News
Zusätzliche Schutzmaßnahmen für EU-Standardvertragsklauseln in der Praxis - Österreichische Datenschutzbehörde gibt eine erste Orientierung
Der Einsatz von Google Analytics steht nicht im Einklang mit der DSGVO. Zu diesem Schluss kam die österreichische Datenschutzbehörde (DSB) aufgrund einer Musterbeschwerde, die der Datenschutzverein "Noyb" (none of your business bzw. Europäisches Zentrum für digitale Rechte) bereits im August 2020 eingereicht hatte. Dem Teilbescheid der DSB vom 22.12.2021 zufolge, ist ein (damals noch) österreichisches Unternehmen betroffen, das den Dienst auf seiner Webseite implementiert hatte. Die DSB stellt fest, dass die Verwendung von Google Analytics nicht mit der DSGVO vereinbar sei. Dies sei auf das Schrems-II-Urteil des EuGHs (Urt. v. 16.07.2020, Az. C-311/18) zurückzuführen. Es seien die allgemeinen Grundsätze der Datenübermittlung gemäß Art. 44 DSGVO verletzt worden, da der Dienst personenbezogene Nutzerdaten an den Hauptsitz von Google in den Vereinigten Staaten übermittelt habe, diese Übermittlung jedoch nach Ansicht der Behörde nicht mit ausreichenden zusätzlichen Schutzmaßnahmen abgesichert war.
Google selbst reagierte am selben Tag auf die Entscheidung der österreichischen Behörde und veröffentlichte einige Fakten zum Thema Datenschutz bei der Nutzung von Google Analytics.
In ihrem Bescheid setzt sich die DSB (leider nicht vertieft) mit den zusätzlichen Schutzmaßnahmen von Google auseinander, die das Unternehmen für Datentransfers in die USA vorsieht. Solche zusätzlichen Schutzmaßnahmen sind nach Ansicht des EDSA insbesondere bei Datentransfers in die USA zwingend erforderlich. Nachfolgend finden Sie eine Übersicht der technischen und organisatorischen Maßnahmen, die die österreichische DSB in ihrem Teilbescheid berücksichtigt, jedoch als ungenügend eingestuft hat. Außerdem wurde eine kurze Einschätzung der Behörde hinzugefügt.
|
Technische Maßnahmen |
Einschätzung der DSB |
|
- Schutz der Kommunikation zwischen Google-Diensten
- Schutz von Daten im Transit zwischen Rechenzentren
- Schutz der Kommunikation zwischen Nutzern und Websites
- On-Site-Security |
Eine Verschlüsselung, bei der der Datenimporteur den Schlüssel besitzt, ist nicht ausreichend. Soweit Google auf Verschlüsselungstechnologien, wie die Verschlüsselung von "Daten im Ruhezustand" in Rechenzentren zurückgreift, seien dem Unternehmen die EDSA-Empfehlungen 01/2020 entgegenzuhalten. Dort heißt es, dass ein Importeur von Daten (wie hier Google), der dem 50 U.S. Code § 1881a („FISA 702") unterliegt, unmittelbar verpflichtet ist, Zugang zu den importierten Daten zu gewähren, die sich in seinem Besitz oder Gewahrsam befinden oder unter seiner Kontrolle zur Verfügung stehen. Diese Verpflichtung kann sich ausdrücklich auf kryptografische Schlüssel ausdehnen, ohne die die Daten unlesbar sind. Nach Ansicht der DSB unterliegt Google dieser Pflicht. Solange Google selbst die Möglichkeit hat, auf die unverschlüsselten Daten zuzugreifen, können diese technischen Maßnahmen nicht als wirksam angesehen werden, da sie die im „Schrems-II-Urteil“ festgestellten Rechtsschutzlücken nicht schließen. Der EuGH hat außerdem in seinem Urteil ausdrücklich darauf hingewiesen, dass US-Gesetze wie das FISA-Gesetz eine Massenüberwachung durch Sicherheitsbehörden zulassen und, dass das Datenschutzniveau in den USA nicht dem der EU gerecht wird. |
|
Organisatorische Maßnahmen |
Einschätzung der DSB |
|
- Benachrichtigung der betroffenen Personen über Datenanfragen (sofern erlaubt)
- Veröffentlichung eines Transparenzberichtes
- Sorgfältige Prüfung von Datenzugriffsanfragen |
Es sei nicht klar, inwieweit diese organisatorischen Maßnahmen wirksam sind. Es sei zudem fraglich, inwieweit die "sorgfältige Prüfung einer jeder Datenzugriffsanfrage" eine effektive Maßnahme darstellt, da der EuGH festgestellt hat, dass zulässige (d. h. nach US-Recht legale) Anfragen von US-Geheimdiensten nicht mit dem Grundrecht auf Datenschutz nach Art. 8 EU-GRCh in Einklang zu bringen sind.
|
Die Ansicht der DSB ist sicher als streng zu bewerten. Leider geht die Behörde in ihrem Bescheid nicht näher auf die einzelnen Maßnahmen ein und bewertet diese nicht im Detail. Die Aussagen der DSB zu den verschiedenen Maßnahmen können für Unternehmen in der Praxis eine wichtige Rolle bei der eigenen Bewertung von Datentransfers spielen. Ob man Ihnen ein zu eins folgen muss, ist eine andere Frage.
News
Aktuelles zu Datentransfers in die USA – Was ändert die Executive Order?
US-Präsident Joe Biden hat am 7. Oktober 2022 eine Executive Order „zur Verbesserung der Sicherheitsvorkehrungen für nachrichtendienstliche Tätigkeiten der Vereinigten Staaten“ (EO) unterzeichnet. Welchen Einfluss diese auf Datentransfers in die USA hat und ob die EO die durch den EuGH festgestellten Defizite heilt, ist bislang noch fraglich. In diesem Beitrag geben wir Ihnen einen kurzen Überblick, über die EO und den aktuellen Stand der Diskussion.
Piltz Legal Update am 25.11.2022 - "AVV-Prüfung und -Verhandlung in der Praxis" - online
Am 25.11.2022 findet unsere zweite Veranstaltung der "Piltz Legal Update" Seminarreihe online statt.
Dieses Mal sprechen Dr. Carlo Piltz und Philipp Quiel über das Thema: "AVV-Prüfung und -Verhandlung in der Praxis". Sie geben Einblicke, klären über typische Probleme auf und geben ausgewählte Lösungsvorschläge.
Der FOCUS zeichnet Piltz Legal als eine der TOP - Wirtschaftschaftskanzleien aus
Im aktuellen Heft des FOCUS wurde Piltz Legal als eine der TOP-Wirtschaftkanzleien 2022 im Bereich Datenschutz ausgezeichnet.
Wirtschaftswoche vergibt Auszeichnung an Piltz Legal in der Kategorie "Top Kanzlei Datenschutzrecht"
Wir freuen uns sehr, dass Dr. Carlo Piltz und sein Team von der Wirtschaftswoche in der Kategorie "Top Kanzlei für Datenschutzrecht" ausgezeichnet wurden.
Wir bedanken uns für das entgegengebrachte Vertrauen und freuen uns sehr über diese Anerkennung. Dieses Feedback ist für uns weiterer Ansporn, mit fachspezifischer Expertise unsere Mandanten zu unterstützen.
Digital Operation Resilience Act – Überblick zu den neuen Regelungen der digitalen Betriebsstabilität von EU-Finanzunternehmen
Am 24. September 2020 wurde der Entwurf einer EU-Verordnung über die Betriebsstabilität digitaler Systeme des Finanzsektors (Digital Operation Resilience Act, „DORA“) veröffentlicht. Der Vorschlag ist Teil des Pakets zur Digitalisierung des Finanzsektors und in den kommenden Jahren sind noch weitere (vor allem die Finanzdienstleister betreffende) neue Verordnungen und Richtlinien zu erwarten.