News
Zusätzliche Schutzmaßnahmen für EU-Standardvertragsklauseln in der Praxis - Österreichische Datenschutzbehörde gibt eine erste Orientierung
Der Einsatz von Google Analytics steht nicht im Einklang mit der DSGVO. Zu diesem Schluss kam die österreichische Datenschutzbehörde (DSB) aufgrund einer Musterbeschwerde, die der Datenschutzverein "Noyb" (none of your business bzw. Europäisches Zentrum für digitale Rechte) bereits im August 2020 eingereicht hatte. Dem Teilbescheid der DSB vom 22.12.2021 zufolge, ist ein (damals noch) österreichisches Unternehmen betroffen, das den Dienst auf seiner Webseite implementiert hatte. Die DSB stellt fest, dass die Verwendung von Google Analytics nicht mit der DSGVO vereinbar sei. Dies sei auf das Schrems-II-Urteil des EuGHs (Urt. v. 16.07.2020, Az. C-311/18) zurückzuführen. Es seien die allgemeinen Grundsätze der Datenübermittlung gemäß Art. 44 DSGVO verletzt worden, da der Dienst personenbezogene Nutzerdaten an den Hauptsitz von Google in den Vereinigten Staaten übermittelt habe, diese Übermittlung jedoch nach Ansicht der Behörde nicht mit ausreichenden zusätzlichen Schutzmaßnahmen abgesichert war.
Google selbst reagierte am selben Tag auf die Entscheidung der österreichischen Behörde und veröffentlichte einige Fakten zum Thema Datenschutz bei der Nutzung von Google Analytics.
In ihrem Bescheid setzt sich die DSB (leider nicht vertieft) mit den zusätzlichen Schutzmaßnahmen von Google auseinander, die das Unternehmen für Datentransfers in die USA vorsieht. Solche zusätzlichen Schutzmaßnahmen sind nach Ansicht des EDSA insbesondere bei Datentransfers in die USA zwingend erforderlich. Nachfolgend finden Sie eine Übersicht der technischen und organisatorischen Maßnahmen, die die österreichische DSB in ihrem Teilbescheid berücksichtigt, jedoch als ungenügend eingestuft hat. Außerdem wurde eine kurze Einschätzung der Behörde hinzugefügt.
|
Technische Maßnahmen |
Einschätzung der DSB |
|
- Schutz der Kommunikation zwischen Google-Diensten
- Schutz von Daten im Transit zwischen Rechenzentren
- Schutz der Kommunikation zwischen Nutzern und Websites
- On-Site-Security |
Eine Verschlüsselung, bei der der Datenimporteur den Schlüssel besitzt, ist nicht ausreichend. Soweit Google auf Verschlüsselungstechnologien, wie die Verschlüsselung von "Daten im Ruhezustand" in Rechenzentren zurückgreift, seien dem Unternehmen die EDSA-Empfehlungen 01/2020 entgegenzuhalten. Dort heißt es, dass ein Importeur von Daten (wie hier Google), der dem 50 U.S. Code § 1881a („FISA 702") unterliegt, unmittelbar verpflichtet ist, Zugang zu den importierten Daten zu gewähren, die sich in seinem Besitz oder Gewahrsam befinden oder unter seiner Kontrolle zur Verfügung stehen. Diese Verpflichtung kann sich ausdrücklich auf kryptografische Schlüssel ausdehnen, ohne die die Daten unlesbar sind. Nach Ansicht der DSB unterliegt Google dieser Pflicht. Solange Google selbst die Möglichkeit hat, auf die unverschlüsselten Daten zuzugreifen, können diese technischen Maßnahmen nicht als wirksam angesehen werden, da sie die im „Schrems-II-Urteil“ festgestellten Rechtsschutzlücken nicht schließen. Der EuGH hat außerdem in seinem Urteil ausdrücklich darauf hingewiesen, dass US-Gesetze wie das FISA-Gesetz eine Massenüberwachung durch Sicherheitsbehörden zulassen und, dass das Datenschutzniveau in den USA nicht dem der EU gerecht wird. |
|
Organisatorische Maßnahmen |
Einschätzung der DSB |
|
- Benachrichtigung der betroffenen Personen über Datenanfragen (sofern erlaubt)
- Veröffentlichung eines Transparenzberichtes
- Sorgfältige Prüfung von Datenzugriffsanfragen |
Es sei nicht klar, inwieweit diese organisatorischen Maßnahmen wirksam sind. Es sei zudem fraglich, inwieweit die "sorgfältige Prüfung einer jeder Datenzugriffsanfrage" eine effektive Maßnahme darstellt, da der EuGH festgestellt hat, dass zulässige (d. h. nach US-Recht legale) Anfragen von US-Geheimdiensten nicht mit dem Grundrecht auf Datenschutz nach Art. 8 EU-GRCh in Einklang zu bringen sind.
|
Die Ansicht der DSB ist sicher als streng zu bewerten. Leider geht die Behörde in ihrem Bescheid nicht näher auf die einzelnen Maßnahmen ein und bewertet diese nicht im Detail. Die Aussagen der DSB zu den verschiedenen Maßnahmen können für Unternehmen in der Praxis eine wichtige Rolle bei der eigenen Bewertung von Datentransfers spielen. Ob man Ihnen ein zu eins folgen muss, ist eine andere Frage.
News
Erste Schritte zur Umsetzung der Barrierefreiheit auf Websites
In etwa einem Monat gelten die Anforderungen des Barrierefreiheitsstärkungsgesetz (BFSG) für viele Websites. Ab dem 29. Juni 2025 müssen die meisten Websites (und übrigens auch Apps) nicht nur barrierefrei sein, sondern auch eine Erklärung zur Barrierefreiheit enthalten.
In diesem Beitrag möchten wir Ihnen aufzeigen, welche Schritte Sie jetzt ergreifen können, um die Anforderungen des BFSG kurzfristig umzusetzen.
Datenschutzrechtliche Verantwortlichkeit von Behörden bei zentraler Bereitstellung von IT-Fachverfahren
Um Behörden die Bestimmung der datenschutzrechtlichen Verantwortlichkeit beim Einsatz von IT-Fachverfahren zu erleichtern, hat Philip Schweers in der aktuellen Ausgabe 05/2025 des Datenschutzberaters einen Beitrag veröffentlicht.
Den Beitrag können Sie hier kostenlos auf unserer Website als PDF abrufen.
Im Artikel beschreibt Herr Schweers ausführlich, wann aus Sicht des Europäischen Datenschutzausschusses und des Europäischen Gerichtshofs eine gemeinsame Verantwortlichkeit bei Beteiligung mehrerer öffentlicher Stellen in Betracht kommt. Auch für Datenschützer im Unternehmen kann der Beitrag interessant sein, da sich die Ausführungen im Grunde auch auf die Bereitstellung zentraler IT-Anwendungen im Konzern übertragen lassen.
Weiterer Fachaufsatz zum Training von KI-Modellen aus datenschutzrechtlicher Sicht
In der aktuellen Ausgabe 02/2025 (EuDIR 2025, 90) der Zeitschrift für Europäisches Daten- und Informationsrecht (EuDIR) wurde ein Beitrag von Dr. Carlo Piltz und Alexander Weiss mit dem Titel „Datenschutzrechtliche Rechtsgrundlagen für das Training von KI-Modellen“ veröffentlicht.
In dem Aufsatz wird aufgezeigt, welche datenschutzrechtlichen Erlaubnistatbestände aus der DSGVO in bestimmten Fallkonstellationen herangezogenen werden können, wenn KI-Modelle mit personenbezogenen Daten trainiert werden. Zudem werden auch Fragestellungen zur Zweckänderung (Art. 6 Abs. 4 DSGVO) und zur Verarbeitung besonderer Kategorien personenbezogener Daten (Art. 9 DSGVO) erörtert.
Das Inhaltsverzeichnis der Zeitschrift können Sie hier als PDF aufrufen.
Zweitverwendung personenbezogener Daten in der Forschung: EDSB-Studie zeigt dringenden Handlungsbedarf
Ob Biobank, klinische Studie oder KI-gestützte Gesundheitsforschung: Die Wiederverwendung bereits erhobener personenbezogener Daten für neue wissenschaftliche Fragestellungen – die sogenannte Zweitverarbeitung, Zweitverwendung oder Zweitnutzung – ist aus der modernen Forschung nicht mehr wegzudenken. Sie verspricht Effizienz, Erkenntnisgewinn und gesellschaftlichen Mehrwert. Doch das datenschutzrechtliche Fundament für solche Projekte ist häufig eher unsicher.
Relevante Vorgaben zum Einsatz von KI in Unternehmen und öffentlichen Stellen aus dem Tätigkeitsbericht 2024 des LfDI Baden-Württemberg
In seinem Tätigkeitsbericht für das Jahr 2024 hat sich der Landesbeauftragte für den Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI BaWü) unter anderem auch zum Thema Künstliche Intelligenz (KI) geäußert. Insbesondere wird im Tätigkeitsbericht der Einsatz von KI in Schulen thematisiert (siehe S. 112 ff.). Die dort genannten Vorgaben lassen sich zum Großteil jedoch auch auf andere Sachverhalte anwenden.
Neue Zweifel an der Wirksamkeit des EU-U.S. Data Privacy Framework
Der LIBE-Ausschuss vom Europäischen Parlament hat am 6. Februar 2025 die Kommission darauf hingewiesen, dass das unter dem EU-U.S. Data Privacy Framework („DPF“) geschaffene Privacy and Civil Liberties Board nur noch mit einer Person besetzt ist (siehe dazu auch den Artikel bei Bloomberg). Die anderen Board-Mitglieder wurden von der Exekutive in den USA abberufen. Der Ausschuss bittet die Kommission eine dokumentierte Prüfung zur Verfügung zu stellen, die sich mit den Auswirkungen dieser Änderung befasst.