DSB: Google Analytics – Verletzung der Grundsätze der Datenübermittlung
- Originalsprache: Deutsch
- ZIIRBand 10
- Judikatur, 9975 Wörter
- Seiten 40 -55
- https://doi.org/10.33196/ziir202201004001
20,00 €
inkl MwSt
Die ePrivacy-RL (bzw die jeweils nationale Umsetzungsbestimmung) geht der DSGVO als lex specialis vor.
Das Recht und die Praxis eines Landes kein angemessenes Schutzniveau zu gewährleisten sowie die (Un-)Vereinbarkeit des (Angemessenheits-)Beschlusses mit dem Schutz der Privatsphäre sowie der Freiheiten und Grundrechte von Personen können im Rahmen einer Beschwerde nach Art 77 Abs 1 DSGVO als subjektive Rechte geltend gemacht werden.
Der Datenschutzbehörde kommt eine Feststellungskompetenz im Hinblick auf Verletzungen des Rechts auf Geheimhaltung in Beschwerdeverfahren zu.
Die gegenständlichen Cookies „_ga“ bzw „cid“ (Client ID) und „_gid“ (User ID) sind einzigartige Google Analytics Kennnummern und als solche personenbezogene Daten iSd Art 4 Z 1 DSGVO.
Bei der Beurteilung, ob ein Personenbezug aus Daten hergestellt werden kann oder nicht, ist nicht erforderlich, dass jemand (hier: Beschwerdegegner) jeweils alleine einen Personenbezug herstellen können muss, dass also alle für die Identifizierung erforderlichen Informationen bei diesem sind; Vielmehr ist ausreichend, dass irgendjemand – mit rechtlich zulässigen Mitteln und vertretbarem Aufwand – diesen Personenbezug herstellen kann.
Wer die Entscheidung trifft, das Tool „Google Analytics“ auf der Website zu implementieren (hier: die Erstbeschwerdegegnerin als Website-Betreiberin), entscheidet über „Zwecke und Mittel“ der mit dem Tool in Verbindung stehenden Datenverarbeitung und ist daher (jedenfalls) als Verantwortlicher iSd Art 4 Z 7 DSGVO anzusehen.
Wer lediglich das Tool zur Verfügung stellt (hier: Zweitbeschwerdegegner) nimmt keinen Einfluss darauf, ob überhaupt und inwiefern von den Toolfunktionen Gebrauch gemacht wird und welche Einstellungen gewählt werden; soweit der Zweitbeschwerdegegner daher Google Analytics (als Dienstleistung) nur bereitstellt, nimmt dieser keinen Einfluss auf „Zwecke und Mittel“ der Datenverarbeitung und ist daher iSd Art 4 Z 8 DSGVO fallbezogen als Auftragsverarbeiter zu qualifizieren.
Der EU-US Angemessenheitsbeschluss („Privacy Shield“) ist ohne Aufrechterhaltung seiner Wirkung ungültig; eine Datenübermittlung in die USA findet daher keine Deckung in Art 45 DSGVO (Angemessenheitsbeschluss).
Standarddatenschutzklauseln („SDK“) sind als Instrument für den Internationalen Datenverkehr dem Grunde nach nicht zu beanstanden, allerdings hat der EuGH darauf hingewiesen, dass SDK ihrer Natur nach ein Vertrag sind und demnach Behörden aus einem Drittstaat nicht binden können.
Der EU-US Angemessenheitsbeschluss („Privacy Shield“) bietet aufgrund des einschlägigen Rechts der USA und der Durchführung von behördlichen Überwachungsprogrammen – ua gestützt auf Section 702 des FISA und die E.O. 12333 in Verbindung mit der PPD-28 – kein angemessenes Schutzniveau für natürliche Personen.
Ein Datenimporteur (wie der Zweitbeschwerdegegner), der 50 U.S. Code § 1881a („FISA 702”) unterliegt, hat für die importierten Daten, die sich in seinem Besitz oder Gewahrsam oder unter seiner Kontrolle befinden, eine direkte Verpflichtung, den Zugriff darauf zu gewähren oder diese herauszugeben. Diese Verpflichtung kann sich ausdrücklich auch auf die kryptografischen Schlüssel erstrecken, ohne die die Daten nicht lesbar sind. Solange daher der Zweitbeschwerdegegner selbst die Möglichkeit hat, auf Daten im Klartext zuzugreifen, sind die technischen Maßnahmen (hier: Verschlüsselung) nicht als effektive geeignete Garantien im Sinne des Art 46 DSGVO anzusehen.
Für den Fall das weder ein Angemessenheitsbeschluss (Art 45 DSGVO) noch geeignete Garantien (Art 46 DSGVO) vorgebracht werden können, ist eine Datenübermittlung an ein Drittland/internationale Organisation etwa dann möglich, wenn nach Art 49 Abs 1 lit a DSGVO die betroffene Person ausdrücklich eingewilligt hat, nachdem sie über die bestehenden Risken ohne Angemessenheitsbeschluss und geeigneter Garantien unterrichtet wurde (was gegenständlich ausdrücklich nicht der Fall war).
Die Vorgaben von Kapitel V DSGVO (Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen) sind vom Datenexporteur (hier: Erstbeschwerdegegner), nicht jedoch vom Datenimporteur (hier: Zweitbeschwerdegegner) einzuhalten.
Redaktionelle Leitsätze
- E.O. 12333
- Art 8 EU-GRC
- ZIIR 2022, 40
- Art 49 DSGVO
- geeignete Garantien
- Google Analytics
- Art 55 DSGVO
- FISA
- Medienrecht
- Art 46 DSGVO
- Datenübermittlung
- Anonymisierungsfunktion
- Angemessenheitsbeschluss
- DSB, 22.12.2021, DSB-D155.027, (nrk) – Google Analytics
- 50 U.S. Code § 1881a (FISA 702)
- Art 44 DSGVO
Weitere Artikel aus diesem Heft