News

Bericht des Europäischen Datenschutzausschusses zur Prüfung von Datentransfers in Drittländer

Am 19. April 2023 hat der Europäische Datenschutzausschuss (EDSA) den Bericht der Task Force 101 zu den NOYB-Beschwerden veröffentlicht. Thematisch geht es in der Veröffentlichung um die Problematik der Datenübermittlung in Drittländer im Zusammenhang mit dem Einsatz von Website-Tools, wie Google Analytics und Facebook Business Tools.

Hintergrund des Berichts

Hintergrund dieses Berichts der EDSA Task Force waren die im August 2020 eingereichten 101 Beschwerden der Organisation NOYB in Bezug auf die Übermittlung personenbezogener Daten in die USA als Folge der Schrems-II-Entscheidung des EuGH und die damit verbundene Aufhebung des EU-US-Privacy Shields. Die Task Force wurde gebildet, um einen einheitlichen Ansatz im Umgang mit den Beschwerden sicherzustellen. Im Bericht befinden sich auch allgemeine Aussagen, die nach Ansicht der Task Force so ganz allgemein für Datenübermittlungen gelten.

Kernaussagen zur Drittlandübermittlung

Zusammengefasst enthält der Bericht folgende Kernaussagen:

  1. Wenn ein bestimmtes Tool zur Erhebung personenbezogener Daten auf einer Website ohne Rechtsgrundlage im Sinne von Art. 6 Abs. 1 DSGVO verwendet wird, ist die Datenverarbeitung rechtswidrig, auch wenn die Erfordernisse in Kapitel V zur Datenübermittlung in Drittländer grds. erfüllt wären. Damit wird ein weiteres Mal die Behördenansicht bestätigt, dass die Rechtsgrundlagen aus Art. 6 Abs. 1 DSGVO und aus Kapitel V DSGVO gleichzeitig aber getrennt zu betrachten sind.
  2. Ein rückwirkender Abschluss von SCCsS.v. Art. 46 Abs. 2 lit. c) DSGVO ist nicht zulässig. In der Praxis müssen SCC also immer vor der ersten Datenübermittlung in ein Drittland abgeschlossen sein, um die SCC als Grundlage für die Datenübermittlung zu verwenden.
  3. Bei dem Abschluss von SCCs ist zu berücksichtigen, dass die dabei vereinbarten zusätzlichen Maßnahmen als angemessene Garantien konkret die Mängel adressieren müssen, die der EuGH in seinem Schrems-II-Urteil bei der Bewertung der Situation in dem Drittland (USA) festgestellt hat. Dadurch soll nämlich sichergestellt werden, dass die Rechtsvorschriften im Drittland die in den SCC vereinbarten Garantien nicht beeinträchtigen. Dies ist ebenfalls eine Bestätigung der schon vom EDSA mehrfach geäußerten Ansicht. Die zusätzlichen Maßnahmen können nur dann einen Unterschied machen, wenn dadurch die ohne Vereinbarung dieser Garantien bestehenden Unzulänglichkeiten nicht mehr existieren.
  4. Die von einem Datenimporteur vorgenommene Verschlüsselung ist keine geeignete zusätzliche Maßnahme, wenn dieser als Anbieter eines Dienstes gesetzlich zur Offenlegung des kryptografischen Schlüssels gegenüber Behörden verpflichtet ist. Das entspricht der schon vom EDSA vertretenen Auflassung. In der Praxis darf das im Drittland ansässige Unternehmen nicht über die zur Entschlüsselung notwendigen Schlüssel verfügen, wenn eine Übermittlung von Klardaten ohne Verschlüsselung nicht den Anforderungen aus Kapitel V DSGVO entspricht.
  5. Ebenso ungeeignet ist eine Anonymisierung der IP-Adresse, wenn diese erst nach der Übermittlung in das Drittland stattfindet. Sofern eine Anonymisierung der IP-Adresse als zusätzliche Maßnahme vorgenommen werden soll, dann muss ein EU-Unternehmen die Anonymisierung vor der Übermittlung vornehmen.
  6. Wenn der Auftragsverarbeiter im Auftrag des Website-Betreibers als Datenexporteur auftritt, ist letzterer ebenfalls für die Einhaltung der Vorgaben in Kapitel V verantwortlich. Er muss zudem sicherstellen, dass der Auftragsverarbeiter hinreichende Garantien gemäß Art. 28 Abs. 1 DSGVO bietet. Das entspricht ebenfalls der von verschiedenen Behörden vertretenen Ansicht. Der Pflichtenumfang des Verantwortlichen sollte in diesem Fall aber reduziert sein und im Vergleich zum Pflichtenumfang des Auftragsverarbeiters geringer ausfallen.
  7. Sofern der Website-Betreiber als Verantwortlicher zu qualifizieren ist, muss dieser prüfen, ob ein auf der Website verwendetes Tool in Übereinstimmung mit den datenschutzrechtlichen Anforderungen genutzt werden kann. Nach Ansicht des EuGH muss ein Verantwortlicher nach dem Grundsatz der Rechenschaftspflicht nachweisen können, dass geeignete Maßnahmen zur Wahrung des Rechts auf Datenschutz getroffen wurden, um Verstöße gegen die DSGVO zu verhindern. Fehlt ein solcher Nachweis oder sind die Angaben zur Datenübermittlung unzureichend, kann hieraus ein Verstoß gegen Art. 5 Abs. 2 und Art. 24 Abs. 1 DSGVO resultieren. In der Praxis sind daher Transfer Impact Assessments besonders wichtig.
  8. Die Entscheidung eines Website-Betreibers, ein bestimmtes Tool für bestimmte Zwecke zu verwenden (z. B. zur Analyse des Verhaltens der Website-Besucher), wird als Bestimmung der „Zwecke und Mittel“ gemäß Art. 4 Abs. 7 DSGVO angesehen, womit der Website-Betreiber zum zumindest zum (Mit)Verantwortlichen wird.

Empfehlung für die Praxis

Viele der in dem Bericht genannten Grundsätze wurden bereits in der Vergangenheit von dem Großteil der mitgliedstaatlichen Datenschutzbehörden vertreten. Auch wenn der Bericht rechtlich nicht bindend ist, so bietet er für die Praxis wichtige Anhaltspunkte bei der Verwendung von Website-Tools und kann als eine Art „EU-weite Rahmenbedingung“ aus aufsichtsbehördlicher Sicht angesehen werden.

Unternehmen sollten daher ihre Webseiten, Apps und Cookie-Banner überprüfen und dabei die Vorgaben der EDSA Task Force als behördlichen Prüfstandard berücksichtigen.

Rechtsanwalt, Associate
Alexander Weiss
Rechtsanwalt, Associate
Alexander Weiss

Zurück

News

Konkretes vom EuGH zum immateriellen Schadenersatz bei Weitergabe intimer Informationen – nur 2.000 EUR Schadenersatz zugesprochen

In der Praxis stellt sich häufig die Frage, in welchen Fällen und in welcher Höhe ein Anspruch auf Ersatz eines immateriellen Schadens bei unzulässigen Datenverarbeitungen besteht. In Deutschland existieren bereits massenhaft Urteile aus verschiedenen Rechtsbereichen hierzu. Jedoch gibt es bislang keine konkreten Aussagen des EuGH zur Höhe eines Schadenersatzanspruchs.

Erneute Auszeichnung durch Legal 500 Deutschland: Dr. Carlo Piltz einer der führenden Namen im Datenschutzrecht

Das dritte Jahr in Folge wurde Dr. Carlo Piltz in der aktuellen Ausgabe des The Legal 500 Germany als einer der führenden Namen im Datenschutz erwähnt.

EuGH-Urteil: Haftung des Verantwortlichen für den Auftragsverarbeiter – was gilt es zu beachten?

Mit der Entscheidung zur Rechtssache C-683/21 (Covid-App Litauen) hat der EuGH am 5. Dezember 2023 ein wichtiges Urteil gefällt, in dem es neben der Frage der Verantwortlichkeit auch um die (Bußgeld)Haftung des Verantwortlichen für den Auftragsverarbeiter geht. Letzteren Aspekt möchten wir in diesem Beitrag genauer darstellen.

Entscheidungen des EuGH zum immateriellen Schadensersatzanspruch und der Geeignetheit von technischen und organisatorischen Maßnahmen

Der EuGH hat am 14. Dezember 2023 zwei maßgebliche Entscheidungen getroffen, die zum einen die Anforderungen an die technischen und organisatorischen Maßnahmen (TOMs) im Sinne von Art. 32 DSGVO und zum anderen die Anforderungen zur Geltendmachung von immateriellen Schadenersatzansprüchen gemäß Art. 82 DSGVO betreffen.

FAQ: Entscheidung des Europäischen Gerichtshofs zur Verhängung von Bußgeldern nach der DSGVO (C-807/21)

FAQ: Entscheidung des Europäischen Gerichtshofs zur Verhängung von Bußgeldern nach der DSGVO (C-807/21)

  1. Worum ging es (Kurzfassung)?

Der Europäische Gerichtshof (EuGH) hat mit Urteil vom 5.12.2023 (C-807/21) die Vorlagefragen des Kammergerichts Berlin (KG) in Bezug auf das im Oktober 2019 durch die Berliner Aufsichtsbehörde verhängte Bußgeld iHv. 14,5 Millionen Euro gegen die Deutsche Wohnen SE beantwortet

Europäischer Datenschutzausschuss: neue (strenge) Leitlinien zum technischen Anwendungsbereich der "Cookie-Vorgaben" (§ 25 TTDSG)

Der Europäische Datenschutzausschuss (EDSA) hat am 15.11.2023 eine Leitlinie zum technischen Anwendungsbereich von Art. 5 (3) der Datenschutzrichtlinie für die elektronische Kommunikation veröffentlicht. Die Leitlinie soll klarstellen, welche Trackingtechnologien von der ePrivacy-Richtlinie (ePrivacyRL) konkret erfasst und damit grundsätzlich einwilligungsbedürftig sind. In Deutschland wurden die Anforderungen der ePrivacyRL in § 25 TTDSG umgesetzt.