Der internationale Datentransfer in „unsichere Drittländer“ ist nun durch die Google Fonts Abmahnung wieder in aller Munde.
Doch was ist eigentlich das rechtliche Problem, wenn personenbezogene Daten in die USA übermittelt werden?
Prämissen
Gehen wir einmal davon aus, dass die IP-Adresse (die eine Geräte-Adresse darstellt) ein personenbezogenes Datum (iSd Breyer-Entscheidung des EuGH, die zur DSRL ergangen ist) für einen Websitenbetreiber darstellt, da dieser die rechtliche Möglichkeit hat, aus der IP-Adresse einen Personenbezug zur Person herzustellen, die die Website besucht hat.
Wenn die IP-Adresse in diesem Fall bei Aufruf der Website des Betreibers (von dieser) an einen Empfänger in einem unsicheren Drittland übertragen (übermittelt) werden, dann ist dafür eine ausreichende Rechtsgrundlage iSd Art 44 ff DSGVO notwendig.
Die Übermittlung in eine „Drittland“
Für die Übermittlung von personenbezogenen Daten in ein Land außerhalb der EU / des EWR bedarf einer Rechtsgrundlage iSd Art 44 ff DSGVO, wobei zB
-
ein sog. Angemessenheitsbeschluss der EU dafür vorliegen kann, in dem klargestellt wird, dass im Empfängerland ein angemessenes Datenschutzniveau herrscht (zB Andorra, Argentinien, Färöer
Inseln, Guernsey, Insel Man, Israel, Japan, Jersey, Kanada, Neuseeland, Schweiz, Südkorea, Uruguay und das Vereinigte Königreich (UK)), oder
-
mittels Standarddatenschutzklauseln, die zwischen Empfänger und Versender der personenbezogenen Daten abgeschlossen werden, sichergestellt wird, dass die Daten beim Empfänger angemessen
behandelt werden.
- bei den Standarddatenschutzklauseln hat jedoch der EuGH in der Schrems-II-Entscheidung (am 16.7.2020, C-311/18)) entschieden, dass die Übermittlung in die USA nur dann zulässig ist, wenn weitere (zusätzliche) technische, organisatorische oder rechtliche Maßnahmen getroffen werden, um den Schutz der Rechte der betroffenen Personen sicherzustellen, da zu große Zugriffs- und Überwachungsmöglichkeiten der US-Behörden bestehen, und sich die EU-Bürger nicht ausreichend dagegen wehren können. (dazu gibt es Empfehlungen des EDSA).
Geht eine Übermittlung in ein unsicheres Drittland mit Einwilligung?
In Art 49 Abs 1 lit a DSGVO wird eine weitere Ausnahme als Möglichkeit genannt, die eine Rechtsgrundlage für die Übermittlung in ein unsicheres Drittland, in dem kein angemessenes Datenschutzniveau herrscht, darstellen könnte, und zwar eine „ausdrückliche Einwilligung mit Risikohinweis“; der Europäische Datenschutzausschuss (EDSA) geht jedoch davon aus, dass diese Möglichkeit als „Ausnahme“ nur für gelegentliche Übermittlungen durch den Verantwortlichen in Frage kommt, und nicht für dauerhafte und ständige Übermittlungen verwendet werden kann.
Es ist daher fraglich, ob die „Cookie-Banner“, die mit einer (ausdrücklichen) Einwilligung mit Risikohinweis versuchten, die Rechtsgrundlage iSd Art 49 Abs 1 lit a DSGVO herzustellen, dies auch schaffen.
Verschlüsselungstechniken als Lösung
Eine technische Möglichkeit, das angemessene Datenschutzniveau im Empfängerland (zB in den USA) herzustellen, besteht darin, die Daten (beim Transport und bei der Speicherung in den USA) zu verschlüsseln und den Schlüssel dem Empfänger der personenbezogenen Daten in den USA nicht zur Verfügung zu stellen, sondern dort eben nur die verschlüsselten Daten zu speichern, auf die nur der Verantwortliche Zugriff hat.
Übermittlung im Klartext
Werden jedoch personenbezogenen Daten im Klartext an einen Empfänger in den USA übermittelt (und handelt es sich dabei um einen anderen Verantwortlichen, der die Person auch identifizieren kann), dann können mE keine (rechtlichen / organisatorischen) Maßnahmen gesetzt werden, die effektiv genug sind, um die seitens des EuGH in der Schrems-II-Entscheidung (16.7.2020, C-311/18) aufgezeigten Überwachungs- und Zugriffsmöglichkeiten durch US-Nachrichtendienste zu beseitigen.
Eigene Meinung zur Einwilligung
Wenn jedoch jemand iSd Art 49 Abs 1 lit a DSGVO ausdrücklich mit einem entsprechenden Hinweis auf das Risiko für die betroffene Person einwilligt, und damit bewusst das Risiko eingeht, dass seine/ihre personenbezogenen Daten an einen Empfänger in den USA übermittelt werden, dann erklärt die betroffene Person, dass sie mit dieser Vorgehensweise (auf die sie im Risikohinweis) aufmerksam zu machen ist, und dann sollten die Aufsichtsbehörden von der Zulässigkeit der Übermittlung ausgehen, da es die Entscheidung der betroffenen Person selbst ist, sich der Verarbeitung ihrer personenbezogenen Daten in einem unsicheren Drittland auszusetzen.
Kommentar schreiben
Petra (Freitag, 09 September 2022 15:48)
Sehr geehrter Herr Dr. Schwaiger, Wie soll ich auf das Schreiben von Dr. Hohenecker reagieren, wenn die logfiles nach 14 tagen automatisch serverseitig gelöscht werden und ich den Sachverhalt nicht rückverfolgen kann . In den logfiles bis 14.8. 2022 konnte von uns nichts gefunden werden. MfG Petra
Christian Wohlkinger (Dienstag, 13 September 2022 12:52)
Sehr geehrter Herr Dr Schweiger,
ähnlich wie im vorigen Eintrag beschrieben ist meine Situation: mein webhoster speichert die Logfiles nur für 10 Tage und selbst bei diesen sind die letzten Stellen aus Datenschutzgründen (Anmerkung: hier beißt sich die Katze in den Schwanz) geschwärzt. Somit ist mir der Gegenbeweis unmöglich, ob die Klägerin/Mandantin Eva Z.
mit ihrer im Anwaltschreiben genannten IP-Adresse wirklich auf meiner Website war und wenn ja ob in dieser Sekunde die Weitergabe dieser IP-Adresse an Google wirklich erfolgt ist... Das ist für mich die entscheidende Kernfrage, die ich nicht beantworten kann....?
Mfg. Christian
RS (Freitag, 16 September 2022 11:07)
Die google fonts server die man von Europa aus erreicht stehen mit hoher Wahrscheinlidhkeit gar nicht in den USA, Tests von verschiedenen IP Adressen in Österreich und Deutschland aus legen Nahe, dass die Server in Frankfurt und München direkt im Austauschknoten stehen. Die relativ kurzen Antwortzeiten unter 10ms implizieren auch relativ nahe gelegene Server. Daher erfolgt eigentlich keine Übermittlung von Daten welcher Art auch immer in ein Drittland.