Neues aus der Handelswelt
Mit Forschung und Beratung erfolgreich im Handeln
#Verstehen
#Planen
#Machen
#Teilen
Expertise für Handel im digitalen Zeitalter
Menu
Studien und Marktdaten zum Kauf / Download
Studien
Daten
Spannende Projekte aus der IFH Welt
DIe EVENTS DES IFH KÖLN
26. Januar 2022

Die Einschläge durch Maßnahmen der Datenschutzbehörden rücken näher. Der Datenschutzaktivist Max Schrems hat jetzt in seinem Heimatland Österreich die Datenschutzbehörde im Rahmen einer Musterbeschwerde veranlasst zu entscheiden, dass der Einsatz von Google Analytics generell gegen die DSGVO verstößt. Gleichzeitig hat das OLG Schleswig die Urteilsgründe in der Fanpageuntersagung vorgelegt. Rechtsanwalt Rolf Becker, ECC CLUB Mitglied und Partner bei WIENKE & BECKER, erläutert die Auswirkungen.

Google Analytics in der EU am Ende?

Max Schrems agiert über seine Organisation noyb. Diese hatte im Zuge der so genannten Schrems II"-Entscheidung in ganz Europa in 101 Fällen eingereicht. Im Jahr 2020 hatte der Europäische Gerichtshof (EuGH) bekanntlich das PrivacyShield für ungültig erklärt (EuGH, Urt. v. 16.07.2020, C-311/18). Damit entfiel die Grundlage für Datenübermittlungen in die USA, da der Angemessenheitsbeschluss pulverisiert wurde. Österreich reagiert jetzt als erste Behörde auf die Musterbeschwerde im Rahmen eines Teilbescheids. Ähnliche Entscheidungen werden in anderen EU-Mitgliedstaaten erwartet, da die Datenschutzbehörden nach Angaben von noyb in diesen Fällen in einer "EDPB-Taskforce" zusammengearbeitet haben. Auch der Europäische Datenschutzbeauftragte hat reagiert und am 11.01.2022 dem Europäischen Parlament einen Verweis auf gleicher Basis erteilt, weil man Daten in die USA gesendet habe.

Schrems wirft Unternehmen vor, dass sie ihre Dienste nicht technisch angepasst haben. Stattdessen habe man nur versucht, „ein paar Texte in ihre Datenschutzrichtlinien einzufügen, und den EuGH zu ignorieren.“

Die aktuelle Entscheidung der Datenschutzbehörde in Österreich betrifft den Einsatz von Google Analytics auf der Website im August 2020 und richtet sich gegen eine österreichische Verlagsgesellschaft und gegen Google LLC, USA, wobei die Beschwerde diesbezüglich zurückgewiesen und zu anderen möglichen Verstößen vertagt wurde.

Die Behörde prüft, ob nach dem Ende des PrivacyShields eine andere Rechtsgrundlage für die Übermittlung von Daten in die USA vorhanden war.

Standardvertragsklauseln mit Google reichen nicht

Die österreichische Datenschutzbehörde kommt in ihrer Entscheidung zu dem Ergebnis, dass (im August 2020) die Vereinbarung von Standarddatenschutzklauseln kein angemessenes Schutzniveau gemäß Art. 44 DSGVO bieten konnte, da Google dem FISA 702 Act unterliegt.

Die Regelungen des FISA 702 erlauben es, US-amerikanische "Anbieter elektronischer Kommunikationsdienste" zu zwingen, den Sicherheitsbehörden Zugang zu personenbezogenen Daten von "Nicht-US-Personen" zu gewähren. Gerichte müssen nicht bemüht werden. FISA 702 wurde 2008 verabschiedet. Gleichzeitig mit dieser Erweiterung wurden immer mehr personenbezogene Daten von US-amerikanischen Anbietern elektronischer Kommunikationsdienste (wie Apple, Microsoft, Facebook, Google und Yahoo) gesammelt.

Die österreichische Datenschutzbehörde meint unter Verweis auf die Entscheidung des EuGH zum PrivacyShield, dass „Standarddatenschutzklauseln ihrer Natur nach keine Garantien bieten können, die über die vertragliche Verpflichtung, für die Einhaltung des unionsrechtlich verlangten Schutzniveaus zu sorgen, hinausgehen“. Es sei erforderlich, zusätzliche Maßnahmen zu ergreifen.

Damit helfen wohl auch die zwischenzeitlich erlassenen „neuen“ Standarddatenschutzklauseln hier nicht weiter.

Google hatte in seiner Eingabe auf „zusätzliche technische und organisatorische Maßnahmen“ verwiesen, wie Zäune um Datenzentren, Verschlüsselungen von Datentransits und ruhenden Daten. Dies reichte der Datenschutzbehörde aber nicht aus. Ein Datenimporteur, der wie Google dem FISA 702 unterliege, habe zu den Daten eine direkte Verpflichtung, den Zugriff zu gewähren oder diese herauszugeben. „Diese Verpflichtung kann sich ausdrücklich auch auf die kryptografischen Schlüssel erstrecken, ohne die die Daten nicht lesbar sind (ebd. Rz 76).“ Solange Google selbst die Möglichkeit habe, auf die Daten im Klartext zuzugreifen, könnten Maßnahmen nicht als effektiv betrachtet werden.

Auch der Verweis auf pseudonyme Verarbeitung reichte nicht.

Dem ist jedoch die überzeugende Ansicht der Deutschen Datenschutzkonferenz entgegenzuhalten, wonach „[…] die Tatsache, dass die Nutzer etwa über IDs oder Kennungen bestimmbar gemacht werden, keine Pseudonymisierungsmaßnahme i. S. d. DSGVO darstellt. Zudem handelt es sich nicht um geeignete Garantien zur Einhaltung der Datenschutzgrundsätze oder zur Absicherung der Rechte betroffener Personen, wenn zur (Wieder-)Erkennung der Nutzer IP-Adressen, Cookie-IDs, Werbe-IDs, Unique-User-IDs oder andere Identifikatoren zum Einsatz kommen. Denn, anders als in Fällen, in denen Daten pseudonymisiert werden, um die identifizierenden Daten zu verschleiern oder zu löschen, so dass die betroffenen Personen nicht mehr adressiert werden können, werden IDs oder Kennungen dazu genutzt, die einzelnen Individuen unterscheidbar und adressierbar zu machen. Eine Schutzwirkung stellt sich folglich nicht ein.

Einwilligung nur im Einzelfall

Fraglich ist aber auch, ob eine Einwilligung hier weitergeholfen hätte.

Art. 49 Abs. 1 DSGVO sagt in seinem Wortlaut, dass eine Übertragung ohne Angemessenheitsbeschluss nach Art. 45 und ohne geeignete Garantien nach Art. 46 DSGVO zulässig ist, wenn z.B.

„…die betroffene Person in die vorgeschlagene Datenübermittlung ausdrücklich eingewilligt hat, nachdem sie über die für sie bestehenden möglichen Risiken derartiger Datenübermittlungen ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien unterrichtet wurde.“

Die deutschen Datenschutzbehörden verstehen Art. 49 DSGVO jedoch so, dass die hiernach vorgesehenen Einwilligungen nur für einmalige, jedenfalls vereinzelte Übertragungen möglich sein soll und auch nur für eine kürzere Zeit.

Fazit

Die Entscheidung aus Österreich ist noch nicht rechtskräftig. Google hatte die Entscheidung als nicht weitreichend bezeichnet, gleichzeitig aber die US-Regierung aufgefordert, schnell eine neue Grundlage für die Datenübermittlung mit der EU auszuhandeln. Von Strafen gegen die Unternehmen ist in diesem Teilbescheid (noch) nicht die Rede. Schrems erwartet allerdings dazu noch entsprechende Entscheidungen.

Unternehmen, die Google Analytics noch einsetzen, sollten in jedem Fall Einwilligungen einsetzen, die es bei dem betroffenen Unternehmen nicht gab. Zudem sind die neuen DPAs von Google („Google Data Processing Terms for all Google Products“) zu akzeptieren. Serverside Tracking ist zu überlegen, da dabei die IP-Adressen (anders als bei der IP-Anonymization) vor Übermittlung an Google und dessen Cloud – allerdings sehr aufwändig - komplett entfernt werden können. Ob sich Google Analytics allein im Serverside-Teil so konfigurieren lässt, dass eine DSGVO Konformität hergestellt wird, ist im Einzelnen zu prüfen.

Ansonsten kann als sicherster Weg nur empfohlen werden, auf Analyse-Tools umzusteigen, bei denen keine Datentransfers in einen unsicheren Drittstaat erfolgen. Es ist nicht in Sicht, dass die USA den Schutz betroffener Personen anpassen.

Fanpage-Urteil liegt vor

Datenschutzaufsichtsbehörden sind in Bezug auf Facebook der Meinung, dass die dort vorgenommenen Datenverarbeitungen rechtswidrig erfolgen. Zuständig ist hier allerdings die irische Datenschutzbehörde, die nur mit „gebremstem Schaum“ agiert. Das ULD (Unabhängiges Landeszentrum für Datenschutz) war gegen einen Fanpage-Betreiber in einer Art Musterprozess vorgegangen. Im Laufe des Verfahrens, das seinen Ursprung im Jahr 2011 hat, mussten das Bundesverwaltungsgericht sowie der Europäische Gerichtshof grundlegende Fragen z.B. zur gemeinsamen datenschutzrechtlichen Verantwortung eines Fanpage-Betreibers mit Facebook für den Dienst Insights (Seitenstatistik) und dafür gesetzte Cookies erklären. Durch diese zeitliche Komponente mit Sach- und Rechtslage 2011 hat das OVG Schleswig in seinem Urteil allerdings nicht entschieden, ob der aktuelle Betrieb einer Fanpage gegen aktuell geltendes Datenschutzrecht verstößt.

Das Gericht entschied, dass es für diese Erstellung von Nutzungsprofilen, wie sie von Facebook vorgenommen wurde, im alten Telemediengesetz (TMG) keine Rechtsgrundlage gab. Darüber hinaus lag – als weitere denkbare Rechtsgrundlage – eine Einwilligung der jeweiligen Facebook-Nutzer in diese Art der Datenverarbeitung nicht vor. Sofern so etwas wie eine Zustimmung der Nutzer:innen eingeholt wurde, erfüllte diese ohne notwendige Informationen über Art und Zweck der Datenverarbeitung nicht die strengen Voraussetzungen an eine Einwilligung. Zudem fehlten allgemeine Datenschutzinformationen.

Fazit

Nach nunmehr 10 Jahren ist das Verfahren vorerst abgeschlossen. Zwischenzeitlich hat sich das Recht geändert (2018 gilt die DSGVO und seit 1. Dezember 2021 das neue TTDSG), Facebook hat (kritisierte) neue Bestimmungen, auch zur gemeinsamen Verantwortung, vorgelegt und die Informationen verbessert. Auch die Einwilligung wurde modifiziert. Damit haben sich alle Parameter, die das Urteil bestimmten, geändert.

Das Urteil ist danach nicht mehr auf den heutigen Betrieb übertragbar. Es besteht aber die Gefahr, dass die Datenschutzaufsichtsbehörden diese Entscheidung zum Anlass nehmen und neue Verfahren gegen Unternehmen einleiten, die eine Facebook-Fanpage betreiben. Davon wird man dann hören und das „Spiel“ mit dem Weg durch die Instanzen kann von neuem beginnen.

Bild von Rechtsanwalt Rolf Becker

ÜBER DEN AUTOR

Rechtsanwalt Rolf Becker ist Partner der Rechtsanwälte WIENKE & BECKER in Köln und Autor von Fachbüchern und Fachartikeln zum Wettbewerbsrecht, Markenrecht und Vertriebsrecht insbesondere im Fernabsatz. Als Mitglied im ECC CLUB kommentiert Rechtsanwalt Becker für das ECC KÖLN regelmäßig aktuelle Urteile zum Online-Handel und gibt Händlern praktische Tipps, wie sie mit den gesetzlichen Vorgaben umgehen sollen. 

RA Becker auf Twitter: http://twitter.com/rolfbecker   

Er ist auch Autor auf den Informationsdiensten www.versandhandelsrecht.de.

PRESSEHINWEISE

Gerne dürfen Sie den Text von Herrn Becker redaktionell weiterverwenden. Bitte geben Sie hierbei die URL zum Rechtstipp sowie folgende Quelle an: RA Rolf Becker WIENKE & BECKER / ECC Rechtstipp. Bitte senden Sie ein Belegexemplar bzw. den Link zur Veröffentlichung an presse(at)ifhkoeln.de. Vielen Dank!

Newsletter handel im fokus

Holen Sie sich die neueste Forschungserkenntnisse und aktuelle Themen, Trends und Hintergründe rund um Einzel-, Großhandel und E-Commerce wöchentlich in Ihr Postfach.
cartmagnifiermenu