Es sind stürmische Zeiten für Anbieter und Betreiber von Apps und Websites: In den letzten Wochen konnten zahlreiche Entscheidungen europäischer Datenschutzaufsichtsbehörden und Gerichte bezüglich beliebter und vielfach eingesetzter Drittanbieterdienste verzeichnet werden. Im Folgenden geben wir Ihnen einen Überblick über die aktuellen Entscheidungen und Strategien zur Minimierung rechtlicher Risiken beim Einsatz von Drittanbieterdiensten.
Ein prominentes Beispiel der jüngeren Vergangenheit ist das Analysetool “Google Analytics”. Neben der österreichischen Datenschutzbehörde (PDF) hat auch die französische Commission Nationale de l’Informatique et des Libertés die Nutzung des Tools für unzulässig erklärt, da nach Ansicht der Behörden unter anderem die IP-Adresse des Nutzers ohne ausreichende Garantien in die USA und damit in ein Drittland übermittelt wird. Da diese Entscheidungen auf insgesamt 101 Beschwerden des Vereins “noyb” des Datenschutzaktivisten Max Schrems zurückgehen und sich die europäischen Datenschutzbehörden diesbezüglich abgestimmt haben, ist zeitnah mit weiteren gleichlautenden Entscheidungen zu rechnen.
Das Verwaltungsgericht Wiesbaden wiederum hatte in einem Eilverfahren den beliebten Consent-Manager “Cookiebot” ebenfalls wegen der Übermittlung von Daten in die USA vorläufig für unzulässig erklärt. Der Hessische Verwaltungsgerichtshof hat diese Entscheidung mit Beschluss vom 17.01.2022 (Az. 10 B 2486/21) jedoch zwischenzeitlich bis zum Abschluss des Hauptverfahrens aufgehoben.
Beide Entscheidungen und Dienste stehen jedoch lediglich exemplarisch für die tiefgreifendere Problematik der Drittlandübermittlung personenbezogener Daten, die insbesondere infolge der “Schrems-II-Entscheidung” des Europäischen Gerichtshofs (EuGH) gerade mit Blick auf US-Anbieter deutlich erschwert wurde.
In diese Problematik reiht sich auch ein Urteil des Landgerichts (LG) München vom 19.01.2022 (Az. 3 O 17493/20) ein, wenn auch aus einer anderen und für Unternehmen womöglich kritischeren Perspektive. In seinem Urteil hat das LG München einem Website-Nutzer wegen der Einbindung von Schriftarten über “Google Fonts” ein Schmerzensgeld in Höhe von 100,00 Euro zugesprochen. Zur Begründung führt das LG an, dass bei Aufruf der jeweiligen Website stets eine Verbindung zu einem Server von Google in den USA aufgebaut werde und dabei zumindest die IP-Adresse des jeweiligen Website-Besuchers an Google übermittelt wird. Gerade bei Websites größerer Unternehmen mit täglich Tausenden Aufrufen könnte bei entsprechenden Beschwerden der Nutzer schnell eine empfindliche Schadensersatzsumme erreicht werden. Dies insbesondere auch, da infolge der kürzlich ergangenen Entscheidungen aufgrund der erhöhten öffentlichen Aufmerksamkeit mit einer deutlichen Zunahme an entsprechenden Klagen zu rechnen ist. Eine Untersagungsverfügung der Datenschutzaufsichtsbehörden könnte im Vergleich dazu dann sogar harmlos erscheinen, solange sie keine wichtigen Geschäftsprozesse betrifft.
Was Unternehmen jetzt beachten sollten
Gleich mehrere Entscheidungen gegen den Einsatz beliebter Webtools innerhalb von wenigen Wochen fordern zum Handeln auf. Unternehmen sollten umgehend prüfen, ob der Einsatz des jeweiligen Dienstes mit Drittlandübermittlung für das Unternehmen zwingend erforderlich ist oder ob gegebenenfalls auf europäische Alternativen zurückgegriffen werden kann.
Von Einzelentscheidungen losgelöst und in einem generelleren Kontext sollte insbesondere beim Einsatz neuer Dienste und bei der Entwicklung neuer Produkte im Sinne des “Privacy by Design” auf die Auswahl und Einbindung datenschutzrechtlich unproblematischer Alternativen und auf die strategische Implementierung technischer Maßnahmen, wie z. B. Verschlüsselung oder Pseudonymisierung, geachtet werden. Wird der Datenschutz bereits in der Entwicklung berücksichtigt, lassen sich auftretende Fragen in der Regel deutlich einfacher beantworten und Lösungen besser in die jeweiligen Prozesse einbinden. Empfehlungen hierzu hat zuletzt auch die Agentur der Europäischen Union für Cybersicherheit (ENISA) in einem Leitfaden zum “Data Protection Engineering” veröffentlicht.
Sofern der Einsatz eines bestimmten Dienstes zwingend erforderlich ist, sollte bei der Verwendung von Standardvertragsklauseln als Transfermechanismus in jedem Fall ein sogenanntes “Transfer Impact Assessment” durchgeführt werden. Für etwas Licht am Ende des “Drittland-Tunnels” sorgt derweil, dass die aktuellen Entscheidungen “den Druck auf die USA erhöhen, Zugeständnisse beim Datenschutz für EU-Bürger zu machen”, was zugleich die laufenden Verhandlungen für einen Nachfolger des EU-US Privacy Shields beschleunigen dürfte.
Gleichzeitig zeichnen sich jedoch bereits die nächsten Herausforderungen ab: Erst vor wenigen Wochen hat die belgische Datenschutzaufsichtsbehörde die IAB Europe für vermeintliche Datenschutzverstöße beim “Transparency and Consent Framework” (TCF) mit einem Bußgeld in Höhe von 250.000 Euro belegt. Zur Begründung verweist die belgische Datenschutzaufsicht unter anderem darauf, dass die Verarbeitung und Weitergabe von Daten nach ihrer Auffassung ohne rechtliche Grundlage und ohne ausreichende Information der Betroffenen erfolge – eine weitreichende Entscheidung, denn das TCF wird auf unzähligen Websites zur Einwilligung in die Anzeige von personalisierter Werbung genutzt.
Auch ohne eine Übermittlung in Drittländer kann die Einbindung von Drittanbieterdiensten datenschutzrechtliche Fragen aufwerfen, die sowohl mit Blick auf das Risiko einer Untersagungsverfügung als auch wegen des Risikos von Schmerzensgeldklagen vorab im Rahmen der Entwicklung von Apps und Websites geklärt werden sollten.
zurück