Dr. Evelyne Sørensen - Experte Datenschutz & Datensicherheit

Angemessenheitsbeschlüsse: Überprüfung von 11 Drittstaaten

Die EU-Kommission bestätigt in ihrer ersten Überprüfung die Angemessenheitsbeschlüsse von elf Drittländern: Die Länder Andorra, Argentinien, Kanada, Färöer Inseln, Guernsey, Isle of Man, Israel, Jersey, Neuseeland, Schweiz und Uruguay verfügen gemäß DSGVO über ein angemessenes Datenschutzniveau. In diese Länder kann eine Datenübermittlung aus der EU somit weiterhin ohne zusätzliche Datenschutzgarantien erfolgen.

Was bedeutet ein Angemessenheitsbeschluss?

Die Kommission hat die Möglichkeit das Bestehen eines angemessenen Schutzniveaus für die Verarbeitung personenbezogener Daten in einem bestimmten Drittland (also außerhalb von EU und EWR) oder einer internationalen Organisation festzustellen (Art. 45 DSGVO). Im Rahmen der dafür notwendigen Überprüfung werden die innerstaatlichen Rechtsvorschriften des Landes, dessen Aufsichtsbehörden und die von dem Land eingegangen internationalen Verpflichtungen berücksichtigt.

Liegt ein Angemessenheitsbeschluss vor, bedarf es keiner weiteren Schutzmaßnahmen für die Übermittlung personenbezogener Daten in das betreffende Drittland. Personenbezogene Daten können somit in das betreffende Drittland in gleicher Weise übermittelt werden wie innerhalb der EU.

Derzeit existieren Angemessenheitsbeschlüsse für die Übermittlung personenbezogener Daten in folgende Drittländer (siehe auch die Liste der Europäischen Kommission):

Andorra
Argentinien
Kanada
Färöer-Inseln
Guernsey
Israel
Isle of Man
Japan
Jersey
Neuseeland
Republik Korea (Südkorea)
Schweiz
Uruguay
Vereinigtes Königreich
Vereinigte Staaten von Amerika (gilt nur für zertifizierte U.S.-Unternehmen)

Warum werden die Angemessenheitsbeschlüsse überprüft?

Für die jetzt überprüften Länder hatte die Europäische Kommission die Angemessenheitsbeschlüsse noch auf Grundlage von Art. 25 Abs. 6 der Richtlinie 95/46/EG (EU-Datenschutzrichtlinie) erlassen. Diese Angemessenheitsbeschlüsse blieben auch nach Inkrafttreten der DSGVO im Mai 2018 gültig.

Laut Art. 45 Abs. 4 DSGVO muss die Kommission fortlaufend die Entwicklungen in Drittländern überwachen, um die Wirkungsweise der erlassenen Beschlüsse zu gewährleisten. Zudem muss die Kommission gemäß Art. 97 DSGVO diese Feststellungen alle vier Jahre überprüfen.

Die erste Überprüfung verzögerte sich insbesondere aufgrund des Urteils des Europäischen Gerichtshofs (EuGH) in der Rechtssache Schrems II. Der EuGH hatte in seinem Urteil wichtige Klarstellungen zu Schlüsselelementen der Angemessenheitsfeststellung vorgenommen, die die Kommission bei der Prüfung der Angemessenheit berücksichtigen muss. Hierzu gehört insbesondere die Erläuterungen des EuGH zum Grundsatz der Gleichwertigkeit. Demnach muss ein Drittland nicht ein dem in der Unionsrechtsordnung garantiertes identisches Schutzniveau gewährleisten, sondern ein Schutzniveau das diesem „der Sache nach“ gleichwertig ist. Aufgabe der Kommission ist es demnach das gesamte System des Drittlandes zu überprüfen, einschließlich der Maßnahmen zum Schutz der Privatsphäre sowie die wirksame Umsetzung und Durchsetzung.

Was prüft die Kommission in Drittländern?

Bei Ihrer Überprüfung (siehe der Bericht vom 15. Januar 2024) konzentrierte sich die EU Kommission auf die Entwicklungen der betreffenden Länder seit den letzten Angemessenheitsfeststellungen und bewertete, wie diese Entwicklungen Datenschutzrahmen beeinflusst haben und ob die verschiedenen Regelungen weiterhin ein angemessenes Schutzniveau gewährleisten. Zugleich wurden die Datenschutzvorschriften der EU, insbesondere das Inkrafttreten der DSGVO, umfassend berücksichtigt.

Die Bewertung der Kommission beschränkte sich nicht nur auf den allgemeinen Datenschutzrahmen des jeweiligen Drittlandes, sondern umfasste auch die Vorschriften für den Zugang von Behörden zu personenbezogenen Daten, insbesondere zu Zwecken der Strafverfolgung und der nationalen Sicherheit. Die Anforderung, die diese Vorschriften erfüllen sollten, um den Standard der Gleichwertigkeit der Sache nach zu entsprechen, hat der EuGH in den Urteilen Schrems I und Schrems II umfassend formuliert. Ein angemessenes Schutzniveau fehlt, wenn die zusätzlichen Schutzmaßnahmen nicht vor unverhältnismäßigem Zugriff der Behörden schützen und hiergegen kein effektiver Rechtsschutz besteht.

Was ergaben die Prüfungen der Drittstaaten?

Von den elf nun überprüften Ländern holte die EU-Kommission Informationen über die Entwicklung ihrer Regelungen zum Datenschutz seit der ersten Angemessenheit ein. Diese Informationen beinhalteten auch detaillierte Daten zum Zugang von Behörden zu personenbezogenen Daten.

Ebenso wurden Informationen von Behörden und lokalen Sachverständigen über die Funktionsweise der nationalen Regelungen sowie relevante rechtliche und praktische Entwicklung beschafft. Zusätzlich fanden auf Grundlage der Informationen intensive Dialoge mit jedem betroffenen Land statt. Parallel dazu fand eine Konsultation der einschlägigen EU-Organe und -Einrichtungen statt, auf deren Rückmeldung sich die EU-Kommission ebenfalls in ihren Entscheidungen stützte.

Auf Grundlage dieser Dialoge haben einige der Länder und Gebiete ihre Rechtsvorschriften zum Datenschutz modernisiert und gestärkt (z.B. Andorra, Kanada, Färöer Inseln, Schweiz und Neuseeland), um die Kontinuität der Angemessenheitsfeststellung und sicherzustellen. Einige Länder erließen Verordnungen und/oder Leitlinien ihrer Datenschutzbehörden, die neue Datenschutzanforderungen enthalten (z.B. Israel und Uruguay) oder bestimmte Datenschutzvorschriften präzisieren (z.B. Argentinien, Kanada, Guernsey, Jersey, Isle of Man, Israel und Neuseeland).

Teilweise konnte die EU-Kommission zusätzliche Garantien für aus der EU übermittelten personenbezogene Daten aushandeln, um relevante Unterschiede bezüglich des Schutzniveaus anzugehen. Kanada weitete beispielsweise das Recht auf Auskunft und Berichtigung in Bezug auf personenbezogene Daten (die von Behörden verarbeitet werden) auf alle Personen unabhängig von ihrer Staatsangehörigkeit oder ihrem Wohnsitz aus. Die israelische Regierung führte beispielsweise neue Verpflichtung im Bereich der Datengenauigkeit und Vorratsdatenspeicherung ein, stärkte das Recht auf Information und Löschung und führte zusätzlich die Kategorie sensibler Daten ein.

Fazit

Mit den Angemessenheitsbeschlüssen attestiert die EU-Kommission den elf Ländern ein, gemessen an den Maßstäben der DSGVO, angemessenes Datenschutzniveau. Allerdings bedeutet dies nicht, dass die Regeln dieser Drittländer mit der DSGVO übereinstimmen oder exakt dieselben strengen Standards gelten wie in der EU.

Für Unternehmen in der EU und auch Unternehmen in den Ländern mit positiven Angemessenheitsbeschluss, ist diese positive Entscheidung von zentraler Bedeutung. Die jeweiligen Beschlüsse sind die Basis dafür, Personendaten zwischen der EU und den jeweiligen Drittländern ohne zusätzliche Garantien übermittelt werden dürfen.

Gerade in Bezug auf die USA – die zwar nicht Teil der aktuellen Überprüfung waren – sollten Unternehmen jedoch wachsam bleiben, da hier Gerichtsverfahren gegen das aktuell geltende EU-U.S. Data Privacy Framework drohen.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Das Ende von Google Analytics in Europa?

Google Analytics ist weiterhin eines der verbreitetsten Analysewerkzeuge, um Zugriffe auf Websites und Nutzerverhalten auszuwerten. Mittlerweile wird es jedoch immer schwieriger den Einsatz von Google Analytics auf Websites in der EU zu rechtfertigen.

Nach dem Urteil des Europäischen Gerichtshofs zur Ungültigkeit des Privacy Shield hat der vom Juristen und Aktivisten Max Schrems gegründete Datenschutzverein Europäisches Zentrum für digitale Rechte (noyb) 101 Beschwerden eingereicht. Die ersten Entscheidungen machen deutlich, dass der Einsatz von Google Analytics in der EU rechtswidrig ist. Es wird erwartet, dass ähnliche Entscheidungen der anderen Behörden folgen.

Auch die deutschen Aufsichtsbehörden positionieren sich immer eindeutiger gegen den Einsatz von Google Analytics. Es wird insbesondere bemängelt, dass die allgemeinen Grundsätze der Datenübermittlung in ein Drittland verletzt werden, da mit Google Analytics persönliche Nutzerinformationen an die Google-Konzernzentrale in den USA weitergegeben werden. Die Tatsache, dass die europäischen Behörden nun nach und nach US-Dienste für nicht konform erklären, erhöht vor allem den Druck auf EU-Unternehmen, auf sichere und konforme Optionen zu setzen.

In diesem Beitrag nehmen wir Google Analytics genauer unter die Lupe und analysieren die datenschutzrechtlichen Aspekte. Wir erklären zudem, was dies für Unternehmen bedeutet und ob ein akuter Handlungsbedarf besteht.

Aktuelle Entwicklungen zu Google Analytics

23. März 2023: Das Landgericht Köln entscheidet, dass die Datenübermittlung in die USA im Rahmen von Google Analytics rechtswidrig ist

Das Landgericht (LG) Köln untersagte der Telekom Deutschland die Übermittlung personenbezogener Daten zu Analyse- und Marketingzwecken an Google-Server in die USA. Die Klage wurde von der Verbraucherzentrale Nordrhein-Westfalen eingereicht.

Während die Verbraucherzentrale argumentiert, dass die Übermittlung personenbezogener Daten in die USA gegen die Vorgaben der DSGVO und insbesondere gegen die Anforderungen des Schrems-II-Urteils verstoße, liefert die Telekom Deutschland als Gegenargument, dass die Übermittlung personenbezogener Daten in die USA auf der Grundlage von Standardvertragsklauseln erfolgte und somit rechtmäßig sei.

Das LG Köln beruft sich auf das Schrems-II-Urteil des EuGHs, dass die Standardvertragsklauseln allein nicht ausreichen, um ein angemessenes Schutzniveau zu gewährleisten, insbesondere in Bezug auf den Zugriff der US-Behörden auf die Daten. Das Gericht betont, dass zusätzliche Maßnahmen erforderlich sind, um den Schutz personenbezogener Daten zu gewährleisten, beispielsweise durch den Einsatz von Verschlüsselung oder Pseudonymisierung. Laut Gericht reicht eine einfache Zustimmung über den Cookie-Banner über den Button „Alle akzeptieren“ für eine ausdrückliche Einwilligung für die Drittlandübermittlung in die USA zudem nicht aus.

23. Juni 2022: Die italienische Datenschutzbehörde nimmt Stellung zum Einsatz von Google Analytics

Die italienische Aufsichtsbehörde (Garante per la protezione dei dati personali) kommt zu dem Schluss, dass eine Website, die Google Analytics ohne zusätzliche Schutzmaßnahmen einsetzt, gegen die Vorschriften bzgl. des Drittlandtransfer der DSGVO verstößt. Die italienische Behörde hat bereits Websitebetreiber gerügt und auffordert, die Verarbeitung mittels Google Analytics innerhalb von 90 Tagen einzustellen. Weitere Überprüfungen von Websites sollen vorgenommen werden.

10. Februar 2022: Die französische Aufsichtsbehörde CNIL folgt der Entscheidung der österreichischen Datenschutzbehörde

Nur zwei Wochen nach der Entscheidung der österreichischen Datenschutzbehörde, entscheidet auch die französische Datenschutzbehörde (Pressemitteilung der CNIL in Englisch), dass der Einsatz von Google Analytics auf Websites nicht mit der Datenschutz-Grundverordnung (DSGVO) vereinbar ist. Obwohl Google für den Transfer in die USA zusätzliche Schutzmaßnahmen ergriffen hat, reichen diese nicht aus, um den Zugriff auf diese Daten durch US-Geheimdienste auszuschließen. Diese Entscheidung stützt sich auf eine der oben erwähnten 101 Beschwerden von noyb.

10. Februar 2022: Die niederländische Behörde warnt vor dem Einsatz von Google Analytics und kündigt Beschluss an

Als Reaktion auf den Beschluss der österreichischen Aufsichtsbehörde warnt nun auch die niederländische Datenschutzbehörde (AP) vor dem Einsatz von Google Analytics. Sie informiert nicht nur über die Entscheidung der Datenschutzbehörde Österreichs, sondern hat bereits ihre Anleitung (in Niederländisch) zur datenschutzfreundlichen Einrichtung Google Analytics entsprechend aktualisiert. Auch wenn die AP ihre Anleitung bisher nicht zurückgezogen hat, ist diese nun mit dem Warnhinweis versehen, dass die Verwendung Google Analytics möglicherweise bald nicht mehr erlaubt sei. Zudem kündigt die Behörde an, dass sie selbst zwei Beschwerden über die Verwendung Google Analytics in den Niederlanden untersucht.

12. Januar 2022: Entscheidung der österreichischen Datenschutzbehörde

Als erste nationale Aufsichtsbehörde traf die österreichische Datenschutzbehörde einen Beschluss zu einer der Beschwerden von noyb zum Einsatz von Google Analytics. Die Aufsichtsbehörde erachtet den Einsatz von Google Analytics auf Websites gegen die Bestimmungen der DSGVO zu Drittlandübermittlungen und daher als rechtswidrig. Die Behörde sieht vor allem die allgemeinen Grundsätze der Datenübermittlung gemäß Art. 44 DSGVO verletzt, da mit dem Analyseprogramm von Google persönliche Nutzerinformationen an den Mutterkonzern in den USA weitergegeben werden.

5. Januar 2022: Verwarnung des EU-Parlaments durch den EU-Datenschutzbeauftragten

Anfang Januar 2022 hat der europäische Datenschutzbeauftragte (EDSB) das EU-Parlament für den Einsatz von Tracking mittels Google Analytics sanktioniert. Es handelt sich hierbei um eine der 101 Beschwerden, die der vom Juristen und Aktivisten Max Schrems gegründete Datenschutzverein noyb in ganz Europa eingereicht hat. In seinem Beschluss hebt der EDSB hervor, dass auf einer internen Corona-Test-Seite des EU-Parlaments Google Analytics rechtswidrig eingebunden wurde. Der EDSB bestätigte, dass bei der Übermittlung der Daten durch Google Analytics in die USA kein angemessenes Schutzniveau vorliegt. Das EU-Parlament konnte keine entsprechenden Nachweise vorlegen. Zudem war das Cookie-Banner, über den die Nutzer in die Verarbeitung ihrer Daten einwilligen, unklar und irreführend.

1. Dezember 2021: Position der Konferenz der unabhängigen Datenschutzaufsichtsbehörden

Schon kurz vor Weihnachten hat sich die deutsche Datenschutzkonferenz der Aufsichtsbehörden der Länder (DSK) sehr streng zum Thema Transfer von Trackingdaten in Drittländer positioniert. In ihrer Orientierungshilfe (dort auf der letzten Seite) positioniert sich die DSK klar gegen den Einsatz solcher Tools, zu denen auch Google Analytics gehört. Somit ist der Einsatz im Grunde nicht rechtskonform möglich.

Zudem vertritt die DSK die Meinung, dass die Einwilligung nach Art. 49 Abs. 1 a) DSGVO für den Drittlandtransfer nicht heranziehbar ist. Diese Rechtsauffassung ist jedoch umstritten, da, wenn man ihr folgt, eine Bevormundung der Bürger stattfindet. Ein informierter Bürger sollte selbst über seine Daten entscheiden können. Die Auffassung der DSK könnte man als einen Eingriff in das Grundrecht auf informationelle Selbstbestimmung ansehen. Hier wird es wohl zu einer richterlichen Entscheidung kommen müssen, um Klarheit zu schaffen.

Datenschutzrechtliche Aspekte bei Google Analytics

Google Analytics ist mittlerweile nicht nur ein Tool zur statistischen Analyse (Reichweitenmessung), sondern hat sich zu einem umfassenden Werkzeug entwickelt, mit dem Websitebetreiber ihre Website-Performance nachvollziehen und das Verhalten sowie die Bedürfnisse ihrer Besucher analysieren können. Um diesen Service anbieten zu können, verarbeitet Google Analytics auch personenbezogene Daten.

Die Komplexität der Einstellungen bei Google Analytics ist jedoch sehr hoch. Die Erfassung der (personenbezogenen) Daten erfolgt häufig unbewusst und bleibt somit oft auch unbemerkt.

Werden tatsächlich personenbezogene Daten mit Hilfe Google Analytics verarbeitet?

Je nach Ausprägung und Konfiguration zeichnet Google Analytics unterschiedliche Datenkategorien und -mengen der Websitebesucher auf. Google Analytics verarbeitet zumindest immer die IP-Adressen und die Cookie-Daten der Websitebesucher sowie weitere Nutzerdaten, wie z.B. Informationen zum Browser, Betriebssystem und Datum und Uhrzeit des Websitebesuchs.

Regelmäßig werden wir als Datenschutzbeauftragte mit der Ansicht konfrontiert, dass diese Daten keine personenbezogenen Daten sind und der Websitebetreiber keine Rückschlüsse auf Einzelpersonen nehmen kann. Auch Google behauptet in den Google Analytics-Hilfen, dass die erfassten Nutzungsdaten keine „personenidentifizierbaren Informationen“ seien. Dass diese Aussage nicht korrekt ist, wird in den folgenden Ausführungen deutlich.

Exkurs: Online-Kennungen als personenbezogene Daten nach Art. 4 DSGVO

Laut der Definition in Art. 4 Ziffer 1 DSGVO sind personenbezogene Daten alle jene Daten, mit denen man eine natürliche Person in irgendeiner Form identifizieren kann. Die Definition erwähnt explizit Online-Kennungen, wie sie eben auch von Google genutzt werden, mit denen eine Zuordnung abgeleitet werden kann und durch die eine Person identifizierbar wird.

Beachten Sie, dass eine Identifizierbarkeit nicht voraussetzt, dass solche Nummern auch mit einem eindeutig bestimmbaren Datum, wie zum Beispiel dem Namen der Person, in Verbindung zu bringen sind. Laut Definition stellt bereits ein digitaler Fußabdruck, der es erlaubt, den konkreten Nutzer eindeutig zu individualisieren, ein personenbezogenes Datum dar. Aufgrund der Einzigartigkeit der Google-Analytics-Kennnummern ist die Bedingung damit erfüllt, zumal diese Kennungen mit weiteren Nutzerdaten (wie Browserdaten oder IP-Adressen) kombiniert werden. Somit ist eine Identifizierung des Nutzers umso wahrscheinlicher.

Es ist auch nicht ausschlaggebend, ob eine Identifizierung tatsächlich vorgenommen wird. Allein die Möglichkeit, eine Person identifizieren zu können reicht aus, dass die DSGVO anwendbar ist.

Dass die Mittel zur Identifizierbarkeit beim Einsatz von Google Analytics bei Google liegen und nicht bei dem jeweiligen Websitebetreiber, hat keinen Einfluss auf diese Betrachtung. Es ist auch nicht erforderlich, dass der Betreiber der Website alleine einen Personenbezug herstellen kann und somit alle für die Identifizierung erforderlichen Informationen vorliegen hat. Es ist vielmehr ausreichend, dass eine beliebige Person und mit vertretbarem Aufwand (in diesem Falle Google) diesen Personenbezug herstellen kann. Dies lässt sich auch aus Erwägungsgrund 26 DSGVO ableiten, wonach bei der Frage der Identifizierbarkeit nicht nur die Mittel des Verantwortlichen (Websitebetreiber) zu berücksichtigen sind, sondern auch jene „einer anderen Person“. Nicht zu vergessen ist auch, dass die DSGVO darauf abzielt, betroffenen Personen einen möglichst großen Schutz ihrer Daten zu bieten, unabhängig davon, wer die Daten verarbeitet.

Die von Google Analytics gesetzten Cookies wie z.B. „_ga“ bzw. „cid“ enthalten Client IDs und das Cookie „_gid“ User IDs, welche auf dem Endgerät bzw. dem Browser abgelegt werden. Sowohl bei Client IDs als auch bei User IDs handelt es sich um eindeutige Nutzer-Identifikations-Nummern, also Online-Kennungen, die der Identifizierbarkeit natürlicher Personen dienen und einem Websitebesucher konkret zugeordnet werden.

Mithilfe der Google-Analytics-Kennnummern ist es also möglich, Websitebesucher zu unterscheiden und z.B. auch die Information zu erhalten, ob es sich um einen neuen oder um einen wiederkehrenden Websitebesucher handelt. Hierauf verweist auch bereits die DSK und stellt klar, dass es sich bei den von Google Analytics verarbeiteten Nutzungsdaten und sonstigen gerätespezifische Daten, die einem bestimmten Nutzer zugeordnet werden können, um personenbezogene Daten im Sinne der DSGVO handelt.

Des Weiteren findet eine noch eindeutigere Zuordnung statt, sobald ein Websitebesucher zum Zeitpunkt des Besuchs einer Website, auf welcher Google Analytics eingebunden ist, mit seinem eigenen Google-Account eingeloggt ist.

Nicht nur die von Google Analytics gesetzten Cookies beinhalten personenbezogene Daten. Auch bei der Verarbeitung der IP-Adresse handelt es sich um ein personenbezogenes Datum, insbesondere weil diese – wie auch bei den Cookies – mit weiteren Elementen, insbesondere den Google-Analytics-Kennnummern, kombiniert werden können.

In einer Stellungnahme gegenüber der österreichischen Datenschutzbehörde führt Google an, dass sofern Google-Analytics-Daten als personenbezogene Daten angesehen werden, diese als Pseudonym betrachtet werden müssen. Auch diese Aussage ist nicht haltbar. Die DSK hat in ihrer Orientierungshilfe für Anbieter von Telemedien bereits im März 2019 überzeugend dargestellt, dass die Tatsache, dass die Nutzer etwa über IDs oder Kennungen bestimmbar gemacht werden, keine Pseudonymisierungsmaßnahme i.S.d. DSGVO darstellt. Anders als in Fällen, in denen Daten pseudonymisiert werden, um die identifizierenden Daten zu verschleiern oder zu löschen, sodass die betroffenen Personen nicht mehr adressiert werden können, werden die Google-Analytics-Kennungen dazu genutzt, die einzelnen Website-Besucher unterscheidbar und adressierbar zu machen.

Problem IP-Anonymisierung

Regelmäßig wird geltend gemacht, dass die Auswertungen anhand Google Analytics anonym durchgeführt werden und kein Bezug zu einem bestimmten User ermöglicht wird. Websitebetreiber können durch die Funktion „_anonymizeIp()“ im Trackingcode die Kürzung der IP-Adressen veranlassen.

Die Kürzung der IP-Adresse stellt zwar eine zusätzliche Maßnahme gemäß Art. 25 Abs. 1 DSGVO (Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen) dar, sie führt jedoch nicht dazu, dass die vollständige Datenverarbeitung anonymisiert erfolgt. Zum einen ist anzubringen, dass die IP-Adresse zunächst einmal vollständig erhoben und erst in einem zweiten Schritt nachträglich anonymisiert wird. Zum anderen findet unabhängig von den gewählten Einstellungen die Datenverarbeitung durch Google Analytics, wie oben geschildert, nicht anonymisiert statt. Denn neben dem Einsatz der IP-Adresse werden weitere Nutzungsdaten erhoben, die als personenbezogene Daten zu bewerten sind. Somit ist in jedem Fall der Anwendungsbereich der DSGVO eröffnet, also auch wenn die Kürzung der IP-Adressen veranlasst wird.

Findet eine Weitergabe von Daten statt?

Standardmäßig verwendet Google Besucherdaten von Google Analytics für eigene Zwecke, um seine Dienste zu verbessern. Je nach Konfiguration werden zudem Daten an Google und an Nutzer anderer Google-Produkte weitergegeben, z.B. an Google Ads und YouTube. Google weist in seinen Nutzungsbedingungen selbst darauf hin, dass die erhobenen Daten auch für eigene Zwecke genutzt werden bzw. eine Weitergabe an andere Google-Dienste stattfindet.

Durch das Sammeln von Daten aus mehreren Quellen können aber zusätzliche Benutzermerkmale wie Geschlecht und Standort ermittelt werden. Beispielsweise können, Dank des Google Analytics-Codes auf der Unternehmenswebsite, Werbetreibende in Google Ads die Präferenzen der Besucher anhand des von ihnen konsumierten Inhalts auswerten. Dies ermöglicht es wiederum, diese User mit Werbung anzusprechen.

Mit den von Google Analytics gesammelten Daten kann Google also Nutzerprofile von den Websitebesuchern erstellen.

Problem Drittlandtransfer

Sobald personenbezogene Daten in ein Drittland übermittelt werden, muss geprüft werden, ob geeignete Garantien für diesen Transfer vorliegen. Google verteilt die über Google Analytics gesammelten Daten auf zufällig ausgewählte Cloud-Rechenzentren, von denen sich die meisten in den USA befinden.

Da für die USA kein Angemessenheitsbeschluss vorliegt, müssen Standardvertragsklauseln hinzugezogen werden. Der Europäische Gerichtshof (EUGH) hat mit seinem Urteil vom 16. Juli 2020 („Schrems II“, Az.: C-311/18) ausgeführt, dass der Empfänger der Daten allein auf Grundlage der Standardvertragsklauseln den erforderlichen Datenschutz im betroffenen Drittland jedoch nicht garantieren kann. Zudem kann es Situationen geben, in denen die in den Klauseln enthaltenen Regelungen möglicherweise kein ausreichendes Mittel darstellen, um in der Praxis den effektiven Schutz der in das betreffende Drittland übermittelten personenbezogenen Daten zu gewährleisten. Dies ist regelmäßig dann der Fall, wenn das Recht dieses Drittlandes dessen Behörden Eingriff in die Rechte der betroffenen Person bezüglich dieser Daten erlaubt. Die Klauseln werden schließlich zwischen den betroffenen Unternehmen abgeschlossen und staatliche Behörden sind regelmäßig nicht Vertragspartei und somit nicht an den Inhalt gebunden.

Sofern das Recht des Drittlandes sich auf die Wirksamkeit von geeigneten Garantien wie die Standardvertragsklauseln auswirkt, muss der Datenexporteur die Datenübermittlung entweder aussetzen oder zusätzliche Maßnahmen implementieren.

Aufgrund der Rechtslage in den USA und der Durchführung von behördlichen Überwachungs-Programmen (z.B. gestützt auf Section 702 FISA), bietet der bloße Abschluss von Standardvertragsklauseln kein angemessenes Schutzniveau nach Art. 44 DSGVO für die Datenübermittlung an Google in die USA.

Somit sind Websitebetreiber aufgefordert neben dem Abschluss der Standardvertragsklauseln zusätzliche Maßnahmen zu implementieren. Im Zusammenhang mit der Nutzung von Tracking-Dienstleistungen, wie eben Google Analytics, ist es in der Regel nicht möglich, ergänzende Maßnahmen zu implementieren.

In seinen Empfehlungen 01/2020 zu ergänzenden Maßnahmen zu Übertragungsinstrumenten für internationale Datentransfers stellt der auch Europäische Datenschutzausschuss (EDSA) klar, dass es derzeit keine technischen Lösungen gibt – weder für das Cloud-Computing noch für konzerninterne Datentransfers. Vor allem ist eine ausreichende Verschlüsselung der Daten nicht möglich, da wegen der Notwendigkeit des Datenzugriffs durch den Empfänger auf unverschlüsselte Daten die Verschlüsselung ja zeitweise aufgehoben werden muss.

Regelmäßig sichern Dienstleister wie Google ergänzende Vertragsklauseln zu, um die Daten im Drittland zu schützen, z.B. die Verpflichtung des Datenimporteurs, dem Datenexporteur unverzüglich mitzuteilen, wenn es ihm Änderungen der Sicherheitsgesetze unmöglich machen, seine vertraglichen Pflichten zu erfüllen. Solche vertraglichen Verpflichtungen dürften jedoch regelmäßig nicht ausreichend sein, da solche vertraglichen Maßnahmen den Zugriff nicht verhindern können. Hinzu kommt, dass insbesondere amerikanische Behörden betroffenen Unternehmen anordnen können, ihre Kunden nicht über den Auskunftsersuch zu informieren (sogenannte Gag Order). Hier nochmals der Hinweis, dass vertraglichen Maßnahmen jeglicher Art die Behörden des Drittlands im Allgemeinen nicht binden können, wenn diese nicht selbst Vertragspartei sind.

Von Google ergriffene Maßnahmen

Als Reaktion auf die datenschutzrechtlichen Anforderungen in der EU setzt Google seit September 2021 die neuen Standardvertragsklauseln für die eigenen Cloud-Dienste ein. Zudem kündigt das Unternehmen an, Verschlüsselungen stärker einsetzen zu wollen und vereinbart zusätzliche vertragliche, technische und organisatorische Maßnahmen mit seinen Vertragspartnern. In den Datenschutzrichtlinien von Google ist unter anderem Folgendes zu finden:

Benachrichtigung der Betroffenen über Datenanfragen der Geheimdienste (sofern dies im Einzelfall überhaupt zulässig ist).
Veröffentlichung eines Transparenzberichts oder einer „Richtlinie für den Umgang mit Regierungsanfragen“.
Sorgfältige Prüfung jeder Datenzugriffsanfrage durch Geheimdienste.
Schutz der Kommunikation zwischen Google-Diensten, Schutz bei der Übermittlung der Daten im Transit zwischen Rechenzentren, sowie Schutz der Kommunikation zwischen Nutzern und Websites.
Implementierung einer „On-Site-Security“.
Verschlüsselung von „Daten im Ruhezustand“ (data at rest) in den Datenzentren.

Inwiefern solche Maßnahmen dazu beitragen, das erforderliche Datenschutzniveau zu gewährleisten, ist nicht erkennbar. Aus diesen Maßnahmen lässt sich nicht ableiten, wie eine sorgfältige Prüfung einer Datenzugriffsanfrage eine effektive Maßnahme darstellt, um den Zugriff von US-Geheimdiensten zu verhindern bzw. einzuschränken.

Auch die von Google vorgebrachten Verschlüsselungstechnologien lassen nicht erkennen, wie diese die Zugriffsmöglichkeiten von US-Behörden auf Grundlage des US-Rechts tatsächlich verhindern oder einschränken. Vor allem die Verschlüsselung von „Daten im Ruhezustand“ in den Rechenzentren von Google stellt keine geeignete Garantie dar. Dies wird auch ausdrücklich in den Empfehlungen 01/2020 des EDSA hervorgehoben und ausgeführt, dass ein Datenimporteur, welcher der FISA 702 unterliegt, wie eben Google, eine direkte Verpflichtung hat, den Zugriff auf importierte Daten, die sich in seinem Besitz oder Gewahrsam oder unter seiner Kontrolle befinden, zu gewähren oder diese herausgeben muss. Diese Verpflichtung erstreckt sich somit auch auf die kryptografischen Schlüssel, ohne die die Daten nicht lesbar sind.

Da es Websitebetreibern derzeit nicht möglich ist, mit zusätzlichen Maßnahmen ein im Wesentlichen gleichwertiges Datenschutzniveau zu erzielen, darf ein Dienst wie Google Analytics in dieser Ausprägung nicht genutzt und somit auch nicht auf der Website eingebunden werden.

Einwilligung als Lösung?

Da im Zusammenhang mit der Einbindung von Google Analytics und der Nutzung der Dienstleistungen keine geeigneten Garantien herangezogen werden können, ist zu überprüfen ob ein Ausnahmetatbestand gemäß Art. 49 DSGVO vorliegt. Infrage kommt hier die Übermittlung aufgrund einer ausdrücklichen Einwilligung des Betroffenen (lit. a).

Websitebesucher müssen deutlich darauf hingewiesen werden, dass Daten in den USA gespeichert werden und sowohl Google als auch staatliche Behörden auf diese Daten Zugriff haben und gegen Letzteres keine Rechtsbehelfe bestehen.

Ob die Einwilligung als ein Ausnahmetatbestand für den Drittlandtransfer herangezogen werden kann, wird derzeit in Expertenkreisen diskutiert.

Als Argumente gegen die Einwilligung als Ausnahmetatbestand spricht insbesondere die Anforderung, dass eine Einwilligung für den konkret vorliegenden Einzelfall eingeholt werden muss. Argumentiert wird, dass eine Generaleinwilligung für die dauerhafte Übermittlung von Daten in ein Drittland zu einem oder mehreren Zwecken nicht auf Art. 49 Abs. 1 lit. a) DDSGVO gestützt werden kann. Aus Erwägungsgrund 111 DSGVO geht hervor, dass die Übermittlung nur gelegentlich erfolgen darf. Handelt es sich um eine wiederholte Übermittlung, wie bei Google Analytics der Fall, kann die Einwilligung als Ausnahme von der Regel, dass personenbezogene Daten nur dann an ein Drittland übermittelt werden dürfen, wenn dieses Drittland einen angemessenen Datenschutz bietet oder alternativ dazu geeignete Garantien zur Anwendung gebracht werden, nicht herangezogen werden. Auch die DSK vertritt in Ihrer Orientierungshilfe vom Dezember 2021 (Seite 323) die Auffassung, dass die Einwilligung für den Drittlandtransfer nicht herangezogen werden kann, da der Umfang und die Regelmäßigkeit dem Charakter des Art. 49 DSGVO widerspricht.

Dementgegen werden Äußerungen geltend gemacht, dass durch solch eine Rechtsauffassung eine Bevormundung der Bürger stattfindet. Ein informierter Bürger sollte selbst über seine Daten entscheiden können. Somit liegt ein Eingriff in das Grundrecht auf informationelle Selbstbestimmung vor.

Aus den Stellungnahmen des EDSA und der DSK kann zwar entnommen werden, welche Anforderungen die Behörden an die Einwilligung bzgl. des Drittlandtransfers haben, jedoch haben diese keinen verbindlichen Charakter. Eine endgültige Überprüfung unterliegt nach wie vor den Gerichten.

Erwähnt sei an dieser Stelle noch, dass für eine wirksame Einwilligung der Websitebetreiber immer auch die Anforderungen aus Art. 7 DSGVO erfüllen muss. D.h. neben der Information über den Drittlandtransfer und die damit verbundenen Verarbeitungen, müssen Betroffene Information über die Datenverarbeitung durch den Verantwortlichen erhalten, also auch über die Verarbeitungen, die Google zu eigenen Zwecken vornimmt. Vor allem letzteres wird regelmäßig Schwierigkeiten bereiten, da Google nicht klar angibt, wofür die Daten verarbeitetet werden. Unabhängig vom Drittlandtransfer wird es also schwierig sein, eine informierte Einwilligung von Websitebesuchern einzuholen.

Neben der Informiertheit und der Freiwilligkeit der Einwilligung ist zudem darauf zu achten, dass eine entsprechende Willenserklärung vom Websitebesucher erteilt sein muss, bevor Daten mithilfe von Google Analytics verarbeitet werden.

Fazit: Finger weg von Google Analytics

Im Grunde ist der Einsatz von Google Analytics derzeit nicht rechtskonform möglich. Man könnte sogar so weit gehen und aus den obigen Darstellungen die Schlussfolgerung ziehen, dass EU-Unternehmen eigentlich gar keine US-Cloud-Dienste mehr nutzen können. Als Ersterheber der Daten ist immer der Websitebetreiber dafür verantwortlich konforme Lösungen zu nutzen und zu implementieren. Die Entscheidungen der Aufsichtsbehörden richten sich demnach immer an die Betreiber der Websites und nicht an Google Analytics. Websitebetreiber werden aufgefordert, die Nutzung der Google-Analytics-Funktionalität unter den derzeitigen Bedingungen einzustellen und auf Werkzeuge zu setzen, die keine persönlichen Informationen ein unsicheres Drittland übertragen.

US-Unternehmen müssten ihre Dienste technisch so anpassen, dass sie mit der DSGVO konform sind. Leider sehen wir derzeit nur die Tendenz, dass ein paar schicke Werbetexte in die Datenschutzrichtlinien eingefügt werden und das EuGH-Urteil weiterhin ignoriert wird.

Unternehmen, die nicht auf Google Analytics verzichten möchten, können es natürlich darauf ankommen lassen, dies auf Grundlage der Einwilligung nach Art. 49 DSGVO zu tun. Interessant wäre es allemal, wie die Gerichte diesem Ansatz gegenüberstehen.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

EU-U.S. Data Privacy Framework: Privacy Shield 2.0 oder Schrems III?

Aller guten Dinge sind bekanntermaßen drei. Ob dies jedoch auch für die geplante Nachfolge-Vereinbarung zum EU-U.S. Privacy Shield bzw. Safe Harbor zutrifft, ist jedoch mehr als fraglich. Die EU-Kommission und die US-Regierung haben erste Details zum geplanten neuen Transatlantischen Datenschutzrahmen EU-U.S. Data Privacy Framework (EU-U.S. DPF) bekannt gegeben. Beide Seiten geben sich zuversichtlich, dass es nun im dritten Anlauf mit einer Übereinkunft zum grundrechtskonformen Austausch personenbezogener Daten zwischen der EU und der USA kommt.

Update: Am Freitag, 7. Oktober 2022 unterzeichnete US-Präsident Joe Biden die erste der versprochenen Executive Orders (E.O.): die Executive Order on Enhancing Safeguards for United States Signals Intelligence Activities. Die E.O. legt die Schritte fest, die die USA unternehmen werden, um die Verpflichtungen der USA aus dem am 25. März 2022 verkündeten EU-U.S. Data Privacy Framework (EU-U.S. DPF) umzusetzen.

Die darin aufgelisteten Schritte umfassen: Hinzufügung weiterer Sicherheitsvorkehrungen, wie z. B. die Verpflichtung der US-Nachrichtendienste, die Privatsphäre aller Personen unabhängig von ihrer Staatsangehörigkeit oder ihrem Wohnsitzland zu berücksichtigen, Festlegung von Anforderungen an den Umgang mit personenbezogenen Daten und Schaffung eines Überprüfungs- und Rechtsbehelfsmechanismus für Verstöße gegen die Anforderungen an den Umgang mit personenbezogenen Daten im Sinne des US-Rechts.

Die E.O. soll als Grundlage für die EU-Kommission dienen, einen neuen Angemessenheitsbeschluss zu fassen. Dies ist jedoch alles andere als sicher und es ist höchst zweifelhaft, ob ein solcher Beschluss einem Urteil des EuGH standhalten würde.

In einer Pressemitteilung vom 25. März 2022 versichern US-Präsident Joe Biden und Kommissionspräsidentin Ursula von der Leyen, dass mit dem geplanten Ansatz eine „noch nie dagewesene Verpflichtung“ der USA käme, die bereit seien, Reformen durchzuführen, die den Schutz der Privatsphäre und der Bürgerrechte bei der Telekommunikationsüberwachung und Funkaufklärung verstärken. Laut von der Leyen soll das neue Abkommen „einen vorhersehbaren und vertrauenswürdigen Datenverkehr zwischen der EU und den USA ermöglichen und den Schutz der Privatsphäre und der bürgerlichen Freiheiten gewährleisten.“

Derzeit handelt es sich jedoch nur um eine politische Einigung, genaue Details zu dem neuen Abkommen wurden nicht genannt. Zudem gibt es bisher keine Anzeichen, dass die USA Änderungen ihrer Überwachungsgesetze vornehmen. Scheinbar soll es nur Zusicherungen mittels sogenannter Executive Orders geben. Demnach sollen US-Sicherheitsbehörden „Verfahren einführen, die eine wirksame Kontrolle der neuen Datenschutz- und Bürgerrechtsstandards gewährleisten.“

Hinzu kommt ein „neues zweistufiges Rechtsbehelfssystem Untersuchung und Beilegung von Beschwerden von Europäern über den Zugriff auf Daten durch US-Geheimdienste.“ Ein spezielles Gericht zur Prüfung solcher Eingaben soll hierfür zuständig werden. Zudem spricht die EU-Kommission von „strengen Auflagen für Unternehmen, die aus der EU übermittelte Daten bearbeiten“. Die Pflicht zur Selbstzertifizierung (wie unter dem EU-U.S. Privacy Shield und dem davor gültigen Safe Harbor) bleibt demnach bestehen, wonach diese Unternehmen die einschlägigen Grundsätze des US-Handelsministeriums befolgen müssen. Außerdem wurden „spezifische Überwachungs- und Überprüfungsmechanismen“ vereinbart. Mit diesen Maßnahmen sollen die „in die USA übermittelten Daten der Europäer unter Berücksichtigung“ des Schrems-II-Urteils geschützt werden.

Datenschutzrechtliche Einschätzung

Zu berücksichtigen ist, dass dies nur Zusicherungen sind. Executive Orders haben keine externe Wirkung und können auch nicht eingeklagt werden. Sowohl im Urteil zu Schrems I (Safe Harbor) als auch im Urteil zu Schrems II (EU-U.S. Privacy Shield) hat der Europäische Gerichtshof (EuGH) jeweils festgestellt, dass US-Gesetzte wie der Foreign Intelligence Surveillance Act (FISA) oder der Cloud Act eine Massenüberwachung durch Sicherheitsbehörden ermöglichen und somit der Datenschutzstandard in den Vereinigten Staaten nicht dem in der EU entspricht.

Die politische Einigung ist zwar ein notwendiger erster Schritt, aber noch lange nicht das Licht am Ende des Tunnels. Unternehmen brauchen Rechtssicherheit und es gilt den politischen Willen in eine belastbare rechtliche Regelung zu gießen. Viele Unternehmen in Europa speichern ihre Daten in der Cloud, nutzen Software oder Videokonferenzsysteme von US-Anbietern und sind somit von amerikanischen Dienstleistern abhängig.

Im Moment führt diese politische Ankündigung zu noch mehr Rechtsunsicherheit, da ein endgültiger Text noch nicht vorliegt. Bis ein neues Abkommen zu Papier gebracht und verabschiedet ist, wird es zudem noch dauern. Dann muss dieses vom Europäischen Datenschutzausschuss geprüft werden, bevor ein tatsächlicher Angemessenheitsbeschluss vorliegt. Das alles kann noch ein paar Monate dauern.

Sollte das neue Abkommen den Anforderungen des EU-Rechts nicht gerecht werden, wird die Lebensdauer auf die Zeit begrenzt sein, die derzeit Verfahren vor dem EuGH bis zur Entscheidung brauchen. Denn wir können davon ausgehen, dass Datenschutzaktivist Max Schrems mit seinem Verein noyb (none of you business) die neuen Vereinbarungen zum transatlantischen Datentransfer äußerst genau prüfen wird.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Das neue Schweizer Bundesgesetz über den Datenschutz

Die Schweiz hat ihr Datenschutzrecht grundlegend überarbeitet. Das neue Schweizer Bundesgesetz über den Datenschutz (DSG) wird sich an die Datenschutz-Grundverordnung (DSGVO) anpassen, vor allem mit dem Ziel wieder einen positiven Angemessenheitsbeschluss der EU-Kommission zu erhalten. Wir zeigen auf, worauf Unternehmen achten müssen, die personenbezogene Daten in der Schweiz verarbeiten, dort Produkte bzw. Dienstleistungen anbieten oder mit Schweizer Unternehmen kooperieren.

Update 31. August 2022: Wie der (schweizer) Bundesrat mitteilte, treten das neue DSG sowie die neue Datenschutzverordnung (DSV) und die neue Verordnung über Datenschutzzertifizierungen (VDSZ) am 1. September 2023 in Kraft.

Relevanz des neuen Schweizer Datenschutzrechts

Das Schweizer Bundesgesetz über den Datenschutz stammt in der aktuellen Version aus dem Jahr 1993. Vor allem durch die Einführung der Datenschutz-Grundverordnung in den umliegenden EU/EWR-Staaten kam die Schweiz in Zugzwang, ihr nationales Datenschutzrecht zu überarbeiten. Die Gleichwertigkeit des derzeitigen Schweizer Gesetzes mit der entsprechenden EU-Regulierung ist nicht mehr gegeben.

Der Angemessenheitsbeschluss der EU-Kommission aus dem Jahre 2000 steht somit auf der Kippe. Für europäische Firmen, die in der Schweiz tätig sind, könnte eine Nicht-Anerkennung zu einem großen Problem werden, sofern die Schweiz als Drittland eingestuft werden würde. Ohne bestehenden Angemessenheitsbeschluss müsste der Datenverkehr zwischen der Schweiz und dem EU/EWR mit „geeigneten Garantien“ im Einzelfall abgesichert werden, insbesondere mit Standardvertragsklauseln (Art. 46 DSGVO).

Es ist demnach nicht verwunderlich, dass die derzeitige Fassung des DSG umfassend revidiert wurde, mit dem Ziel die technologischen Entwicklungen und die EU-Vorgaben zu berücksichtigen. Der neue Entwurf wurde am 25. September 2020 vom Schweizer Parlament verabschiedet. Über das Inkrafttreten entscheidet der Schweizer Bundesrat nach Ablauf der 100-tägigen Referendumsfrist.

Die wichtigsten Regelungen des neuen Schweizer Datenschutzrechts

Geltungsbereich

Der Geltungsbereich wird unter dem neuen DSG ausgeweitet und erstreckt sich nun auch auf Datenverarbeitungen, die sich in der Schweiz auswirken, obwohl sie im Ausland veranlasst wurden.

Kein Schutz mehr für juristische Personen

Nur noch natürliche Personen unterstehen dem Schutz des neuen DSG. Dies steht im Einklang mit den Bestimmungen der DSGVO und den meisten nationalen Datenschutzgesetzen der EU-Mitgliedstaaten.

Erweiterung der Informationspflichten für Verantwortliche

Die Informationspflicht ist nun auf die Verarbeitung jeglicher personenbezogenen Daten ausgedehnt worden. Bisher bestand die Pflicht nur bei der Verarbeitung besonders schützenswerter Daten und der Erstellung von Persönlichkeitsprofilen. Die neuen Informationspflichten im DSG sind vergleichbar mit den Pflichten in Art. 13 und 14 DSGVO.

Automatisierte Entscheidungsfindung und Profiling

Der Verantwortliche muss den Betroffenen grundsätzlich darüber informieren, wenn eine Entscheidung ausschließlich auf einer automatisierten Verarbeitung beruht und diese rechtliche Auswirkungen für den Betroffenen hat. Zudem kann der Betroffene verlangen, dass die automatisierte Einzelentscheidung von einer natürlichen Person überprüft wird.

Profiling

Eine Einwilligung für die Verarbeitung personenbezogener Daten ist beim Profiling nach wie vor grundsätzlich nicht erforderlich. Allerdings führt das neue DSG den Begriff „Profiling mit hohem Risiko“ ein. Damit ist diejenige Art von Profiling gemeint, bei dem es zu einer Verknüpfung von Daten kommt, die eine Beurteilung wesentlicher Aspekte der Persönlichkeit einer natürlichen Person erlaubt. Bei dieser Art von Profiling muss eine ausdrückliche Einwilligung des Betroffenen eingeholt werden.

Betroffenenrechte

Das neue DSG gibt Betroffenen die Möglichkeit, Auskunft über jegliche für sie erforderliche Information zu erhalten. Demnach ist die Auskunft nicht mehr auf abschließend definierte Mindestinformationen beschränkt. Mit dem Recht auf Datenübertragbarkeit erhalten Betroffene zudem ein neues Recht und können kostenlos vom Verantwortlichen die Herausgabe ihrer Personendaten bzw. deren Übertragung an einen anderen Verantwortlichen in maschinenlesbarer Form verlangen.

Dokumentation jeder Datenbearbeitung

Das neue DSG verlangt von Verantwortlichen und Auftragsverarbeitern, jede Datenbearbeitung zu dokumentieren. Diese Pflicht ist mit der Führung eines Verzeichnisses aller Verarbeitungstätigkeiten in der DSGVO gleichzustellen. Die bisherige Meldepflicht beim Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) entfällt jedoch (bislang musste der Inhaber von Datensammlungen seine Sammlungen grundsätzlich beim EDÖB anmelden). Das neue DSG enthält eine Auflistung der Informationen, die dieses Verzeichnisse enthalten muss.

Auftragsverarbeitung bzw. Auftragsbearbeitung

Das neue DSG ersetzt den Begriff „Dritter“ mit „Auftragsbearbeiter“, welches der Funktion des Auftragsverarbeiters in der DSGVO entspricht. Es ist weiterhin möglich die Verarbeitung personenbezogener Daten an einen Auftragsbearbeiter auszulagern, sofern die Daten so verarbeitet werden, wie der Verantwortliche es selbst tun dürfte, und der Verarbeitung keine gesetzliche oder vertragliche Geheimhaltungspflicht der Übertragung entgegensteht.

Ein Vertrag zur Auftragsbearbeitung ist weiterhin nicht zwingend, jedoch muss der Verantwortliche sich vorab vergewissern, dass der Auftragsbearbeiter in der Lage ist, die Datensicherheit zu gewährleisten. Neu ist, dass der Auftragsbearbeiter sich die Zustimmung des Verantwortlichen einholen muss, bevor er einen Unterauftragsbearbeiter einsetzt.

Datenschutz-Folgenabschätzung (DSFA)

In Anlehnung an die DSGVO muss der Verantwortliche vor der Verarbeitung personenbezogener Daten eine DSFA erstellen, sofern die Verarbeitung voraussichtlich zu einem hohen Risiko für die betroffene Person führt. Die Anforderungen wann und wie solche eine DSFA zu erfolgen hat, sind denen der DSGVO weitgehend ähnlich.

Privacy by Design und Privacy by Default

Die Konzepte Privacy by Design und Privacy by Default sind wie auch in der DSGVO im neuen DSG verankert. Demnach hat der Verantwortliche seine Datenverarbeitung nicht nur so zu gestalten, dass die Datenschutzvorschriften und die Grundsätze der Datenverarbeitung eingehalten werden, sondern dass mittels geeigneter technischer Voreinstellung die Verarbeitung personenbezogener Daten auf ein Minimum reduziert wird.

Datensicherheit

Unter dem neuen DSG stehen Verantwortliche und Auftragsbearbeiter in der Pflicht, durch geeignete technische und organisatorische Maßnahmen (TOM) eine dem Risiko angemessene Datensicherheit zu gewährleisten. Der Begriff des Risikos wird wie auch in der DSGVO neu eingeführt.

Es ist zu erwarten, dass der Bundesrat Bestimmungen über die Mindestanforderungen an die Datensicherheit erlässt.

Meldung von Datenschutzvorfällen

Wie auch unter der DSGVO müssen laut dem neuen DSG Datenpannen zukünftig gemeldet werden. Der Ansatz unterscheidet sich jedoch zu dem der DSGVO. Demnach müssen in der Schweiz nur die Vorfälle dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) gemeldet werden, die ein hohes Risiko für den Betroffenen darstellen. Maßgebend ist dabei unter anderem das Ausmaß der Gefährdung der betroffenen Person.

Eine Frist für die Meldung gibt es nicht, jedoch muss ein meldepflichtiger Vorfall ab Kenntnisnahme „so rasch wie möglich“ gemeldet werden. Auch unter dem neuen DSG unterliegt der Auftragsbearbeiter nicht der Meldepflicht, sondern muss so schnell wie möglich den Verantwortlichen über den Vorfall in Kenntnis setzen.

Vertreter in der Schweiz

Verantwortliche, die nicht in der Schweiz ansässig sind, aber personenbezogene Daten von Betroffenen verarbeiten, die sich in der Schweiz aufhalten, müssen einen Vertreter in der Schweiz benennen, wenn eine der drei Situationen zutrifft:

Die Verarbeitung steht im Zusammenhang mit dem Angebot von Waren oder Dienstleistungen in der Schweiz oder mit der Überwachung des Verhaltens von Menschen in der Schweiz.
Die Verarbeitung personenbezogener Daten ist umfangreich und findet regelmäßig statt.
Die Verarbeitung führt wahrscheinlich zu einem hohen Risiko für die Privatsphäre der betroffenen Person.

Die neuen Pflichten sind vergleichbar mit der Pflicht zur Benennung eines EU-Vertreters gemäß DSGVO und dient ebenfalls als Anlaufstelle für Betroffene und die Schweizer Aufsichtsbehörde. Der Verantwortliche muss den Namen und die Adresse des Vertreters veröffentlichen.

Rolle des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB)

Der EDÖB, die Schweizer Datenschutzbehörde, hat unter dem neuen DSG erweiterte Aufgaben und Kompetenzen. Er kann demnach nicht nur Maßnahmen empfehlen, sondern verfügt unter dem neuen DSG auch über Verwaltungsmaßnahmen, z.B. Anordnung einer Aussetzung der Übermittlung von Daten an einen Empfänger in einem Drittland. Im Vergleich zu Datenschutzbehörden in der EU/EWR kann der EDÖB jedoch keine Bußgelder verhängen.

Höhere Sanktionen

Die Strafbestimmungen wurden immens verstärkt, wenngleich sie mit den unter der DSGVO möglichen Bußgeldern kaum vergleichbar sind. Die Zuständigkeit liegt dabei bei den kantonalen Staatsanwaltschaften. Private Personen stehen im Fokus (nicht wie unter der DSGVO Unternehmen).

Demnach können natürliche Personen mit Geldbußen bis zu 250.000 Franken bestraft werden, wenn sie gegen die Informations- oder Auskunftspflichten verstoßen oder ihre Sorgfaltspflichten verletzen, z.B. Daten ins Ausland übermitteln, ohne die gesetzlichen Anforderungen zu erfüllen. Auch Personen, die dem EDÖB vorsätzlich im Rahmen einer Untersuchung die Mitwirkung verweigern, machen sich strafbar.

Werden Verfügungen des EDÖB oder einer Rechtsmittelinstanz nicht befolgt, drohen Geldbußen bis zu 250.000 Franken.

Verstöße gegen zentrale neu im Gesetz verankerte Pflichten, wie beispielsweise das Führen eines Verarbeitungsverzeichnisses, oder die Meldung von Datenschutzverstößen, werden jedoch nicht im Bußgeldkatalog gelistet.

Die wichtigsten Erkenntnisse aus dem neuen Schweizer Datenschutzgesetz

Durch die Änderungen des neuen DSG findet eine Annäherung des Schweizer Datenschutzrechts an die DSGVO statt. Als wichtigste Neuerung ist die erhöhte Transparenz (Information über Datenverarbeitungen) und Stärkung der Rechte der betroffenen Personen zu nennen. Aber auch die Stärkung der Datenschutzbehörde und der Ausbau der Strafbestimmungen gehören zu den zentralen Aspekten der Revision.

Im Zusammenhang mit grenzüberschreitenden Datenübermittlungen bleiben bestehende Regelungen weitgehend unberührt. Der Bundesrat (und nicht mehr der EDÖB wie unter dem alten DSG) entscheidet, ob eine Jurisdiktion ein angemessenes Datenschutzniveau bietet oder nicht. Die grenzüberschreitende Weitergabe an eine beliebige Jurisdiktion mit einem positiven Angemessenheitsentscheid ist dann erlaubt.

In Bezug auf Datentransfers in die USA ist die Situation ähnlich wie in der EU. Nachdem der EDÖB dem Regime des Swiss-U.S. Privacy Shield die Anerkennung als Grundlage für einen angemessenen Datenschutz für die Datenbekanntgabe von der Schweiz an die USA abgesprochen hat, muss die Datenverarbeitung auf eine neue Grundlage gestellt werden. Die EU-Standardvertragsklauseln (SCC) oder verbindliche Unternehmensregeln (BCR) können hierfür verwendet werden.

Handlungsempfehlungen für Unternehmen in und außerhalb der Schweiz

Hinweis: Die folgenden Empfehlungen fokussieren auf Unternehmen in der EU. Was das neue Schweizer Datenschutzgesetz für eidgenössische Unternehmen bedeutet, lesen Sie bei unserem Partner activeMind.ch.

Verantwortliche und Auftragsverarbeiter mit Sitz in der Schweiz oder solche, die an Datenübermittlungen in die und aus der Schweiz beteiligt sind, sollten folgende Maßnahmen umsetzen:

Führen Sie eine Bestandsaufnahme ihrer Datenverarbeitungen durch, um anschließend im Rahmen einer Gap-Analyse den datenschutzrechtlichen Handlungsbedarf festzustellen.
Stellen Sie sicher, dass Betroffene ausreichend informiert werden.
Legen Sie Prozesse fest, um Betroffenenanfragen nachkommen zu können.
Stellen Sie sicher, dass Sie auf Datenschutzvorfälle reagieren können und ein Meldeprozess vorhanden ist.
Erstellen und pflegen Sie ein aktuelles Verzeichnis der Verarbeitungstätigkeiten.
Überprüfen Sie die Datenverarbeitung durch Auftragsverarbeiter.
Beurteilen Sie, ob ein Vertreter in der Schweiz notwendig ist.

Unternehmen, die bereits ein Datenschutzmanagement nach Anforderungen der DSGVO eingeführt haben, werden geringeren Handlungsbedarf haben, als Unternehmen die solche Maßnahmen noch nicht ergriffen haben.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Aufgaben des Datenschutzbeauftragten

Welche Aufgaben hat der Datenschutzbeauftragte im Unternehmen? Welche Pflichten obliegen ihm, unabhängig davon, ob es sich um einen Mitarbeiter als internen bzw. betrieblichen oder um einen Experten als externen Datenschutzbeauftragten handelt? Welche Aufgaben gehören im Umkehrschluss nicht dazu? Ein pragmatischer Überblick.

Mitwirkung bei der Gewährleistung der Einhaltung der Datenschutzgesetze

Die Datenschutz-Grundverordnung legt in Art. 39 DSGVO einen Mindestkatalog an Aufgaben des Datenschutzbeauftragten fest. Diese sind in erster Linie Berichts-, Beratungs-, Kontroll- und Kooperationsaufgaben. Die Aufgabenzuweisungen gelten unabhängig davon, ob der Datenschutzbeauftragte aufgrund einer Verpflichtung der Datenschutz-Grundverordnung (Art. 37 DSGVO), des Bundesdatenschutzgesetzes (§ 38 BDSG) oder freiwillig bestellt wurde (vertiefend empfehlen wir das WorkingPaper 243 der Art. 29 Gruppe und die aktuelle Auflage des Beruflichen Leitbilds der Datenschutzbeauftragten vom BvD).

Zentrale Aufgabengebiete des Datenschutzbeauftragten

Unterrichtung- und Beratungsaufgaben

Der Datenschutzbeauftragte hat zunächst die Aufgabe der Unterrichtung und Beratung des Unternehmens sowie von dessen Beschäftigen, die Datenverarbeitungen durchführen, über deren datenschutzrechtliche Pflichten.

Eine Unterrichtung umfasst sowohl allgemeine Mitteilungen als auch Hinweise zu relevanten datenschutzrechtlichen Themen und Entwicklungen. Diese umfassen etwa die aktuelle Rechtsprechung, aber auch neue technische Entwicklungen, die für die Datenverarbeitungen im Unternehmen relevant sind.

Während die Unterrichtung proaktiv erfolgt, zielt die Beratung auf eine Unterstützung beim Lösen konkreter Probleme, die im Zuge der Umsetzung der datenschutzrechtlichen Vorgaben auftauchen.

Die Unterrichtungs- Beratungsaufgaben erstrecken sich nicht nur auf die DSGVO und das BDSG, sondern auch auf bereichsspezifische Vorschriften, die für das Unternehmen relevant sind (z.B. die einschlägigen Vorschriften des Telekommunikation-Telemedien-Datenschutz-Gesetzes (TTDSG),Telemediengesetztes, des Gesetzes gegen den unlauteren Wettbewerb, des Sozialgesetzbuches, etc.).

Überwachung der Einhaltung der Datenschutzgesetze

Gegenstand der Überwachungsaufgabe des Datenschutzbeauftragten ist die Einhaltung der DSGVO, anderer einschlägiger Datenschutzvorschriften sowie der Strategien des Unternehmens für den Schutz personenbezogener Daten. Der Datenschutzbeauftragte muss demnach kontrollieren, ob die Abläufe im Unternehmen den gesetzlichen Anforderungen gerecht werden. Die Kontrollbefugnis bezieht sich auf alle Unternehmensbereiche, d.h. sowohl auf ganz als auch auf teilweise automatisierte Datenverarbeitungen, aber auch auf nicht-automatisierte Datenverarbeitungen (z.B. Personalakten), die in einem Dateisystem gespeichert werden.

Der Umfang der Kontrolltätigkeit richtet sich nach dem Umfang und der Kritikalität der Datenverarbeitungen. Neben regelmäßigen Kontrollen (Datenschutz-Audits) können auch anlassbezogene Kontrollen notwendig sein, die aufgrund aufgetretener Beschwerden, Datenschutzverletzungen oder sonstiger Vorfälle notwendig erscheinen. Es empfiehlt sich, dass der Datenschutzbeauftragte die von ihm durchgeführten Kontrollen und die wesentlichen Ergebnisse in einem jährlichen Datenschutzbericht festhält, welcher dem Management vorgelegt wird.

Zum Aufgabenspektrum der Kontrolle gehören auch die Überwachung der Sensibilisierung und Schulung der Mitarbeiter sowie die Prüfung von Verträgen mit Auftragsverarbeitern und von Betriebsvereinbarungen.

Wichtig ist an dieser Stelle zu betonen, dass der Datenschutzbeauftragte nicht für die Einhaltung des Datenschutzes verantwortlich ist. Dies ist primär die Pflicht des Verantwortlichen (in der Regel die Geschäftsleitung) und kann nicht auf den Datenschutzbeauftragten ausgelagert werden (siehe unsere Ratgeber zu Verantwortung, Haftung und Delegierbarkeit des Datenschutzes).

Beratung bei einer Datenschutz-Folgenabschätzung (DSFA)

Der Datenschutzbeauftragte ist ausdrücklich nur an der Durchführung der DSFA beteiligt und nicht für deren Durchführung zuständig. Demnach hat der Datenschutzbeauftragte ausschließlich eine beratende und überwachende Tätigkeit auszuüben.

Der Formulierung in Art. 35 Abs. 2 DSGVO kann entnommen werden, dass der Verantwortliche im Rahmen einer DSFA zwingend den Rat des Datenschutzbeauftragten einzuholen hat. Hierbei kann es z. B. um die Fragen gehen, ob eine DSFA überhaupt durchgeführt oder welche Methodik angewandt werden sollte.

Zusammenarbeit mit der Aufsichtsbehörde und Tätigkeit als Anlaufstelle

Zu den Aufgaben des Datenschutzbeauftragte gehört schließlich eine umfassende Kooperation mit den Aufsichtsbehörden. Der Datenschutzbeauftragte ist der erste Ansprechpartner für die Behörden in allen datenschutzrechtlichen Angelegenheiten. Allerdings ist der Datenschutzbeauftragte nicht verpflichtet, Verstöße gegen das Datenschutzrecht von sich aus der Aufsichtsbehörde zu melden.

Auch wenn der Datenschutzbeauftragte bei der Erfüllung seiner Aufgaben an die Wahrung der Geheimhaltung oder der Vertraulichkeit gebunden ist, verbietet dies ihm nicht, Beratung durch die Aufsichtsbehörde in Anspruch nehmen.

Weitere Aufgaben

Zusätzlich zu den oben beschriebenen Aufgaben ist der Datenschutzbeauftragte auch Ansprechpartner für Betroffene, die sich in allen Fragen zur Verarbeitung ihrer personenbezogenen Daten bzw. zur Wahrnehmung ihrer Rechte an ihn wenden können. Aus Art. 38 Abs. 4 DSGVO ergibt sich die Pflicht des Datenschutzbeauftragten, den Anfragen, Hinweisen und Beschwerden nachzugehen, diese zu beantworten und die Betroffenen auf Wunsch zu beraten. Der Datenschutzbeauftragte muss den vorliegenden Sachverhalt aufklären bzw. aufklären lassen und diesen datenschutzrechtlich bewerten.

Risikobasierte Aufgabenerfüllung

Bei der Erfüllung seiner Aufgaben muss der Datenschutzbeauftragte stets dem mit den Verarbeitungsvorgängen verbundenen Risiko gebührend Rechnung tragen. Hier wird der gesunde Menschenverstand des Datenschutzbeauftragten angesprochen. Demnach sollten die Tätigkeiten nach Prioritäten geordnet werden, d.h. kritischere Verarbeitungstätigkeiten sollten umfassender und sorgfältiger geprüft werden. Anhaltspunkte sind die mit der spezifischen Verarbeitung verbundenen Eintrittswahrscheinlichkeit und die Schwere der Risiken für die Rechte und Freiheiten der betroffenen Personen. Je größer das das Risiko einer Beeinträchtigung der Rechte und Freiheiten der von der Datenverarbeitung betroffenen Personen ist, desto höher sind die Anforderungen an die Aufgabenerfüllung.

Sie wurden gerade als betrieblicher Datenschutzbeauftragter bestellt und wissen noch icht genau, was Sie alles tun müssen? Starten Sie mit unserem kostenlosen Datenschutz-Einsteigerkurs.

Aufgaben die dem Datenschutzbeauftragten nicht zugewiesen sind

Aufgrund häufiger Missverständnisse ist nochmals zu betonen: Der Datenschutzbeauftragte ist weder für die eigentliche Schulung und Sensibilisierung der Mitarbeiter zuständig noch für die Durchführung der DSFA. Auch die Führung des Verzeichnisses von Verarbeitungstätigkeiten nach Art. 30 DSGVO ist laut Gesetz Aufgabe des Verantwortlichen. Diese Aufgaben können dem Datenschutzbeauftragten zugewiesen werden, verantwortlich bleibt der Verantwortliche.

Darüber hinaus ist der Datenschutzbeauftragte nicht für Bearbeitung der Betroffenenrechte (z.B. Auskunftsersuchen) zuständig. Die Erteilung der Auskunft, Durchführung der Löschung usw. sind Aufgaben des Verantwortlichen. Der Datenschutzbeauftragte kann und sollte hier jedoch zu Rate gezogen werden.

Fazit: Dokumentation der Aufgabenerfüllung ist essentiell

Da der Datenschutzbeauftragte keinerlei Weisungs- oder Entscheidungsbefugnisse gegenüber dem Unternehmen hat, hat er auch keine Erfolgsverantwortung was die Verarbeitung personenbezogener Daten im Unternehmen angeht.

Den ihm zugewiesenen Aufgaben muss der Datenschutzbeauftragte allerdings ordnungsgemäß nachkommen. Eine ausführliche Dokumentation des Vorgehens ist unabdingbar, um zu beweisen, dass er gewissenhaft versucht hat, die Aufgaben zu bewältigen, wenn er sich nicht einem Haftungsrisiko aussetzen will.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Angemessenheitsbeschluss für das Vereinigte Königreich

Durch den Brexit wird das Vereinigte Königreich zu einem Drittland, in das personenbezogene Daten aus der EU nur exportiert werden dürfen, wenn dort ein vergleichbares Datenschutzniveau vorliegt. Die EU-Kommission hat dies nun trotz der Bedenken des EDSA und des EU-Parlaments mit einem sogenannten Angemessenheitsbeschluss bestätigt. Welchen Bestand der Angemessenheitsbeschluss vor Gericht hätte, bleibt jedoch fraglich.

Update, 31. August 2021: Wie von uns erwartet, treten die ersten Probleme zum Angemessenheitsbeschluss für das Vereinigte Königreich auf. Am 26. August 2021 veröffentlichte die britische Regierung eine Pressemitteilung, in welcher sie wesentliche gesetzliche Änderungen im Datenschutz ankündige. So sollen die bislang ins nationale Recht übernommenen Regelungen der DSGVO durch eigene Vorschriften abgelöst werden. Grundlegende Änderungen sollen dabei hinsichtlich der Notwendigkeit von Cookie-Bannern und zum internationalen Datentransfer kommen. Der konkrete Entwurf wird im Laufe des Septembers erwartet. Der Gesetzesentwurf wird nach dessen Veröffentlichung von der EU-Kommission geprüft und die Vereinbarkeit mit dem europäischen Datenschutzgesetz unter die Lupe genommen. Ist eine Vereinbarkeit nicht gegeben, ist die Aussetzung oder die Beendigung des Angemessenheitsbeschlusses zu erwarten. Dadurch würden Datentransfers nach UK wieder deutlich erschwert.

Nach wie vor gilt also unser Rat, sich der eigenen Datenflüsse nach UK bewusst zu machen, um gegebenenfalls auf andere Garantien zum Drittlandstransfer, wie Standardvertragsklauseln, umsteigen zu können und sich zu diesem Thema aktuell zu halten.

Das Verfahren der EU-Kommission und Einwände

Die Europäische Kommission teilte am 19. Februar 2021 mit, das Verfahren zur Annahme ihrer Angemessenheitsfeststellung für das Vereinigte Königreich eingeleitet zu haben. Zusätzlich unterrichtete die Kommission über die nächsten Schritte und veröffentlichte den Entwurf des Angemessenheitsbeschlusses.

Zur Annahme des Angemessenheitsbeschlusses ist eine Stellungnahme des Europäischen Datenschutzausschusses (EDSA) sowie die Zustimmung der Mitgliedstaaten einzuholen.

Im April äußerte sich der EDSA zum Entwurf der Kommission. Im Allgemeinen wurde der Entwurf begrüßt, an wenigen Stellen wurden jedoch Nachbesserungen verlangt.

Am 20. Mai 2021 forderte das Europäische Parlament mit knapper Mehrheit der Abgeordneten die Kommission ebenso auf, Nachbesserungen vorzunehmen und deckte sich dabei größtenteils mit den Aussagen des EDSA. Vor allem Datentransfers in weitere Drittländer aufgrund eigener Abkommen sowie die Massenüberwachung seien noch genauer zu klären. Grundsätzlich sei der datenschutzrechtliche Rahmen im Vereinigten Königreich zwar sehr ähnlich zu dem europäischen. Allerdings sind Ausnahmeregelungen insbesondere die nationale Sicherheit und Einwanderung betreffend im britischen Recht vorgesehen. Mit Austritt aus der EU gelten diese Ausnahmeregelungen nunmehr auch für EU-Bürger. Die Ländervertreter forderten die nationalen Datenschutzbehörden darüber hinaus auf, Datentransfers in das Vereinigte Königreich auszusetzen, sollten die geforderten Nachbesserungen nicht erfolgen.

Trotz der Bedenken des EDSA und der Ablehnung durch das EU-Parlament nahm die EU-Kommission am 28. Juni 2021 den Angemessenheitsbeschluss zum Vereinigten Königreich an. In einer Pressemitteilung erklärte die Kommission, dass das Vereinte Königreich zwar kein Mitgliedstaat der EU mehr ist, aber die rechtlichen Bestimmungen zum Schutz personenbezogener Daten weiterhin vorhanden seien. Bezüglich der Bedenken des EU-Parlaments argumentierte die Kommission, dass umfangreiche Garantien vorgesehen sind, falls sich auf Seiten des Königreichs die Gegebenheiten ändern, damit die Grundrechte der EU-Bürger weiterhin geschützt werden. Diese Garantien sollen ein schnelles Eingreifen durch die EU-Kommission ermöglichen.

Regelungen des Angemessenheitsbeschlusses für das Vereinigte Königreich

Der Angemessenheitsbeschluss enthält folgende Elemente:

Trotz Austritt aus der EU, hat sich das Datenschutzsystem des Vereinigten Königreichs bisher nicht geändert. Es gelten nach wie vor dieselben Regeln, wie zu Zeiten der EU-Mitgliedschaft.
Bezüglich des Zugriffs auf personenbezogene Daten durch Behörden im Vereinigten Königreich (insbesondere aus Gründen der nationalen Sicherheit, sieht das System des Vereinigten Königreichs starke Garantien vor:
- Datenerhebung durch Nachrichtendienste unterliegen wohl der vorherigen Genehmigung durch ein unabhängiges Rechtsorgan. Maßnahmen müssen notwendig und im Hinblick auf das verfolgte Ziel verhältnismäßig sein.
- Sofern sich Betroffene, Unternehmen, Organisationen etc. unrechtmäßige Überwachungsmaßnahmen ausgesetzt sehen, kann Klage beim Investigatory Powers Tribunal gereicht werden.
- Das Vereinigte Königreich unterliegt zudem weiterhin der Rechtsprechung des Europäischen Gerichtshofs für Menschenrechte, der Europäischen Menschenrechtskonvention und dem Übereinkommen des Europarats zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten. Letzteres ist das einzige verbindliche internationale Übereinkommen auf dem Gebiet des Datenschutzes. Diese völkerrechtlichen Verpflichtungen stellen einen welsentlichen Bestandteil des im Angemessenheitsbeschluss bewerteten Rechtsrahmens dar.
Der Angemessenheitsbeschluss für das Vereinigte Königreich ist zudem der erste Beschluss, der eine Verfallsklausel enthält. Hierdurch ist die Geltungsdauer strikt begrenzt. Der Beschluss läuft vier Jahre nach seinem Inkrafttreten aus. Eine Erneuerung ist nur möglich, sofern das Vereinigte Königreich weiterhin ein angemessenes Datenschutzniveau sicherstellt. Aber auch während dieser vier Jahre kann die EU-Kommission jederzeit eingreifen, sofern das derzeit bestehende Datenschutzniveau im Königreich von dem jetzigen abweicht. Sollte nach den vier Jahren die Kommission zu dem Entschluss kommen, dass der Angemessenheitsbeschluss erneuert werden soll, muss der Annahmeprozess erneut eingeleitet werden.
Die kritisierte Datenübermittlung für die vom Vereinigten Königreich praktizierte Einwanderungskontrolle ist vom sachlichen Geltungsbereich des im Rahmen der DSGVO angenommenen Angemessenheitsbeschluss ausgenommen. Begründet wird dies damit, dass eine kürzlich ergangene Entscheidung vom Berufungsgericht von England und Wales über die Gültigkeit und die Auslegung bestimmter Einschränkungen des Datenschutzrechts in diesem Bereich getroffen wurde. Dieser Entscheidung wurde im Angemessenheitsbeschluss Rechnung getragen. Erst wenn die Situation nach dem Recht des Königreichs geklärt ist, wird auch die EU-Kommission die Notwendigkeit dieses Anschlusses neu prüfen.

Datenschutzrechtliche Einschätzung

Die Entwicklung ist zwar zu begrüßen, aber Unternehmen mit Datentransfers in das Vereinigte Königreich sollten sich nach wie vor nicht in sicherem Hafen wiegen. Vor allem aufgrund der „Schrems II“-Entscheidung des EuGHs vom Juli 2020 muss vor einer verfrühten Euphorie gewarnt werden.

Zudem urteilte der EuGH erst im Oktober 2020, dass die umfassenden Datenverarbeitungsbefugnisse britischer Geheimdienste unzulässig sind (Urteil vom 06.10.2020, C-623/17).

Auch wenn der geplante Angemessenheitsbeschluss für das Vereinigte Königreich angenommen wurde, könnte dieser noch nachträglich vom EuGH gekippt werden. Der Beschluss kommt in letzter Minute. Wir erinnern uns, dass die Übergangsfrist am 30. Juni 2021 ausläuft. Aufgrund des Beschlusses wird der Datenfluss jedoch nicht beeinträchtigt und der freie Datenverkehr mit dem Vereinigten Königreich ist zunächst ohne Einschränkungen möglich.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Datenschutzprobleme bei Google reCAPTCHA

Websites werden häufig Opfer von massiven Spam-Angriffen oder anderweitigen Manipulationsversuchen. Um sich davor zu schützen, setzt eine Vielzahl Websitebetreiber auf sogenannte Captchas, insbesondere auf reCAPTCHA von Google. Doch dieses Tool bringt datenschutzrechtliche Bedenken mit sich. Zum Glück gibt es aber Alternativen.

Was ist ein Captcha?

Ein Captcha (completely automated public Turing test to tell computers and humans apart) ist ein Tool, das auf Websites eingesetzt wird, um Menschen und maschinelle Programme (Bots) auseinanderzuhalten. Mithilfe dieser Tools bezweckt man, die eigene Website vor Bot-Angriffen zu schützen, indem man ihnen von Anfang an die Zugriffsmöglichkeit auf bestimmte Teile der Website oder aber auf die gesamte Website vorenthält. Vor allem gilt es Missbrauch zu verhindern bei gewissen Interkationen wie z.B. Kommentarfunktion, Registrierungen oder Umfragen durch Fake-User, Click-Fraud und DDos-Attacken.

Die gängigsten Varianten von Captcha sind verschwommene bzw. verzerrte Buchstaben und Zahlen, einfache Matheaufgaben und andere Rätsel oder auch Bilderreihenfolgen. Diese Aufgaben sollen nur von Menschen gelöst werden können – so ist es zumindest in der Theorie vorgesehen.

Captchas und Datenschutz

Grundsätzlich dürfen Captchas, die vor Bots schützen, auf einer Website eingebunden werden. Der Websitebetreiber hat nicht nur ein berechtigtes Interesse (Art. 6 Abs. 1 lit. f) DSGVO), diese Tools einzusetzen, sondern ist sogar verpflichtet, da er die Verfügbarkeit seiner Dienste sicherstellen muss. Ein Schutz der Website mit Hilfe von Captchas ist somit oftmals unerlässlich, um nicht in Spamfluten unterzugehen.

Google reCAPTCHA und der Datenschutz

Das bekannteste dieser Tools wird von Google zur Verfügung gestellt. reCAPTCHA diente ursprünglich der Digitalisierung von Büchern: Von Texterkennungssoftware nicht erkannte Worte wurden als Bild präsentiert und Nutzer klickten auf andere Bilder, die bereits erkannte Worte enthielten (oder tippten die angezeigten Worte ab). Dabei vergleicht ein Algorithmus die zeitnahen Eingaben vieler Nutzer und nimmt die häufigste Eingabe als richtig an. Seitdem Google reCAPTCHA erwarb, nutzt es diese Art des Crowdsourcings insbesondere dazu, nicht erkannte Elemente seiner Kartendienste (Google Maps) zu identifizieren, vor allem Hausnummern und Straßennamen.

Durch Verbesserungen der zugrundeliegenden Technologie bekommen die meisten Nutzer heutzutage jedoch nur eine Checkbox angezeigt, bei der sie bestätigen sollen, dass sie keine Maschine sind. Lediglich die Nutzer (basierend u.a. auf Webbrowser und IP-Adresse), deren Verhalten nicht sehr sicher als menschlich identifiziert werden kann, bekommen Bilder zum Vergleichen bzw. Auswählen angezeigt.

Googles reCAPTCHA wirkt jedoch nicht nur wie eine Schutzvorrichtung, sondern birgt für Nutzer mehrere Datenschutzrisiken:

Fehlende Transparenz

Im Hintergrund von Google reCAPTCHA läuft ein JavaScript-Element, welches in der Lage ist, Benutzerverhalten auszuwerten. Für die Analyse des Verhaltens werden zum Beispiel Daten wie die IP-Adresse, Informationen über das Betriebssystem, Mausbewegungen und Tastaturanschläge und Verweildauer an Google weitergeleitet.

Nur in den seltensten Fällen wird bei Websites, die reCAPTCHA einsetzen, in der Datenschutzerklärung auf eine solche Analyse hingewiesen.

Da dies im Hintergrund abläuft, sind sich Websitenutzer oftmals nicht bewusst, dass sie überwacht werden. Zudem ist unklar, welche Daten Google sammelt und wie sie verwendet werden. Google selbst verweist regelmäßig auf die allgemeine Datenschutzerklärung, die jedoch keine spezifischen Informationen zu reCAPTCHA enthält.

Das Landesamt für Datenschutzaufsicht in Bayern (BayLDA) weist in seinen Fragen und Antworten zum Datenschutz (FAQ) auf die Problematik bezüglich Google reCAPTCHA hin:

„Website-Betreiber sollten unbedingt Alternativen prüfen. Wird dennoch Google reCAPTCHA eingebunden, muss sich der Verantwortliche im Klaren sein, dass er den rechtmäßigen Einsatz gem. Art. 5 Abs. 1, 2 DS-GVO nachweisen können muss. Wer nicht darlegen kann, wie Google die Nutzerdaten verarbeitet, kann den Nutzer nicht transparent informieren und den rechtmäßigen Einsatz nicht nachweisen.“

Drittlandtransfer

Bei dem Einsatz von Google reCAPTCHA muss zudem beachtet werden, dass sich bei Aktivieren des Tools eine Verbindung zu den Servern von Google herstellt und hierdurch eine Datenübermittlung in die USA stattfinden kann. Somit müssen Websitebetreiber auch die für Drittlandübermittlungen geltenden Anforderungen erfüllen, einschließlich der Anforderungen aus dem Urteil des Europäischen Gerichtshof (EuGH) in der Sache „Schrems II“. Betreiber müssen demnach prüfen, ob die strengen Anforderungen aus dem Schrems II-Urteil erfüllt werden können, da ansonsten eine Übermittlung unzulässig ist.

Fehlende Rechtsgrundlage

Eine weitere entscheidende Frage ist, auf welcher Rechtsgrundlage der Einsatz von Google reCAPTCHA gestützt werden kann. Es ist durchaus fraglich, ob Google reCAPTCHA zur Sicherung einer Website erforderlich ist und damit auf das berechtigte Interesse des Betreibers gestützt werden kann. Somit müsste das berechtigte Interesse des Websitebetreibers und von Google schutzwürdiger sein als das der betroffenen Websitebesucher. Die Datenerhebung müsste also essentiell bzw. unentbehrlich für den Betrieb der Website sein.

Natürlich kann man argumentieren, dass der Einsatz von Captchas zum Schutz der Website unerlässlich ist, um diese vor Spamfluten zu schützen. Allerdings gibt es alternative Lösungen (siehe unten), die im Vergleich zu Google reCAPTCHA datenschutzfreundlich sind. Somit lässt sich die Verarbeitung nicht auf das berechtigte Interesse stützen. Der Betreiber hat also nur die Möglichkeit das Tool zu nutzen, nachdem er die informierte Einwilligung des Besuchers eingeholt hat.

Ähnlich argumentiert die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) in ihrer Orientierungshilfe bzgl. Analyse-Tools. Die vernünftigen Erwartungen der betroffenen Person, die auf ihrer Beziehung zu dem Verantwortlichen beruhen, müssen berücksichtigt werden:

„Im Hinblick auf die Einbindung von Diensten Dritter erwartet ein Nutzer üblicherweise nicht, dass an diese Dritten, zu denen der Nutzer regelmäßig keine Beziehungen unterhält, Informationen darüber weitergegeben werden, welche Websites er besucht […]. Jedenfalls dann, wenn die Dritten die Nutzerdaten zu eigenen Zwecken weiterverarbeiten, sind die Folgen und potentiellen Risiken für die Interessen, Grundfreiheiten und Grundrechte der betroffenen Personen weder einschätz- noch bewertbar. […] Diese Verarbeitungen entsprechen nicht den vernünftigen Erwartungen der Nutzer, weil sie sich im Hinblick auf die Selbstbestimmung nur nachteilig auswirken. Ebenso liegen Techniken, welche das Verhalten von Besuchern bei der Interaktion mit einem Dienst der Informationsgesellschaft exakt nachvollziehen und dokumentieren können, wie z.B. bei der Erfassung der Tastatur-, Maus- und Wischbewegungen auf Touchscreens, außerhalb der Erwartungshaltung des Nutzers.“

Somit muss sich jeder Verantwortliche bewusst machen, dass eine Interessenabwägung im Rahmen des Art. 6 Abs. 1 lit. f) DSGVO eine substantielle Auseinandersetzung mit den Interessen, Grundrechten und Grundfreiheiten der Beteiligten verlangt und auf den konkreten Einzelfall bezogen sein muss. Eine pauschale Feststellung, wie hier der Schutz gegen Spambots, kann eine Datenverarbeitung auf Basis des berechtigten Interesses nicht gerechtfertigten und erfüllt nicht die gesetzlichen Anforderungen.

Profiling

Aus den gesammelten Daten durch Google reCAPTCHA und der Zusammenführung des Surfverhaltens wird das Profil eines Nutzers immer genauer, welches der Werbekonzern Google wiederum für eigene Zwecke nutzen kann. Auch wenn Google sich hierzu bedeckt hält, ob und inwiefern die erhobenen Daten durch reCAPTCHA tatsächlich für solche Zwecke erhoben werden, eine Einwilligung ist unumgänglich.

Alternativen zu reCAPTCHA

Eine Alternative zu reCAPTCHA sind sogenannte Honeypots. Mit Hilfe dieser Methode erstellt man in Formularen ein zusätzliches (verstecktes) Eingabefeld. Bei der Programmierung wird die Bedingung eingesetzt, dass das Formular nur verarbeitet werden darf, wenn dieses Feld leer bleibt. Da Bots nur den Quellcode sehen und alle Felder ausfüllen, werden diese als solche auch entlarvt. Man hat demnach einen einfachen, recht effektiven und barrierefreien Spamschutz.

Sollte die Honeypot-Methode alleine nicht ausreichen, um Spam abzuwehren, kann (vorübergehend) zusätzlich ein einfaches Quiz eingesetzt werden. Viele Content-Management-Systeme für Websites oder Onlineshops können ein solches Quiz mit Hausmitteln anzeigen, so dass hier auf den Einsatz von Dritten, die ggfs. wiederum personenbezogene Daten erheben könnten, meist verzichtet werden kann.

Absoluten Schutz gegen Spam und andere Cyber-Attacken gibt es freilich nicht. Um schwerere Schäden zu vermeiden, sollten Verantwortliche über regelmäßige Pentests und die Schulung ihrer Mitarbeiter in Sachen Informationssicherheit nachdenken.

Fazit: reCAPTCHA ist nicht empfehlenswert

Der Einsatz von Google reCAPTCHA birgt Rechtsrisiken, welche durch eine transparente Beschreibung der Zwecke und Funktionsweise des reCAPTCHA in der Datenschutzerklärung und die Einholung einer Einwilligung der Besucher über Cookie-Consent-Banner höchstens gemindert werden können.

Eine 100%ig rechtskonforme Lösung ist mit dem Einsatz des Tools nicht möglich, vor allem weil Google nicht ausreichend festlegt, welche Verarbeitungen bei reCAPTCHA tatsächlich stattfinden. Verantwortlichen raten wir deshalb zu alternativen Methoden der Spam-Abwehr.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

EDSA-Stellungnahme zum Angemessenheitsbeschluss für das Vereinigte Königreich

Im Februar 2021 veröffentlichte die EU-Kommission den Entwurf eines Angemessenheitsbeschlusses für das Vereinigte Königreich. Demnach dürften Unternehmen und Behörden zunächst vier Jahre lang weiter personenbezogene Daten aus der EU nach Großbritannien übermitteln. Der Europäische Datenschutzausschuss (EDSA) bezog nun dazu Stellung. Die EU-Datenschützer wollen die Freigabe von Datentransfers nach Großbritannien zwar nicht verhindern, machen aber sehr deutlich klar, welche Herausforderungen beim Datentransfer mit Großbritannien vorliegen.

Update 28. Juni 2021: Heute wurde bekannt, dass die EU-Kommission den Angemessenheitsbeschluss für Datentransfers nach Großbritannien trotz der Kritik des EDSA und des Europäischen Parlaments verabschiedet hat.

Übereinstimmungen des EDSA mit der EU-Kommission

Der EDSA kommt in seiner Stellungnahme zu dem Schluss, dass es Übereinstimmungen zwischen der EU-Datenschutz-Grundverordnung (DSGVO) und dem britischen Datenschutz Grundverordnung (UK GDPR) gibt. Hierzu zählen zentrale Bestimmungen, wie Definitionen, Rechtsgrundsätze, Verarbeitung besonderer personenbezogener Daten, Direktmarketing, automatisierte Entscheidungsfindung und Profiling. Diese Position kommt nicht überraschend, wenn man bedenkt, dass das britische Datenschutzgesetz weitgehend auf dem EU-Datenschutzrecht basiert.

Darüber hinaus stellt der EDSA fest, dass die nationalen Regelungen im UK Data Protection Act von 2018 spezielle Regeln enthält, welche die Regelungen der UK GDPR ergänzen. Zudem werden der britischen Datenschutzbehörde (ICO) weitgehende Befugnisse erteilt und Pflichten auferlegt. Somit kommt der EDSA zu dem Schluss, dass die britischen Datenschutzgesetze weitgehend auf dem EU-Datenschutzrahmen basieren.

Der EDSA begrüßt insbesondere, dass Großbritannien ein Sondergericht (Investigatory Powers Tribunal, „IPT“) eingerichtet hat. Somit können Herausforderungen rund um den Rechtsschutz Betroffener besser angegangen werden.

Bedenken des EDSA bzgl. des Vereinigten Königreichs

Obwohl der EDSA viele Aspekte des britischen Datenschutzniveaus als im Wesentlichen gleichwertig mit den EU-Anforderungen identifiziert, kommen die Datenschützer zu dem Schluss, dass weiterhin Herausforderungen bestehen. Nach Ansicht der Datenschützer müssen diese von der europäischen Kommission weiter bewertet und überwacht werden. Diese sind insbesondere:

eine eigene und unabhängige Datenschutzpolitik des Vereinigten Königreichs,
Ausnahmeregelungen für Immigranten und daraus folgend Einschränkungen der Betroffenenrechte,
Schranken für den Transfer personenbezogener Daten aus dem EWR aufgrund internationaler Abkommen zwischen Großbritannien und anderen Drittstaaten.

Zudem sieht der EDSA kritisch, dass die Sicherheitsbehörden im Vereinigten Königreich aufgrund des Investigatory Powers Act (IPA) von 2016 über weitreichende Befugnisse verfügen. Geheimdienste dürfen demnach massive Eingriffe in technische Geräte vornehmen. In diesem Zusammenhang empfiehlt der EDSA eine „unabhängige Bewertung und Aufsicht über die Verwendung automatisierter Verarbeitungswerkzeuge“ für die erhobenen Datenmengen. Der Ausschuss verlangt zudem, dass Schutzvorkehrungen nach britischem Recht getroffen werden, wenn es um die Offenlegung personenbezogener Daten in andere Drittländer geht. Dies sei insbesondere mit Blick auf Ausnahmen vom Datenschutz für die nationale Sicherheit unerlässlich.

Wie geht es weiter mit dem Angemessenheitsbeschluss?

Die Europäische Kommission muss nun die Zustimmung der Mitgliedstaaten für den Angemessenheitsbeschluss für Großbritannien einholen. Erst dann kann die Kommission eine endgültige Entscheidung über den Angemessenheitsbeschluss treffen.

Darüber hinaus wird die Stellungnahme des EDSA auch dem LIBE-Ausschuss (Ausschuss für bürgerliche Freiheiten, Justiz und Inneres) des Europäischen Parlaments vorgelegt. Das Europäische Parlament hatte im Februar 2021 eine eigene (jedoch nicht bindende) Stellungnahme abgegeben, in der es zu dem Schluss kam, dass dem Vereinigten Königreich keine Angemessenheitsentscheidung gewährt werden sollte.

Auch wenn die Stellungnahme des EDSA und des LIBE-Ausschusses ein wichtiger Teil des Konsultationsprozesses sind, obliegt es letztlich der EU-Kommission, die endgültige Entscheidung über den Angemessenheitsbeschluss für Großbritannien zu treffen. Die europäische Kommission hat bereits angedeutet, dass sie erwartet, dass die EU-Mitgliedsstaaten ihre Zustimmung erteilen. Es kann somit erwartet werden, dass eine endgültige Entscheidung bezüglich des Angemessenheitsbeschlusses noch vor dem Ende der Übergangsphase Ende Juni 2021 getroffen wird.

Die Angemessenheitsentscheidung wäre nach ihrer Verabschiedung dann für einen Zeitraum von vier Jahren gültig. Nach diesen vier Jahren ist eine erneute Überprüfung erforderlich.

Aufgrund der Bedenken in der Stellungnahme des EDSA kann erwartet werden, dass die Angemessenheitsentscheidung für Großbritannien regelmäßiger Überprüfung und Überwachung durch die Europäische Kommission unterzogen wird. Dies ist derzeit bei keiner anderen Länderbewertung der Fall. Großbritannien wird vor allem im Fokus bleiben, weil es bereits angefangen hat, eigene Angemessenheitsentscheidungen für Drittstaaten zu treffen und somit eine eigene unabhängige Datenschutzpolitik entwickelt.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Videokonferenztools im Vergleich: Datenschutz, Informationssicherheit, Compliance

Telefon- und Videokonferenzen sind aus der heutigen Arbeitswelt nicht mehr weg zu denken. Ob mit Mitarbeitern im Home-Office bzw. beim mobilen Arbeiten oder mit Freelancern irgendwo auf der Welt – für Meetings greifen wir immer öfter auf Videokonferenztools zurück (während der Corona-Krise sogar noch verstärkt). Dabei gilt es selbstverständlich auch den Datenschutz zu wahren. Denn personenbezogene Daten müssen und geschäftsrelevante Daten sollten zumindest ausreichend vor unbefugtem Zugriff geschützt werden.

Unsere große Vergleichstabelle der Videokonferenztools zeigt Ihnen alle Vor- und Nachteile der einzelnen Anbieter hinsichtlich Datenschutz, Informationssicherheit und Compliance auf. Bitte beachten Sie, dass es sich bei unserem Vergleich um einen Überblick handelt. Bei Auswahl eines Videokonferenztools und Abschluss eines Auftragsverarbeitungsvertrages sollte stets eine individuelle Prüfung erfolgen. Dazu finden Sie hier eine ausführliche Anleitung.

Update 28. August 2020:

Nachdem der EuGH das EU-U.S. Privacy Shield gekippt hat, bedürfen Datenübertragungen in die USA neuer Garantien. Wir haben unsere Einschätzungen der Videokonferenz-Anbieter diesbezüglich angepasst und dadurch einige Beurteilungen verschärft.

Vergleich der Tools und Anbieter für Videotelefonie

In unserem Vergleich finden Sie derzeit die Tools Zoom, Microsoft Teams, Skype for Business, RED Connect Videosprechstunde, Whereby, GoToMeeting, WebEx Meetings, Jitsi Meet und Slack.

↔ Sie können die Tabelle waagerecht (mit zwei Fingern oder dem Rad an der Maus) hin und her schieben, um die für Sie interessanten Anbieter zu analysieren. Falls das nicht funktionieren sollte, finden Sie am unteren Rand der Tabelle einen Scrollbalken. ↔

	Zoom	Microsoft Teams	Skype for Business	RED Connect Videosprechstunde	Whereby	GoToMeeting	WebEx Meetings	Jitsi Meet	Slack	3cx (DE)	netucate Systems (YuLinc)	Sichere Videokonferenz
Max. Anzahl Videokonferenzteilnehmer	100 bis 1.000	250	250	1:1 (Arzt - Patient)	4 bis 50	250	100 / 200	unbegrenzt	15	25 bis 250	10 bis 50	unbegrenzt
Unterstütze Plattformen	Windows, MacOS, Linux, Android, iOS, Chrome OS, BlackBerry	Windows, MacOS, Linux, Android, iOS	Windows, MacOS, Linux, Android, iOS	Webbrowser, daher verfügbar für alle Betriebssysteme	Android, iOS, Webbrowser	Windows, MacOS, Android, iOS, Webbrowser	Windows, MacOS, Android, iOs, Windows-Phone, Webbrowser	MacOS, GNU/Linux, Android, iOS, Webbrowser	Windows, MacOS, Android, iOs, Windows-Phone, Webbrowser	Webbrowser bzw. mobile App für Windows, Android, iOS	Mac, iOS, Android, Linux, Webbrowser	alle gängigen Browser, Chrome wird empfohlen
Name des Unternehmens	Zoom Video Communications, Inc.	Microsoft Corporation	Microsoft Corporation	RED Medical Systems GmbH	Video Communication Services AS	LogMeIn Inc.	Cisco Systems, Inc.	8x8, Inc.	Slack Technologies Limited	3CX GmbH gehört zur 3CX Ltd. (Zypern)	netucate Systems GmbH	Horizon44 GmbH
Unternehmenssitz	USA	USA	USA	Deutschland	Norwegen	USA	USA	USA	Irland / USA	Deutschland	Deutschland	Deutschland
Datenschutzerklärung	Online	Online	Online	Online	Online	Online	Online	Online	Online	Online	Online	Online
Business-Version vorhanden
Software as a Service (SaaS)
On-Premises-Lösung	Mit Einschränkungen	-		-					-
Verarbeitung innerhalb EU / EWR	Rechenzentrum auswählbar	Serverstandort bestimmt sich nach gewählter Region	Serverstandort bestimmt sich nach gewählter Region							Möglich
Datenschutzgarantien				-
Verfügbarkeit AV-Vertrag (DPA) / Standard Contractual Clauses (SCC)										-
Anmerkungen zu AVV / DPA / SCC	3 kritische Themenbereiche	4 kritische Themenbereiche	2 kritische Themenbereiche	1 kritischer Themenbereich	2 kritische Themenbereiche	4 kritische Themenbereiche	10 kritische Themenbereiche	1 kritischer Themenbereich	6 kritischen Themenbereiche	-	Angaben zum Hosting	2 kritische Themenbereiche
Manuelle Anpassung Datenschutzeinstellungen											-
Datenverarbeitung zu eigenen Zwecken des Anbieters	Bereitstellung + Optimierung	Bereitstellung	Bereitstellung		Kundenservice, Marketing, Produktverbesserungen	Diverse	Diverse	Diverse	Diverse
Informationssicherheit			-			-		-			-	-
Ende-zu-Ende-Verschlüsselung
Löschung Nutzungsprotokolle				-		-				-
Zugangsschutz Konferenz
Screensharing				-
Meeting-Aufzeichnung				-					-
Erkennbarkeit des individuellen Nutzers												-
Sonstige Anmerkungen zum Datenschutz	1 Anmerkung	-	-	1 Anmerkung	-	1 Anmerkung	4 Anmerkungen		1 Anmerkung	1 Anmerkung	3 Anmerkungen	1 Anmerkung
Sonstige Anmerkungen	2 Anmerkungen	3 Anmerkungen	1 Anmerkung	1 Anmerkung	-	-	1 Anmerkung	-	1 Anmerkung	-	1 Anmerkung	1 Anmerkung
Gesamteinschätzung	Neutral	Schlecht	Schlecht	Gut	Gut	Schlecht	Schlecht	Eher schlecht	Eher schlecht	Eher schlecht	Neutral	Gut

Wir bemühen uns, diese Informationen stets aktuell zu halten und Änderungen der Tools im Vergleich zu berücksichtigen. Bitte beachten Sie, dass wir keinerlei Haftung für die Vollständigkeit der gemachten Angaben übernehmen können.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Datenschutzkonforme Erhebung von Kontaktdaten zur Verfolgung von Infektionsketten

Das neue Infektionsschutzgesetz (IfSG) soll die in der Corona-Pandemie verhängten Auflagen wie Kontaktbeschränkungen und Betriebsverbote juristisch absichern. Neu geregelt wird auch die für viele Gewerbe bereits geltende Pflicht zur Erhebung der Kontaktdaten von Kunden bzw. Gästen. Da es sich dabei um personenbezogene Daten handelt, greift das Datenschutzrecht. Wie also können Unternehmen DSGVO-konform Kontaktdaten zur Verfolgung von Infektionsketten erheben und aufbewahren? Eine Anleitung mit praktischen Vorlagen.

Update, November 2020: Mit der Verabschiedung des neuen Infektionsschutzgesetzes (IfSG) im Eilverfahren finden auch neue Regelungen zur Erhebung personenbezogener Daten ihren Eingang in das IfSG. Wir haben deshalb diesen Artikel entsprechend angepasst. Unsere Analyse des neuen Gesetzes beschränkt sich dabei auf die Auswirkungen auf den Datenschutz.

Das neue Infektionsschutzgesetz

Neben der Anpassung und Ergänzung einzelner Paragraphen wurde mit einem neuen § 28a IfSG eine Liste an besonderen Schutzmaßnahmen beschlossen, die für die Dauer der Feststellung einer epidemischen Lage von nationaler Tragweite durch den Deutschen Bundestag zur Verhinderung der Verbreitung von COVID-19 angeordnet werden können. § 28a Abs. 1 Nr. 17 besagt:

Anordnung der Verarbeitung der Kontaktdaten von Kunden, Gästen oder Veranstaltungsteilnehmern, um nach Auftreten einer Infektion mit dem Coronavirus SARS-CoV-2 mögliche Infektionsketten nachverfolgen und unterbrechen zu können.

Diese Vorschrift stellt eine rechtliche Verpflichtung im Sinne des Art. 6 Abs. 1 lit. c) DSGVO dar und kann daher die Rechtmäßigkeit der Verarbeitung der gegenständlichen personenbezogenen Daten begründen.

Der neue § 28a IfSG belässt es aber nicht dabei, sondern konkretisiert und erläutert in einem eigenen Absatz 4, wie die Erhebung und Verarbeitung der Kontaktdaten stattzufinden hat:

Es dürfen nur personenbezogene Angaben sowie Angaben zum Zeitraum und zum Ort des Aufenthaltes, soweit dies zur Nachverfolgung von Kontaktpersonen zwingend notwendig ist, erhoben und verarbeitet werden.
Die Verantwortlichen haben sicherzustellen, dass eine Kenntnisnahme der erfassten Daten durch Unbefugte ausgeschlossen ist.
Die Daten dürfen nicht zu einem anderen Zweck als der Aushändigung auf Anforderung an die nach Landesrecht für die Erhebung der Daten zuständigen Stellen verwendet werden und sind vier Wochen nach Erhebung zu löschen.
Die zuständigen Stellen sind berechtigt, die erhobenen Daten anzufordern, soweit dies zur Kontaktnachverfolgung erforderlich ist. Die Verantwortlichen sind in diesen Fällen verpflichtet, den zuständigen Stellen die erhobenen Daten zu übermitteln.
Eine Weitergabe der übermittelten Daten durch die zuständigen Stellen oder eine Weiterverwendung durch diese zu anderen Zwecken als der Kontaktnachverfolgung ist ausgeschlossen. Die den zuständigen Stellen übermittelten Daten sind von diesen unverzüglich irreversibel zu löschen, sobald die Daten für die Kontaktnachverfolgung nicht mehr benötigt werden.

Es werden den für die Erhebung Verantwortlichen klare Vorgaben gemacht, was erhoben werden darf, wie mit den Daten umzugehen ist, vor allem an wen sie weitergegeben werden dürfen und wann sie zu löschen sind. Damit werden nicht nur aktuelle Empfehlungen zum Umgang mit Kontaktdaten bestätigt, sondern auch neue Klarstellungen getroffen.

Datenschutzkonformer Umgang mit Kontaktdaten

Zusätzlich zu Maßnahmen zu Kontaktbeschränkungen, Maskenpflicht und Hygiene ist es in manchen Ländern verpflichtend, dass Unternehmen mit direktem Kundenkontakt die Kontaktdaten der Kunden und Gäste erheben. In anderen Ländern werden solche Maßnahmen wiederum nur empfohlen.

Auch wenn sich die Regelungen der einzelnen Bundesländer teils erheblich unterscheiden, sind die datenschutzrechtlichen Rahmenbedingung im Umgang mit Kontaktdaten immer die gleichen. Insbesondere müssen die Datenschutzgrundsätze in Art. 5 der EU-Datenschutz-Grundverordnung (DSGVO) eingehalten werden. Daran ändert sich auch durch das neue Infektionsschutzgesetz nicht. Die Maßnahmen sind immer noch an regionale Erfordernisse gebunden und die DSGVO als europarechtliche Verordnung ist immer zu beachten.

Zweck und Rechtgrundlage für die Verarbeitung von Kontaktdaten

Sofern in Ihrem Bundesland per Verordnung oder Allgemeinverfügung verlangt wird, die Kontaktdaten Ihrer Kunden und Gäste aufzunehmen, ist diese Datenverarbeitung erforderlich, um einer rechtlichen Verpflichtung nachzukommen (Art. 6 Abs. 1 lit. c) DSGVO). Diese rechtliche Verpflichtung kann sich nun auch aus dem neuen § 28a IfSG ergeben (siehe oben).

Sofern aber in Ihrer Region oder für Ihre Branche nur eine Empfehlung ausgesprochen wurde, Kontaktdaten zu erheben, können Sie sich darauf berufen, dass die Datenverarbeitung zum Schutz lebenswichtiger Interessen (Art. 6 Abs. 1 lit. d) DSGVO) erforderlich ist. Die DSGVO erwähnt insbesondere die Überwachung einer Pandemie als ein lebenswichtiges Interesse (Erwägungsgrund 46 DSGVO).

Sollten Sie sich nicht sicher sein, ob in Ihrer Region eine Verpflichtung oder eine Empfehlung ausgesprochen wurde, oder wenn Sie überregional tätig sind, empfehlen wir die Verarbeitung auf die Rechtsgrundlage Art. 6 Abs. 1 lit. d) zu stützen.

Achtung: Bitte beachten Sie in all den genannten Fällen, dass Sie die Daten, die zu den oben genannten Zwecken erhoben wurden, nicht für andere Zwecke verwenden dürfen! Dies stellt das neue Infektionsschutzgesetz auch nochmal deutlich klar.

Aufbewahrungsfristen für die erhobenen Kontaktdaten

Das neue Infektionsschutzgesetzt sieht eine Aufbewahrungsfrist von 4 Wochen vor. Länger sollten Sie die Daten, auch wenn Sie sich auf eine andere Rechtsgrundlage stützen, keinesfalls aufbewahren, da für eine längere Aufbewahrung keine Notwendigkeit besteht. Sortieren Sie die Informationen demnach nach dem Datum der Erhebung.

Weitergabe der erhobenen Daten an Dritte

Die Daten dürfen nur auf Anforderung an die nach Landesrecht für die Erhebung der Daten zuständigen Stellen weitergegeben werden. Jegliche andere Weitergabe an Dritte hat zu unterbleiben!

Datensicherheit bei den erhobenen Daten

Zuständig für die Sicherheit ist ausdrücklich der Verantwortliche, der die Daten erhebt. Er hat dafür Sorge zu tragen, dass eine Kenntnisnahme der erfassten Daten durch Unbefugte ausgeschlossen ist. Das Infektionsschutzgesetz stellt dies ausdrücklich klar, ändert damit aber auch nichts an der bestehenden Rechtslage. Die Pflicht besteht schon aus der DSGVO heraus.

Sie sollten die Kontaktdaten für jeden Kunden bzw. Gast jeweils auf einem separaten Blatt aufnehmen. Eine offen zugängliche Liste, in die sich nacheinander die Kunden und Gäste selbst eintragen, ist nicht zulässig.

Die Daten sollten zudem sicher aufbewahrt werden, so dass ein Zugriff unbefugter Personen ausgeschlossen ist. Verarbeiten Sie die Daten elektronisch, müssen Sie auch hier gewährleisten, dass ein unbefugter Zugriff ausgeschlossen ist. Nach Ablauf der Aufbewahrungsfristen sollten die Daten unwiderruflich gelöscht bzw. geschreddert werden (sieh auch unsere Checkliste zur datenschutzkonformen Aktenvernichtung).

Informationspflichten bei der Datenerhebung

Ferner müssen Kunden und Gäste bereits bei der Erhebung über ihre Datenschutz- bzw. Betroffenenrechte informiert werden. Diese Informationen müssen leicht verständlich und leicht zugänglich sein. Hängen Sie die Informationspflichten gut auffindbar in Ihren Räumlichkeiten auf. Alternativ können Sie die Informationen auch auf Ihrer Website veröffentlichen. Sofern Sie die Daten elektronisch erheben (z.B. bei einer Online-Reservierung), müssen Sie die bereits vorhandene Datenschutzerklärung um diese besondere Verarbeitung erweitern.

Zur Verfolgung von Infektionsketten: Nutzen Sie unsere kostenlosen Vorlagen für ein Informationsschreiben und einen passenden Kontaktdatenerhebungsbogen.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Was bedeutet ein Angemessenheitsbeschluss?

Warum werden die Angemessenheitsbeschlüsse überprüft?

Was prüft die Kommission in Drittländern?

Was ergaben die Prüfungen der Drittstaaten?

Fazit

Aktuelle Entwicklungen zu Google Analytics

Datenschutzrechtliche Aspekte bei Google Analytics

Werden tatsächlich personenbezogene Daten mit Hilfe Google Analytics verarbeitet?

Problem IP-Anonymisierung

Findet eine Weitergabe von Daten statt?

Problem Drittlandtransfer

Von Google ergriffene Maßnahmen

Einwilligung als Lösung?

Fazit: Finger weg von Google Analytics

Datenschutzrechtliche Einschätzung

Relevanz des neuen Schweizer Datenschutzrechts

Die wichtigsten Regelungen des neuen Schweizer Datenschutzrechts

Die wichtigsten Erkenntnisse aus dem neuen Schweizer Datenschutzgesetz

Handlungsempfehlungen für Unternehmen in und außerhalb der Schweiz

Mitwirkung bei der Gewährleistung der Einhaltung der Datenschutzgesetze

Zentrale Aufgabengebiete des Datenschutzbeauftragten

Weitere Aufgaben

Risikobasierte Aufgabenerfüllung

Aufgaben die dem Datenschutzbeauftragten nicht zugewiesen sind

Fazit: Dokumentation der Aufgabenerfüllung ist essentiell

Das Verfahren der EU-Kommission und Einwände

Regelungen des Angemessenheitsbeschlusses für das Vereinigte Königreich

Datenschutzrechtliche Einschätzung

Was ist ein Captcha?

Captchas und Datenschutz

Google reCAPTCHA und der Datenschutz

Fehlende Transparenz

Drittlandtransfer

Fehlende Rechtsgrundlage

Profiling

Alternativen zu reCAPTCHA

Fazit: reCAPTCHA ist nicht empfehlenswert

Übereinstimmungen des EDSA mit der EU-Kommission

Bedenken des EDSA bzgl. des Vereinigten Königreichs

Wie geht es weiter mit dem Angemessenheitsbeschluss?

Vergleich der Tools und Anbieter für Videotelefonie

Das neue Infektionsschutzgesetz

Datenschutzkonformer Umgang mit Kontaktdaten

Zweck und Rechtgrundlage für die Verarbeitung von Kontaktdaten

Aufbewahrungsfristen für die erhobenen Kontaktdaten

Weitergabe der erhobenen Daten an Dritte

Datensicherheit bei den erhobenen Daten

Informationspflichten bei der Datenerhebung

Der betriebliche Datenschutzbeauftragte

Grundsätze der DSGVO

Verzeichnis von Verarbeitungs­tätigkeiten

Datenschutz­folgen­abschätzung (DSFA)

Auftragsverarbeitung

Betroffenenrechte

Datenschutzaudit

Aufsichtsbehörden

Datenpanne / Datenschutznotfall

Beschäftigten­datenschutz

Datenschutz im Marketing

Technischer Datenschutz

Datentransfer

Sind Sie auf das deutsche Whistleblowing-Gesetz vorbereitet?

Verzeichnis von Verarbeitungstätigkeiten

Datenschutzfolgenabschätzung (DSFA)

Beschäftigtendatenschutz