
Wie geht es weiter mit grenzüberschreitenden Datenübertragungen?
Google setzt verstärkt auf Lobbyarbeit in der EU – ein Schritt, der auf Skepsis stößt. Die Zeit wird zeigen, ob sich dies als lohnendes oder fruchtloses Unterfangen erweist.
Von den Datenschutzbehörden verschiedener EU-Mitgliedsstaaten – darunter Zypern, Malta, Polen und Rumänien – wird in naher Zukunft eine Welle von Entscheidungen erwartet, die diesen jüngsten Entscheidungen wahrscheinlich ebenbürtig sein werden.
Eine mögliche Folge solcher Entscheidungen könnte ein Stopp aller Datenübertragungen zwischen der EU und den USA sein. Goodwin Procter Partner und IAPP Senior Fellow Omer Tene meinte, die Entscheidung wirfe einen dunklen Schatten auf jede denkbare Methode des legalen Datentransfers zwischen den Kontinenten und fügte hinzu, sie werde weitreichende Folgen haben.
Unternehmen, die US-Unternehmen für Analysezwecke nutzen, sollten derzeit jedes Szenario mit Vorsicht angehen und bedenken, dass selbst die bloße Möglichkeit einer Cookie-ID-Nummer einen Verstoß darstellt, da es sich um personenbezogene Daten mit einem eindeutigen digitalen Fußabdruck handelt. Dies gilt unabhängig davon, ob eine IP-Adresse oder -Nummer gekürzt oder inaktiv ist. Solche Maßnahmen schließen die Möglichkeit von Überwachungstaktiken in den USA nicht aus.
Wie BigID bei grenzüberschreitenden Datenübertragungen hilft
BigID hilft Organisationen identifizieren., verwaltenund überwachen Sie alle personenbezogene und sensible Daten Aktivitäten – einschließlich grenzüberschreitender Datenübertragungen. Mit BigID können Unternehmen:
- Berichten und überwachen Datenweitergabe an Dritte
- Erkennen Sie richtlinienwidrige, grenzüberschreitende Datenübertragungen
- Markierung und Kennzeichnung von Daten für rechtliche Zwecke
- Datenattribute beschriften basierend auf dem Wohnsitz der betroffenen Person für unternehmensinterne Übertragungen
- Anonymisierungstechniken für notwendige ergänzende Maßnahmen
Das Verständnis Ihrer Datenbestände – z. B. das Wissen, wo personenbezogene Daten gespeichert sind und deren Aufenthaltsort einer Identität zuordnen zu können – ist ein guter Ausgangspunkt für Unternehmen, die im Zuge dieser Fälle grenzüberschreitender Datenübermittlung in der EU reagieren müssen. Planen Sie einen BigID-Demo um mehr zu erfahren.