Im Erkenntnis vom 12.05.2023 (W245 2252208-1/36E W245 2252221-1/30E) hat das Bundesverwaltungsgericht umfangreich auf 62 Seiten dargelegt, dass die Datenübermittlung von einer Website an Google am 14.8.2020 (die nicht auf eine Einwilligung iSd Art 49 Abs 1 lit a DSGVO gestützt war, und bei der auch Anonymize_IP nicht eingesetzt wurde) rechtswidrig war.
Nach der Schrems-II-Entscheidung kann die Übermittlung von personenbezogenen Daten in die USA nicht mehr auf einen Angemessenheitsbeschluss iSd Art 45 DSGVO gestützt werden.
Google und der Website-Betreiber haben sich auf die Standarddatenschutzklauseln (SCC) iSd Art 46 Abs 3 DSGVO gestützt. Im Sinne der Schrems-II-Entscheidung bedarf es aber wirksamer zusätzlicher technischer, organisatorischer oder technischer Maßnehmen, um das Niveau des Datenschutzes im Empfängerland auf ein im Verhältnis zur EU "angemessenes" anzuheben.
Google führte folgende Maßnahmen ins Treffen:
II.1.10.1.Rechtliche und organisatorische Maßnahmen:
Google wertet jede Anfrage aus, die diese von den staatlichen Behörden auf Nutzerdaten erhält, um sicherzustellen, dass sie die geltenden Gesetze und die eigenenRichtlinien erfüllen.
Google benachrichtigt Kunden, bevor eine ihrer Informationen bekannt gegeben wird, es sei denn, eine solche Mitteilung ist gesetzlich verboten oder die Anfrage beinhaltet einen Notfall.
Google veröffentlicht einen Transparenzbericht.
Google veröffentlicht ihre Politik im Umgang mit Regierungsanfragen.
II.1.10.2.Technische Maßnahmen:
Google setzt robuste technische Maßnahmen ein, um personenbezogene Daten während der Übertragung zu schützen (standardmäßige Verwendung von http Strict Transport Security (HSTS), Verschlüsselung von Daten auf einer oder mehreren Netzwerkschichten (Schutz der Kommunikation zwischen XXXX -Diensten, Schutz von Daten im Transit zwischen Rechenzentren und Schutz der Kommunikation zwischen Nutzern und Websites)).
Google setzt robuste technische Maßnahmen ein, um gespeicherte personenbezogene Daten zu schützen (Google verschlüsselt die Analytics-Daten, die in ihren Rechenzentren gespeichert werden; Google baut Server ausschließlich für ihre Rechenzentren und unterhält ein branchenführendes Sicherheitsteam, ein Zugriff auf die Analytics-Daten erfolgt nur für Mitarbeiter, die die Daten für ihre Arbeit benötigen).
Nach Ansicht des BVwG bieten vereinbarten Standarddatenklauseln in diesem Zusammenhang keine Möglichkeiten, den Anforderungen der US-Sicherheitsbehörden wirksam zu begegnen bzw. solche zu verhindern. Wie sich aus dem Transparenzbericht von Google ergibt, werden auch regelmäßig derartige Anfragen von US-Behörden gestellt.
Eine zusätzliche Maßnahme ist nur dann als effektiv im Sinne des Schrems-II-Urteils anzusehen, sofern und soweit sie – für sich genommen oder in Verbindung mit anderen – genau die Rechtsschutzlücken schließt, die der Datenexporteur bei seiner Prüfung der für seine Übermittlung geltenden Rechtsvorschriften und Praktiken im Drittland festgestellt hat. Sollte es dem Datenexporteur letztendlich nicht möglich sein, ein der Sache nach gleichwertiges Schutzniveau zu erzielen, darf er die personenbezogenen Daten nicht übermitteln (EDSA-Empfehlungen 01/2020, Rn 75).
In Bezug auf die dargelegten vertraglichen und organisatorischen Maßnahmen ist nicht erkennbar, inwiefern durch eine Überprüfung einer Anfrage von US-Behörden durch Anwälte bzw. durch speziell geschultes Personal, zwecks Einhaltung geltender Gesetze und der eigenen Richtlinien, die in Art. 7, 8 und 47 der Charta verbürgten Grundrechte nicht verletzt werden. Die Einhaltung von US-Gesetzen – also die Verpflichtung zur Herausgabe von Daten – führt gerade zur Verletzung der Grundrechte von betroffenen Unionsbürgern. Ebenso kommt der Benachrichtigung von Kunden kein Begründungswert zu, bevor eine ihrer Informationen US-Behörden bekannt gegeben wird.
Dies deshalb, da eine Weitergabe von Informationen nach europäischem Recht unverhältnismäßig ist und der betroffene Unionsbürger keine wirksamen Rechtsbehelfe gegen eine Weitergabe hat. Auch kommt es zu einer Verletzung von Grundrechten von betroffenen Unionsbürgern, wenn eine Mitteilung an den Kunden aus US-gesetzlichen Gründen unterbleibt.
Selbst wenn die Anfrage einer US-Behörde aufgrund eines Notfalles unterbleibt, ist die Weitergabe rechtswidrig, da der betroffene Unionsbürger nicht die Möglichkeit hat, mit Hilfe eines wirksamen Rechtsbehelfes den Notfall zu verifizieren. Schließlich können die Veröffentlichung eines Transparenzberichtes sowie die Veröffentlichung der Politik von Google im Umgang mit Regierungsanfragen die rechtswidrigen Umstände nicht beseitigen, damit die in Art. 7, 8 und 47 der Charta verbürgten Grundrechte nicht verletzt werden.
Auch die dargestellten technischen Maßnahmen sind nicht geeignet, um die Verletzung der Grundrechte zu beseitigen. So können die aufgezählten technischen Maßnahmen im Zusammenhang mit der Übertragung bzw. Speicherung der Daten die Zugriffsmöglichkeiten von US-Nachrichtendiensten auf Grundlage des US-Rechts weder verhindern noch einschränken.
Wie die DSB zutreffend ausführte, können die technischen Maßnahmen nicht als wirkungsvoll betrachtet werden, wenn Google selbst nach wie vor die Möglichkeit hat, auf die Daten im Klartext zuzugreifen. Soweit Google auf eine Verschlüsselungstechnologie hinweist, so ist aus EDSA-Empfehlungen zu entnehmen, dass ein Datenimporteur (die BF2), der 50 U.S. Code § 1881a („FISA 702“) unterliegt, hinsichtlich der importierten Daten, die sich in seinem Besitz oder Gewahrsam oder unter seiner Kontrolle befinden, eine direkte Verpflichtung hat, den Zugriff darauf zu gewähren oder diese herauszugeben. Diese Verpflichtung kann sich ausdrücklich auch auf die kryptografischen Schlüssel erstrecken, ohne die die Daten nicht lesbar sind (Rn 81).
Aus all diesen Gründen erachtet (auch) das Bundesverwaltungsgericht die Datenweitergabe an Google als rechtswidrig, weil diese internationale Datenübermittlung in ein unsicheres Drittland gegen Art 44 DSGVO verstößt
Das Bundesverwaltungsgericht verweist auch darauf, dass in Art 44 ff. DSGVO kein risikobasierte Ansatz enthalten ist; es gäbe zwar einige Bestimmungen der DSGVO, die auf eine Angemessenheit und Risikobasiertheit zurückgreifen, aber dies ist nicht analog auf Art 44 ff DSGVO anzuwenden.
Kommentar schreiben