News
Zusätzliche Schutzmaßnahmen für EU-Standardvertragsklauseln in der Praxis - Österreichische Datenschutzbehörde gibt eine erste Orientierung
Der Einsatz von Google Analytics steht nicht im Einklang mit der DSGVO. Zu diesem Schluss kam die österreichische Datenschutzbehörde (DSB) aufgrund einer Musterbeschwerde, die der Datenschutzverein "Noyb" (none of your business bzw. Europäisches Zentrum für digitale Rechte) bereits im August 2020 eingereicht hatte. Dem Teilbescheid der DSB vom 22.12.2021 zufolge, ist ein (damals noch) österreichisches Unternehmen betroffen, das den Dienst auf seiner Webseite implementiert hatte. Die DSB stellt fest, dass die Verwendung von Google Analytics nicht mit der DSGVO vereinbar sei. Dies sei auf das Schrems-II-Urteil des EuGHs (Urt. v. 16.07.2020, Az. C-311/18) zurückzuführen. Es seien die allgemeinen Grundsätze der Datenübermittlung gemäß Art. 44 DSGVO verletzt worden, da der Dienst personenbezogene Nutzerdaten an den Hauptsitz von Google in den Vereinigten Staaten übermittelt habe, diese Übermittlung jedoch nach Ansicht der Behörde nicht mit ausreichenden zusätzlichen Schutzmaßnahmen abgesichert war.
Google selbst reagierte am selben Tag auf die Entscheidung der österreichischen Behörde und veröffentlichte einige Fakten zum Thema Datenschutz bei der Nutzung von Google Analytics.
In ihrem Bescheid setzt sich die DSB (leider nicht vertieft) mit den zusätzlichen Schutzmaßnahmen von Google auseinander, die das Unternehmen für Datentransfers in die USA vorsieht. Solche zusätzlichen Schutzmaßnahmen sind nach Ansicht des EDSA insbesondere bei Datentransfers in die USA zwingend erforderlich. Nachfolgend finden Sie eine Übersicht der technischen und organisatorischen Maßnahmen, die die österreichische DSB in ihrem Teilbescheid berücksichtigt, jedoch als ungenügend eingestuft hat. Außerdem wurde eine kurze Einschätzung der Behörde hinzugefügt.
|
Technische Maßnahmen |
Einschätzung der DSB |
|
- Schutz der Kommunikation zwischen Google-Diensten
- Schutz von Daten im Transit zwischen Rechenzentren
- Schutz der Kommunikation zwischen Nutzern und Websites
- On-Site-Security |
Eine Verschlüsselung, bei der der Datenimporteur den Schlüssel besitzt, ist nicht ausreichend. Soweit Google auf Verschlüsselungstechnologien, wie die Verschlüsselung von "Daten im Ruhezustand" in Rechenzentren zurückgreift, seien dem Unternehmen die EDSA-Empfehlungen 01/2020 entgegenzuhalten. Dort heißt es, dass ein Importeur von Daten (wie hier Google), der dem 50 U.S. Code § 1881a („FISA 702") unterliegt, unmittelbar verpflichtet ist, Zugang zu den importierten Daten zu gewähren, die sich in seinem Besitz oder Gewahrsam befinden oder unter seiner Kontrolle zur Verfügung stehen. Diese Verpflichtung kann sich ausdrücklich auf kryptografische Schlüssel ausdehnen, ohne die die Daten unlesbar sind. Nach Ansicht der DSB unterliegt Google dieser Pflicht. Solange Google selbst die Möglichkeit hat, auf die unverschlüsselten Daten zuzugreifen, können diese technischen Maßnahmen nicht als wirksam angesehen werden, da sie die im „Schrems-II-Urteil“ festgestellten Rechtsschutzlücken nicht schließen. Der EuGH hat außerdem in seinem Urteil ausdrücklich darauf hingewiesen, dass US-Gesetze wie das FISA-Gesetz eine Massenüberwachung durch Sicherheitsbehörden zulassen und, dass das Datenschutzniveau in den USA nicht dem der EU gerecht wird. |
|
Organisatorische Maßnahmen |
Einschätzung der DSB |
|
- Benachrichtigung der betroffenen Personen über Datenanfragen (sofern erlaubt)
- Veröffentlichung eines Transparenzberichtes
- Sorgfältige Prüfung von Datenzugriffsanfragen |
Es sei nicht klar, inwieweit diese organisatorischen Maßnahmen wirksam sind. Es sei zudem fraglich, inwieweit die "sorgfältige Prüfung einer jeder Datenzugriffsanfrage" eine effektive Maßnahme darstellt, da der EuGH festgestellt hat, dass zulässige (d. h. nach US-Recht legale) Anfragen von US-Geheimdiensten nicht mit dem Grundrecht auf Datenschutz nach Art. 8 EU-GRCh in Einklang zu bringen sind.
|
Die Ansicht der DSB ist sicher als streng zu bewerten. Leider geht die Behörde in ihrem Bescheid nicht näher auf die einzelnen Maßnahmen ein und bewertet diese nicht im Detail. Die Aussagen der DSB zu den verschiedenen Maßnahmen können für Unternehmen in der Praxis eine wichtige Rolle bei der eigenen Bewertung von Datentransfers spielen. Ob man Ihnen ein zu eins folgen muss, ist eine andere Frage.
News
Generalanwalt am EuGH: Zur Geeignetheit von technisch organisatorischen Schutzmaßnahmen und dem Ersatz immateriellen Schadens bei einem Hackerangriff
Der Generalanwalt am EuGH hat am 27.4.2023 seine Schlussanträge im Verfahren C-340/21 über die Voraussetzungen des Ersatzes eines immateriellen Schadens und der Beweislast für die Geeignetheit von technisch organisatorischen Maßnahmen nach Art. 32 DSGVO (TOMs) im Zusammenhang mit einem Hackerangriff veröffentlicht. Das Verfahren weist einen für die Praxis wichtigen Bezug zu den Themen Datenschutz und IT Security auf, sodass die künftige Entscheidung des EuGH für die Umsetzung der TOMs durch den Verantwortlichen relevant sein wird.
Das EU-US Data Privacy Framework – neue Grundlage für den Datentransfer in die USA
Am 10. Juli 2023 hat die Europäische Kommission den Angemessenheitsbeschluss zum EU-U.S. Data Privacy Framework („DPF“) erlassen. Damit stellt die Kommission nach Art. 45 Abs. 1 DSGVO fest, dass die USA (genauer: jene Unternehmen, die sich dem Selbstzertifizierungsmechanismus des DPF unterwerfen und in der noch zu veröffentlichenden Liste genannt werden) ein angemessenes Schutzniveau bieten.
Cybersecurity-Beratung von Piltz Legal - Nun auch mit zertifiziertem IT-Sicherheitsbeauftragten
Aufgrund unserer digitalisierungsaffinen Beratungsstrategie haben wir bei Piltz Legal immer wieder viele Berührungspunkte mit technischen Fragestellungen und arbeiten mit Personen aus IT- und IT-Security-Abteilungen zusammen. Gerade im Kontext des IT- und IT-Sicherheitsrechts setzt die Beratung deshalb voraus, dass man im Zweifel „die Sprache“ auch der IT-Mitarbeiter nicht nur versteht, sondern auch spricht. Die ist unser Anspruch und Teil unserer Beratung.
Prof. Dr. Burghard Piltz & Dr. Carlo Piltz erneut ausgezeichnet
Wir freuen uns, dass Prof. Dr. Burghard Piltz & Dr. Carlo Piltz erneut vom Handelsblatt ausgezeichnet wurden.
Betriebsvereinbarungen müssen auf DSGVO-Konformität geprüft werden
Die Auswirkungen der EuGH-Urteils in der Rechtssache C-34/21 vom 30.3.2023 wurden mit Blick auf § 26 BDSG und das eventuell kommende neuen Beschäftigtendatenschutzgesetzes schon mehrfach thematisiert (hierzu eine aktuelle Handreichung der Hessischen Datenschutzbehörde). Jedoch wird bislang nur selten darauf eingegangen, dass das Urteil auch weitreichende Konsequenzen für Betriebsvereinbarungen haben kann.
Weiterer Fachaufsatz zum geplanten Cyber Resilience Act - Verhältnis des Cyber Resilience Act zur DSGVO
In der aktuellen Ausgabe der Zeitschrift Computer und Recht (CR 05/2023) wurde ein weiterer Aufsatz mit dem Titel „Der Vorschlag für einen Cyber Resilience Act aus Sicht der DSGVO“ von Dr. Carlo Piltz, Alexander Weiß und Johannes Zwerschke veröffentlicht.