Internationaler Datenaustausch: Was Webseitenbetreiber jetzt beachten sollten

Melanie Ludolph ist Associate in der Hamburger Kanzlei Fieldfisher und schwerpunktmäßig im Bereich Privacy, Security und Information tätig. Im Interview spricht sie darüber, womit Webseitenbetreiber nach der Entscheidung der österreichischen Datenschutzbehörde zur Nutzung von Google Analytics jetzt rechnen müssen und wie Unternehmen praktikable, rechtssichere und nachhaltige Lösungen für den internationalen Datenaustausch erhalten.

business 5475661 1280
Internationaler Datenaustausch: Was Webseitenbetreiber jetzt beachten sollten. pixabay.com ©Buffik (Creative Commons CC0)

Was bedeutet die Entscheidung der österreichischen Datenschutzbehörde für die EU und wie werden die restlichen Datenschutzbehörden nun reagieren?

Die Entscheidung der Datenschutzbehörde in Österreich („DSB“) ist die erste Entscheidung, die aufgrund der 101 Beschwerden von noyb, der NGO, die unter anderem von Max Schrems gegründet wurde, ergangen ist. Im August 2020, kurz nach der Entscheidung zur Invalidierung des EU-US Privacy Shield („Schrems II“) hatte noyb in 30 EU- und EWR-Mitgliedstaaten Beschwerden gegen Unternehmen eingereicht, die unter anderem den Dienst Google Analytics auf ihren Webseiten eingesetzt hatten. Der Europäische Datenschutzausschuss (EDSA) hat daraufhin eine Task Force eingesetzt, um eine schnelle und europaweit einheitliche Bearbeitung der Beschwerden zu gewährleisten.

Es sind daher weitere ähnliche Entscheidungen zu erwarten – so hat beispielsweise die Niederländische Aufsichtsbehörde ebenfalls für 2022 eine Entscheidung zu zwei dieser Beschwerden angekündigt. Auch in Norwegen wird die weitere Entwicklung genau beobachtet: Die Behörde will sich anschauen, welche Tendenzen sich hierzu in der EU abzeichnen.

Die Entscheidung der DSB hat allerdings erstmal nur Auswirkungen auf die Beteiligten des Verfahrens und ist nicht allgemeingültig. Anders wäre dies zum Beispiel bei einem höchstrichterlichen Urteil. Darüber hinaus ist die Entscheidung auch noch nicht rechtskräftig und da die in Rede stehende Website zwischenzeitlich an ein in München ansässiges Unternehmen übertragen wurde, ist die DSB mittlerweile nicht mehr zuständig. Sie hat daher ein Ersuchen an den bayerischen Landesbeauftragten für den Datenschutz gestellt, der nun darüber zu entscheiden hat, ob die beanstandete Website eingestellt werden muss. Letztlich ist die Entscheidung auf den Tatsachen von 2020 getroffen worden – inzwischen hat Google unter anderem andere Nutzungsbedingungen, bei denen nicht mehr die Google LLC mit Sitz in den USA der Vertragspartner ist, sondern die Google Ireland Limited. Inwieweit dieser Umstand etwas an der Entscheidung an der Behörde geändert hätte, ist derzeit nicht klar.

Womit müssen die zahlreichen Webseitenbetreiber, die Analysetools nutzen, nun rechnen?

Auf Grund der personellen Knappheit bei den Aufsichtsbehörden ist es eher unwahrscheinlich, dass diese proaktiv Unternehmenskontrollen durchführen werden, wobei diese Möglichkeit grundsätzlich besteht. Da das Thema medial gerade sehr präsent ist, könnte es sein, dass vor allem Nutzer:innen von Websites genauer hinschauen, welche Tools eingesetzt werden und sich gegebenenfalls direkt an die Unternehmen wenden. Hier sollten Webseitenbetreiber sicherstellen, dass sie über einen Prozess für den Umgang mit Beschwerden Betroffener verfügen. Fakt ist jedoch auch, dass es aktuell noch keine Untersagungsverfügung für die Nutzung von Google Analytics gibt, ebenso wurde kein Bußgeld gegen die Beschwerdegegner verhängt. Gerade letzteres dürfte im Hinblick auf die komplexe und unsichere Rechtslage aktuell auch eher unwahrscheinlich sein.

Ein neues Datenschutzschild, das den Datenaustausch zwischen der EU und den USA ermöglichen würde, ist derzeit nicht absehbar. Welche Maßnahme sollen Unternehmen jetzt setzen und wie erhalten sie praktikable, rechtssichere und nachhaltige Lösungen für den internationalen Datenaustausch?

Eine dem Privacy Shield ähnelnde Vereinbarung oder ein „No-Spy“-Abkommen wären Lösungen, die tatsächlich für Rechtssicherheit sorgen würden. Ansonsten bleibt es dabei, dass Unternehmen die Tools auf ihren Webseiten überprüfen sollten und zwar dahingehend, ob der Einsatz wirklich zwingend notwendig ist. Wenn ja, sollte auf die konkreten Konfigurationen geachtet werden. Bei Google Analytics gibt es einige Einstellungen, wie zum Beispiel die IP-Maskierung („anonymizeIP“) durch Implementierung des von Google bereitgestellten Tracking-Codes, die Einschränkung des Datenaustauschs mit Google (ansonsten verwendet Google die Daten zum Zweck der Produktverbesserung), die Deaktivierung der Datenweitergabe an Google für Werbezwecke  oder die Reduzierung der Speicherdauer der Cookies (auf maximal 14 Monate). Sofern aber Datentransfers in die USA nicht ausgeschlossen werden können, ist eine Risikominimierung dringend zu empfehlen. Die DSGVO (und auch die neuen Standarddatenschutzklauseln) erlauben einen solchen risikobasierten Ansatz ausdrücklich. Für Unternehmen ist es dabei wichtig, den jeweiligen Einzelfall genau zu prüfen und eine Verhältnismäßigkeitsprüfung für diesen individuellen Fall durchzuführen, in dem Risiken und Sicherheitsmaßnahmen gegeneinander abgewogen werden. Diese Prüfung muss dokumentiert werden, damit sie im Zweifel auch einer Aufsichtsbehörde vorgelegt werden kann. Sofern ein betrieblicher Datenschutzbeauftragter bestellt ist, muss dieser natürlich in die Prüfung eingebunden werden.

eco - Verband der Internetwirtschaft e.V.