Neues zum Datenschutzrecht
14.1.2022
EDSP: Einbindung von Google Analytics und Stripe auf Intranet-Website des EU-Parlaments rechtswidrig
Der Europäische Datenschutzbeauftragte (EDSB) hält die Einbindung von Google Analytics und des Zahlungsanbieters Stripe auf einer intern genutzten Website des EU-Parlaments zur Anmeldung für Covid-Tests für rechtswidrig. Es liege ein Verstoß gegen die hier anwendbare Verordnung (EU) 2018/1725 vor, die den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union regelt. Das geht aus einer Veröffentlichung der Datenschutzorganisation Noyb hervor. Das EU-Parlament wurde vom EDSB gerügt und aufgefordert, die rechtswidrigen Punkte innerhalb eines Monats zu beseitigen. Anlass des Tätigwerdens des EDSB war eine Beschwerde der Datenschutzorganisation Noyb, die im Namen von sechs Mitgliedern des Europäischen Parlaments eingereicht wurde. Noyb hat die Entscheidung des EDSB vom 5.1.2022 hier veröffentlicht.
Über die unzulässigen Datentransfers in die USA aufgrund der Einbindung von Google Analytics und Stripe hinaus hatte die Entscheidung des EDSB unter anderem auch noch mangelhafte Datenschutzhinweise für die in Frage stehende Website und Cookie-Banner zum Gegenstand, in denen nicht alle Cookies aufführt waren und je nach Sprachversion unterschiedlichen Inhalt hatten.
Hintergrund
Nachdem der Europäische Gerichtshofs (EuGH) das EU-US-Privacy Shield („Privacy Shield“) mit Urteil vom 16.7.2020 (Az. C-311/18) für unwirksam erklärt hat, können personenbezogene Daten nicht mehr auf dieser Grundlage in die USA übermittelt werden. (siehe auch Datenschutz-News v. 17.7.2020). Es handelt sich um eine unzulässige Datenverarbeitung, die bußgeldbewehrt ist. Da kein Angemessenheitsbeschluss der EU-Kommission vorliegt, bedarf es einer Alternative wie z.B. Standarddatenschutzklauseln. Allerdings bestehen weitere Anforderungen. Bei einem Datentransfer in Drittländer ist zusätzlich eine Risikoprüfung (sog. TIA – Transfer Impact Assessment) durchzuführen, wenn für das Drittland kein Angemessenheitsbeschluss der EU-Kommission vorliegt. Im Einzelnen:
Eine Datenübermittlung in ein Drittland ist gemäß Art. 45 Abs. 1 DSGVO zulässig, wenn die EU-Kommission für dieses Drittland ein angemessenes Datenschutzniveau festgestellt hat. Liegt kein Angemessenheitsbeschluss der EU-Kommission vor, ist eine Datenübermittlung in Drittländer nach Art. 46 Abs. 1 DSGVO zulässig, wenn Verantwortliche oder Auftragsverarbeiter geeignete Garantien hinsichtlich des auf die konkrete Datenübermittlung bezogenen Datenschutzniveaus vorsehen, z.B. Standarddatenschutzklauseln, und den betroffenen Personen durchsetzbare Rechte sowie effektive Rechtsmittel zur Verfügung stehen. In jedem Fall obliegt es dem Verantwortlichen – gegebenenfalls in Zusammenarbeit mit dem Empfänger der Daten bzw. mit dessen Unterstützung – zu prüfen, ob das Recht des Drittlandes nach Maßgabe des EU-Rechts einen angemessenen Schutz der zu übermittelnden personenbezogenen Daten gewährleistet. Erst nach einer solchen Risikoprüfung (sog. TIA – Transfer Impact Assessment) unter Berücksichtigung der Rechtslage und der Praxis im betreffenden Drittland können z.B. Standarddatenschutzklauseln zum Einsatz kommen – entweder allein oder erforderlichenfalls mit zusätzlichen Garantien. Kann der in der Union ansässige Verantwortliche keine hinreichenden zusätzlichen Maßnahmen ergreifen, um einen solchen Schutz zu gewährleisten, ist die Datenübermittlung auf der Grundlage von Standarddatenschutzklauseln nicht möglich. Eine bereits laufende Datenübermittlung in Drittländer muss ausgesetzt oder beendet werden, wenn das Recht des Drittlandes aufgrund von Änderungen nach Verarbeitungsbeginn keinen angemessenen Schutz der übermittelten Daten mehr gewährleistet und keine hinreichenden zusätzlichen Maßnahmen ergriffen werden (können), um diesen Schutz wieder herzustellen.
Im konkreten Fall kommt jedoch nicht die DSGVO zur Anwendung, sondern die Verordnung (EU) 2018/1725. Diese Verordnung enthält die datenschutzrechtlichen Vorgaben für EU-Organe und EU-Einrichtungen. Allerdings stimmen die Regelungen der Verordnung (EU) 2018/1725 im Wesentlichen mit den DSGVO-Vorschriften überein. Das gilt insbesondere auch für die Datenübermittlung in Drittländer, wie ein Vergleich von Art. 46 ff. Verordnung (EU) 2018/1725 und Art. 44 ff. DSGVO zeigt. Vor diesem Hintergrund konnte sich der Europäische Datenschutzbeauftragte (EDSB) zu Recht auf das o.g. Urteil des EuGH stützen. Der EDSB ist die für das EU-Parlament sowie weitere EU-Organe und EU-Einrichtungen zuständige Datenschutzaufsicht.
Fazit
Der Fall des EU-Parlaments zeigt, wie schwierig die praktische Umsetzung der vom EU-Parlament beschlossenen datenschutzgesetzlichen Vorgaben für Datentransfers in Drittländer ist. Das gilt umso mehr, als bislang immer noch nicht klar ist, wie die zusätzlichen Maßnahmen für einen Datentransfer in Drittländer konkret aussehen können bzw. sollen, um ein rechtssicheres Handeln zu ermöglichen (vgl. hierzu die Empfehlungen 01/2020 zu Maßnahmen zur Ergänzung von Übermittlungstools zur Gewährleistung des unionsrechtlichen Schutzniveaus für personenbezogene Daten des Europäischen Datenschutzausschusses (EDSA) vom 10.11.2020; eine inoffizielle deutsche Übersetzung dieser Leitlinien finden Sie hier).
Der Fall des EU-Parlaments zeigt aber auch, dass die Datenschutzaufsichtsbehörden ungeachtet der vorgenannten Schwierigkeit Ernst machen und insbesondere den Einsatz von Website-Anwendungen monieren, die wie Google Analytics mit einer Datenverarbeitung in den USA einhergehen.
Sollten Sie Fragen zu datenschutzrechtlichen Anforderungen an Websites oder Datentransfers in die USA und andere Drittländer haben oder sonstige datenschutzrechtliche Unterstützung benötigen, können Sie mich gerne kontaktieren.
Zurück zur Übersicht