Daten­schutz­ri­si­ko Drittanbieterdienst?

Es sind stür­mi­sche Zei­ten für Anbie­ter und Betrei­ber von Apps und Web­sites: In den letz­ten Wochen konn­ten zahl­rei­che Ent­schei­dun­gen euro­päi­scher Daten­schutz­auf­sichts­be­hör­den und Gerich­te bezüg­lich belieb­ter und viel­fach ein­ge­setz­ter Dritt­an­bie­ter­diens­te ver­zeich­net wer­den. Im Fol­gen­den geben wir Ihnen einen Über­blick über die aktu­el­len Ent­schei­dun­gen und Stra­te­gien zur Mini­mie­rung recht­li­cher Risi­ken beim Ein­satz von Drittanbieterdiensten.

Ein pro­mi­nen­tes Bei­spiel der jün­ge­ren Ver­gan­gen­heit ist das Ana­ly­se­tool “Goog­le Ana­ly­tics”. Neben der öster­rei­chi­schen Daten­schutz­be­hör­de (PDF) hat auch die fran­zö­si­sche Com­mis­si­on Natio­na­le de l’Informatique et des Liber­tés die Nut­zung des Tools für unzu­läs­sig erklärt, da nach Ansicht der Behör­den unter ande­rem die IP-Adresse des Nut­zers ohne aus­rei­chen­de Garan­tien in die USA und damit in ein Dritt­land über­mit­telt wird. Da die­se Ent­schei­dun­gen auf ins­ge­samt 101 Beschwer­den des Ver­eins “noyb” des Daten­schutz­ak­ti­vis­ten Max Schrems zurück­ge­hen und sich die euro­päi­schen Daten­schutz­be­hör­den dies­be­züg­lich abge­stimmt haben, ist zeit­nah mit wei­te­ren gleich­lau­ten­den Ent­schei­dun­gen zu rechnen.

Das Ver­wal­tungs­ge­richt Wies­ba­den wie­der­um hat­te in einem Eil­ver­fah­ren den belieb­ten Consent-Manager “Coo­kie­bot” eben­falls wegen der Über­mitt­lung von Daten in die USA vor­läu­fig für unzu­läs­sig erklärt. Der Hes­si­sche Ver­wal­tungs­ge­richts­hof hat die­se Ent­schei­dung mit Beschluss vom 17.01.2022 (Az. 10 B 2486/21) jedoch zwi­schen­zeit­lich bis zum Abschluss des Haupt­ver­fah­rens aufgehoben.

Bei­de Ent­schei­dun­gen und Diens­te ste­hen jedoch ledig­lich exem­pla­risch für die tief­grei­fen­de­re Pro­ble­ma­tik der Dritt­land­über­mitt­lung per­so­nen­be­zo­ge­ner Daten, die ins­be­son­de­re infol­ge der “Schrems-II-Entscheidung” des Euro­päi­schen Gerichts­hofs (EuGH) gera­de mit Blick auf US-Anbieter deut­lich erschwert wurde.

In die­se Pro­ble­ma­tik reiht sich auch ein Urteil des Land­ge­richts (LG) Mün­chen vom 19.01.2022 (Az. 3 O 17493/20) ein, wenn auch aus einer ande­ren und für Unter­neh­men womög­lich kri­ti­sche­ren Per­spek­ti­ve. In sei­nem Urteil hat das LG Mün­chen einem Website-Nutzer wegen der Ein­bin­dung von Schrift­ar­ten über “Goog­le Fonts” ein Schmer­zens­geld in Höhe von 100,00 Euro zuge­spro­chen. Zur Begrün­dung führt das LG an, dass bei Auf­ruf der jewei­li­gen Web­site stets eine Ver­bin­dung zu einem Ser­ver von Goog­le in den USA auf­ge­baut wer­de und dabei zumin­dest die IP-Adresse des jewei­li­gen Website-Besuchers an Goog­le über­mit­telt wird. Gera­de bei Web­sites grö­ße­rer Unter­neh­men mit täg­lich Tau­sen­den Auf­ru­fen könn­te bei ent­spre­chen­den Beschwer­den der Nut­zer schnell eine emp­find­li­che Scha­dens­er­satz­sum­me erreicht wer­den. Dies ins­be­son­de­re auch, da infol­ge der kürz­lich ergan­ge­nen Ent­schei­dun­gen auf­grund der erhöh­ten öffent­li­chen Auf­merk­sam­keit mit einer deut­li­chen Zunah­me an ent­spre­chen­den Kla­gen zu rech­nen ist. Eine Unter­sa­gungs­ver­fü­gung der Daten­schutz­auf­sichts­be­hör­den könn­te im Ver­gleich dazu dann sogar harm­los erschei­nen, solan­ge sie kei­ne wich­ti­gen Geschäfts­pro­zes­se betrifft.

Was Unter­neh­men jetzt beach­ten sollten

Gleich meh­re­re Ent­schei­dun­gen gegen den Ein­satz belieb­ter Web­tools inner­halb von weni­gen Wochen for­dern zum Han­deln auf. Unter­neh­men soll­ten umge­hend prü­fen, ob der Ein­satz des jewei­li­gen Diens­tes mit Dritt­land­über­mitt­lung für das Unter­neh­men zwin­gend erfor­der­lich ist oder ob gege­be­nen­falls auf euro­päi­sche Alter­na­ti­ven zurück­ge­grif­fen wer­den kann.

Von Ein­zel­ent­schei­dun­gen los­ge­löst und in einem gene­rel­le­ren Kon­text soll­te ins­be­son­de­re beim Ein­satz neu­er Diens­te und bei der Ent­wick­lung neu­er Pro­duk­te im Sin­ne des “Pri­va­cy by Design” auf die Aus­wahl und Ein­bin­dung daten­schutz­recht­lich unpro­ble­ma­ti­scher Alter­na­ti­ven und auf die stra­te­gi­sche Imple­men­tie­rung tech­ni­scher Maß­nah­men, wie z. B. Ver­schlüs­se­lung oder Pseud­ony­mi­sie­rung, geach­tet wer­den. Wird der Daten­schutz bereits in der Ent­wick­lung berück­sich­tigt, las­sen sich auf­tre­ten­de Fra­gen in der Regel deut­lich ein­fa­cher beant­wor­ten und Lösun­gen bes­ser in die jewei­li­gen Pro­zes­se ein­bin­den. Emp­feh­lun­gen hier­zu hat zuletzt auch die Agen­tur der Euro­päi­schen Uni­on für Cyber­si­cher­heit (ENISA) in einem Leit­fa­den zum “Data Pro­tec­tion Engi­nee­ring” veröffentlicht.

Sofern der Ein­satz eines bestimm­ten Diens­tes zwin­gend erfor­der­lich ist, soll­te bei der Ver­wen­dung von Stan­dard­ver­trags­klau­seln als Trans­fer­me­cha­nis­mus in jedem Fall ein soge­nann­tes “Trans­fer Impact Assess­ment” durch­ge­führt wer­den. Für etwas Licht am Ende des “Drittland-Tunnels” sorgt der­weil, dass die aktu­el­len Ent­schei­dun­gen “den Druck auf die USA erhö­hen, Zuge­ständ­nis­se beim Daten­schutz für EU-Bürger zu machen”, was zugleich die lau­fen­den Ver­hand­lun­gen für einen Nach­fol­ger des EU-US Pri­va­cy Shiel­ds beschleu­ni­gen dürfte.

Gleich­zei­tig zeich­nen sich jedoch bereits die nächs­ten Her­aus­for­de­run­gen ab: Erst vor weni­gen Wochen hat die bel­gi­sche Daten­schutz­auf­sichts­be­hör­de die IAB Euro­pe für ver­meint­li­che Daten­schutz­ver­stö­ße beim “Trans­pa­ren­cy and Con­sent Frame­work” (TCF) mit einem Buß­geld in Höhe von 250.000 Euro belegt. Zur Begrün­dung ver­weist die bel­gi­sche Daten­schutz­auf­sicht unter ande­rem dar­auf, dass die Ver­ar­bei­tung und Wei­ter­ga­be von Daten nach ihrer Auf­fas­sung ohne recht­li­che Grund­la­ge und ohne aus­rei­chen­de Infor­ma­ti­on der Betrof­fe­nen erfol­ge – eine weit­rei­chen­de Ent­schei­dung, denn das TCF wird auf unzäh­li­gen Web­sites zur Ein­wil­li­gung in die Anzei­ge von per­so­na­li­sier­ter Wer­bung genutzt.

Auch ohne eine Über­mitt­lung in Dritt­län­der kann die Ein­bin­dung von Dritt­an­bie­ter­diens­ten daten­schutz­recht­li­che Fra­gen auf­wer­fen, die sowohl mit Blick auf das Risi­ko einer Unter­sa­gungs­ver­fü­gung als auch wegen des Risi­kos von Schmer­zens­geld­kla­gen vor­ab im Rah­men der Ent­wick­lung von Apps und Web­sites geklärt wer­den sollten

Haus­nach­richt

Für den 23. und 24. Juni 2022 laden wir Sie ein, auf unse­rer Hybrid-Veranstaltung Digi­tal Busi­ness Con­fe­rence über aktu­el­le Ent­wick­lun­gen im Daten­schutz­recht, Updatever­pflich­tun­gen für Her­stel­ler und Ver­käu­fer von digi­ta­len Pro­duk­ten, neue regu­la­to­ri­sche Vor­ga­ben für Cyber­si­cher­heit sowie zahl­rei­che wei­te­re brand­ak­tu­el­le The­men rund um digi­ta­le Ser­vices und Pro­duk­te zu diskutieren.

zurück

Bleiben Sie
up to date

Wir verwenden Ihre E-Mail-Adresse ausschließlich für den Versand unseres Newsletters. Sie können Ihre Einwilligung hierfür jederzeit mit Wirkung für die Zukunft widerrufen. Weitere Informationen entnehmen Sie bitte unserer Datenschutzerklärung.