Rufen Sie uns an: (+49) 30 814 555 64 oder schreiben Sie uns eine E-Mail: info (at) trust-zentrum.de
Das Jahr 2021 war ein Rekordjahr in Sachen DSGVO-Bußgeldern. So wurde von der Luxemburger Aufsichtsbehörde (CNPD) gegen Amazon ein Bußgeld in Hohe von 746 Millionen Euro wegen rechtswidrigem Nutzer-Tracking verhängt. Und auch gegen WhatsApp wurde die irische Datenschutzbehörde wegen der rechtswidrigen Weitergabe von Nutzerdaten an Facebook mit 225 Millionen Euro tätig. In diesem Jahr geraten nun Google-Dienste erneut ins Visier, wie zuletzt der Google-Dienst "Analytics" durch die österreichische Datenschutz-Aufsichtsbehörde. Gefolgt von der französische Aufsichtsbehörde (CNIL), die nicht dafür bekannt ist, mit dem Datenschutz hinter dem Berg zu halten.
Der Datentransfer in die USA ist bereits seit geraumer Zeit problematisch. Nachdem der bereits 2. Angemessenheitsbeschluss für den Datentransfer in die USA - das EU-US Privacy Shield - vom Europäischen Gerichtshof mit dem Schrems-II-Urteil am 16. Juli 2020 gekippt wurde, war der Datentransfer nur noch unter strengen Voraussetzungen zulässig. Mit dem Privacy Shield hatten US-Unternehmen zuvor die Möglichkeit, sich auf ein angemessenes Datenschutzniveau zu verpflichten. Eine Nachfolgeregelung steht seither aus und der wesentliche Kritikpunkt des anlasslosen Datenzugriffs aufgrund nationaler Sicherheitsgesetze in den USA, steht nach wie vor im Raum.
Das Vorgehen gegen den US-Datentransfer betrifft nun erneut den Statistik-Dienst Google-Analytics, der bereits in der Vergangenheit in der Kritik stand und weltweit am meisten verbreitet ist. Die österreichische Datenschutzbehörde entschied jüngst, dass der Einsatz von Google Analytics in Europa rechtswidrig sei. Ein Verfahren wegen der Nutzung für derzeit die französische Datenschutzaufsicht "The Commission nationale de l'informatique et des libertés (kurz: CNIL)". Laut
Pressemitteilung der CNIL wurde ein Webseiten-Betreiber dazu angewiesen, die Analyse DSGVO-konform zu gestalten oder den Dienst abzustellen. Hauptkritikpunkt ist erneut, dass der Analyse-Dienst nicht datenschutzkonform eingesetzt werden könne. Insbesondere werde jedem Besucher ein Identifier zugeordnet, der ein personenbezogenes Datum bilde und die damit assoziierten Daten in die USA übertrage. Auch bei der aktiven IP-Anonymisierung sei letztlich nicht nachvollziehbar, dass diese nach der Datenübermittlung in die USA auch tatsächlich erfolge. Bereits zuvor hatte sich der Europäische Datenschutzausschuss (EDSA) entsprechend mit Google-Diensten sowie dem Zahlungsdienst Stripe befasst. Die behördlichen Verfahren basieren nun in erster Linie auf den Erkenntnissen der Schrems-Organisation NOYB ("None of Your Business") sowie auf den von der Organisation eingereichten 101 Beschwerden, die zur Entscheidung des EuGH's in der Rechtssache C-311/18 geführt hatten (Schrems-II).
Zudem tritt auch der Europäische Datenschutzausschuss (EDSA) bemerkenswert auf den Plan. Während in Krisen-Zeiten cloudbasierte Dienste florieren, soll nun auch der öffentliche Sektor koordiniert überprüft werden. So werden branchenübergreifend über 75 Stellen in den Bereichen Gesundheit, Finanzen, Steuern und Bildung adressiert und förmliche Untersuchungen eingeleitet. Schwerpunkte der Prüfung sind neben den technischen und organisatorischen Sicherheitsvorkehrungen auch der zugehörige Drittlandtransfer durch Cloud-Dienste und Auftragsverarbeiter. Entsprechende Durchsetzungsmaßnahmen sind nach der Analyse zu erwarten. Die Pressemitteilung des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) kann
auf dieser Seite abgerufen werden.
Die Tätigkeiten europäischer Aufsichtsbehörden erreichen inzwischen eine hohe Tragweite für die unternehmerische Praxis. Der Trend verstetigt sich, dass die Übermittlung von personenbezogenen Daten in die USA generell als rechtswidrig einzustufen ist. Der Einsatz und die Entwicklung datenschutzfreundlicher Technologien aus dem europäischen Raum hätte damit weiterhin Konjunktur. Unternehmen sollten sich im Jahr 2022 daher mit der digitalen Transformation sowie Technologien befassen, mit denen Compliance-Risiken sowie Risiken für die Rechte und Freiheiten Betroffener deutlich reduziert werden können. So ist nicht nur zu erwarten, dass sich die technologische Architektur in der EU verändern wird, sondern auch der Faktor "Trust" noch mehr in den Vordergrund rückt.
Unser Standort: Chausseestraße 86, 10115 Berlin