Österreichische Behörde lehnt "risikobasierten Ansatz" für Datenübermittlungen in Drittländer ab

02 Mai 2022

UPDATE zu 101 Beschwerden: Österreichische Datenschutzbehörde lehnt "risikobasierten Ansatz" für Datenübermittlungen in Drittländer ab

Nach den bahnbrechenden Entscheidungen der österreichischen und französischen Datenschutzbehörde, dass die Verwendung von Google Analytics illegal ist, hat die österreichische Datenschutzbehörde (DSB) nun eine zweite Entscheidung getroffen, die noch weiter geht: Sie erklärte die Verwendung der IP-Anonymisierung von Google zu einer nutzlosen Schutzmaßnahme für Datentransfers zwischen der EU und den Vereinigten Staaten. Die DSB lehnte außerdem den von Google vertretenen "risikobasierten Ansatz" ab.

Einige Behörden in Europa haben gleichzeitig die Verfahren eingestellt: Die spanische und die luxemburgische Datenschutzbehörde haben beide Beschwerdeverfahren eingestellt, ohne sich zu der unrechtmäßigen Verwendung von Google Analytics zu äußern, da die betreffenden Websiten Google Analytics nicht mehr verwenden.

DSGVO sieht keinen "risikobasierten Ansatz" für Datenübermittlungen vor. Nach Schrems II setzten sich die Anwälte von Big Tech und der Industrie für einen "risikobasierten Ansatz" für Datenübermittlungen ein:  zusätzliche Sicherheitsvorkehrungen, wie vom EuGH gefordert, sollten nur dann erforderlich sein, wenn ein "erhebliches Risiko für die Rechte und Freiheiten der betroffenen Person" besteht. Sogenannte Standardvertragsklauseln sollten für "risikoarme Fälle" ausreichen, z.B. wenn "nur" Daten wie Online-IDs oder IP-Adressen übermittelt werden. Der DSB erteilt diesem Ansatz eine Absage: Die DSGVO kennt keinen risikobasierten Ansatz für Datenübermittlungen in unsichere Drittländer wie die USA.

"Der DSB hat den "risikobasierten Ansatz" für Datenübermittlungen endlich als das entlarvt, was er ist: ein unbeholfener Versuch, die klare Rechtsprechung des EuGH aufzuweichen. In den einschlägigen Artikeln zur Datenübermittlung wird das Wort "Risiko" kein einziges Mal verwendet." - Marco Blocher, Datenschutzanwalt bei noyb

Googles IP Anonymisierung bietet keinen Schutz. Der österreichische DSB wies auch das Argument von Google zurück, dass Websites bei Google Analytics die IP-Anonymisierung aktivieren könnten, um die übertragenen Daten wirksam vor Überwachung zu schützen. Dies wurde aus zwei Gründen abgelehnt: Erstens betrifft die IP-Anonymisierung von Google nur die IP-Adresse als solche. Daten wie Online-IDs, die über Cookies oder Gerätedaten gesetzt werden, werden im Klartext übertragen. Zweitens findet die IP-Anonymisierung erst nach der Übermittlung der Daten an Google statt.

"Nun ist klar: nur weil die IP-Adressen anonymisiert werden, heißt es nicht dass diese nicht auch verarbeitet werden. Nur weil eine ID anonymisiert wird, bedeutet es nicht, dass es nicht auch andere IDs gibt."Marco Blocher, Datenschutzbeauftragter bei noyb

Nationale Ansätze trotz EDPB-Taskforce. Die Datenschutzbehörden wollten bei den 101 Beschwerden von noyb koordiniert vorgehen, aber die eingesetzte Taskforce scheint nicht zu funktionieren: Während die österreichische und die französische Datenschutzbehörde die Fälle gründlich untersucht haben, hat die spanische Datenschutzbehörde eine Beschwerde einfach abgewiesen, weil der Website-Anbieter Google Analytics nach der Beschwerde von der Website entfernt hat. Kein Wort darüber, ob die Datenübertragungen in die USA vor der Entfernung unrechtmäßig waren oder nicht. Ebenso hat die luxemburgische Datenschutzbehörde drei Beschwerden über Datenübertragungen an Facebook-Server in den USA abgewiesen, weil die Websites die Tools entfernt haben.

"Die Beendigung von Verstößen macht einen vergangenen Verstoß nicht legal. Nach der Logik dieser Behörden sollte man auch keinen Strafzettel bekommen, wenn man irgendwann aufhört, zu schnell zu fahren." - Marco Blocher, Datenschutzanwalt bei noyb