Am 19. April 2023 hat der Europäische Datenschutzausschuss (EDSA) den Bericht der Task Force 101 zu den NOYB-Beschwerden veröffentlicht. Thematisch geht es in der Veröffentlichung um die Problematik der Datenübermittlung in Drittländer im Zusammenhang mit dem Einsatz von Website-Tools, wie Google Analytics und Facebook Business Tools.

Hintergrund des Berichts

Hintergrund dieses Berichts der EDSA Task Force waren die im August 2020 eingereichten 101 Beschwerden der Organisation NOYB in Bezug auf die Übermittlung personenbezogener Daten in die USA als Folge der Schrems-II-Entscheidung des EuGH und die damit verbundene Aufhebung des EU-US-Privacy Shields. Die Task Force wurde gebildet, um einen einheitlichen Ansatz im Umgang mit den Beschwerden sicherzustellen. Im Bericht befinden sich auch allgemeine Aussagen, die nach Ansicht der Task Force so ganz allgemein für Datenübermittlungen gelten.

Kernaussagen zur Drittlandübermittlung

Zusammengefasst enthält der Bericht folgende Kernaussagen:

1. Wenn ein bestimmtes Tool zur Erhebung personenbezogener Daten auf einer Website ohne Rechtsgrundlage im Sinne von Art. 6 Abs. 1 DSGVO verwendet wird, ist die Datenverarbeitung rechtswidrig, auch wenn die Erfordernisse in Kapitel V zur Datenübermittlung in Drittländer grds. erfüllt wären. Damit wird ein weiteres Mal die Behördenansicht bestätigt, dass die Rechtsgrundlagen aus Art. 6 Abs. 1 DSGVO und aus Kapitel V DSGVO gleichzeitig aber getrennt zu betrachten sind.
2. Ein rückwirkender Abschluss von SCCsS.v. Art. 46 Abs. 2 lit. c) DSGVO ist nicht zulässig. In der Praxis müssen SCC also immer vor der ersten Datenübermittlung in ein Drittland abgeschlossen sein, um die SCC als Grundlage für die Datenübermittlung zu verwenden.
3. Bei dem Abschluss von SCCs ist zu berücksichtigen, dass die dabei vereinbarten zusätzlichen Maßnahmen als angemessene Garantien konkret die Mängel adressieren müssen, die der EuGH in seinem Schrems-II-Urteil bei der Bewertung der Situation in dem Drittland (USA) festgestellt hat. Dadurch soll nämlich sichergestellt werden, dass die Rechtsvorschriften im Drittland die in den SCC vereinbarten Garantien nicht beeinträchtigen. Dies ist ebenfalls eine Bestätigung der schon vom EDSA mehrfach geäußerten Ansicht. Die zusätzlichen Maßnahmen können nur dann einen Unterschied machen, wenn dadurch die ohne Vereinbarung dieser Garantien bestehenden Unzulänglichkeiten nicht mehr existieren.
4. Die von einem Datenimporteur vorgenommene Verschlüsselung ist keine geeignete zusätzliche Maßnahme, wenn dieser als Anbieter eines Dienstes gesetzlich zur Offenlegung des kryptografischen Schlüssels gegenüber Behörden verpflichtet ist. Das entspricht der schon vom EDSA vertretenen Auflassung. In der Praxis darf das im Drittland ansässige Unternehmen nicht über die zur Entschlüsselung notwendigen Schlüssel verfügen, wenn eine Übermittlung von Klardaten ohne Verschlüsselung nicht den Anforderungen aus Kapitel V DSGVO entspricht.
5. Ebenso ungeeignet ist eine Anonymisierung der IP-Adresse, wenn diese erst nach der Übermittlung in das Drittland stattfindet. Sofern eine Anonymisierung der IP-Adresse als zusätzliche Maßnahme vorgenommen werden soll, dann muss ein EU-Unternehmen die Anonymisierung vor der Übermittlung vornehmen.
6. Wenn der Auftragsverarbeiter im Auftrag des Website-Betreibers als Datenexporteur auftritt, ist letzterer ebenfalls für die Einhaltung der Vorgaben in Kapitel V verantwortlich. Er muss zudem sicherstellen, dass der Auftragsverarbeiter hinreichende Garantien gemäß Art. 28 Abs. 1 DSGVO bietet. Das entspricht ebenfalls der von verschiedenen Behörden vertretenen Ansicht. Der Pflichtenumfang des Verantwortlichen sollte in diesem Fall aber reduziert sein und im Vergleich zum Pflichtenumfang des Auftragsverarbeiters geringer ausfallen.
7. Sofern der Website-Betreiber als Verantwortlicher zu qualifizieren ist, muss dieser prüfen, ob ein auf der Website verwendetes Tool in Übereinstimmung mit den datenschutzrechtlichen Anforderungen genutzt werden kann. Nach Ansicht des EuGH muss ein Verantwortlicher nach dem Grundsatz der Rechenschaftspflicht nachweisen können, dass geeignete Maßnahmen zur Wahrung des Rechts auf Datenschutz getroffen wurden, um Verstöße gegen die DSGVO zu verhindern. Fehlt ein solcher Nachweis oder sind die Angaben zur Datenübermittlung unzureichend, kann hieraus ein Verstoß gegen Art. 5 Abs. 2 und Art. 24 Abs. 1 DSGVO resultieren. In der Praxis sind daher Transfer Impact Assessments besonders wichtig.
8. Die Entscheidung eines Website-Betreibers, ein bestimmtes Tool für bestimmte Zwecke zu verwenden (z. B. zur Analyse des Verhaltens der Website-Besucher), wird als Bestimmung der „Zwecke und Mittel“ gemäß Art. 4 Abs. 7 DSGVO angesehen, womit der Website-Betreiber zum zumindest zum (Mit)Verantwortlichen wird.

Empfehlung für die Praxis

Viele der in dem Bericht genannten Grundsätze wurden bereits in der Vergangenheit von dem Großteil der mitgliedstaatlichen Datenschutzbehörden vertreten. Auch wenn der Bericht rechtlich nicht bindend ist, so bietet er für die Praxis wichtige Anhaltspunkte bei der Verwendung von Website-Tools und kann als eine Art „EU-weite Rahmenbedingung“ aus aufsichtsbehördlicher Sicht angesehen werden.

Unternehmen sollten daher ihre Webseiten, Apps und Cookie-Banner überprüfen und dabei die Vorgaben der EDSA Task Force als behördlichen Prüfstandard berücksichtigen.