Immer öfter wird man als Webseitenbesucher im Rahmen von Cookie-Bannern gefragt, ob man mit dem Einsatz von US-Dienstleistern, genauer gesagt mit dem Drittlandtransfer seiner Daten, einverstanden ist. Hierdurch wird den Betroffenen freigestellt zu entscheiden, ob die Nutzung bestimmter US-Dienstleister als Auftragsverarbeiter von personenbezogenen Daten auf Webseiten erlaubt ist. Also kann der Dienst insbesondere beim Einsatz von Google Analytics auf diese Art und Weise doch noch datenschutzkonform eingesetzt werden ohne Standardvertragsklauseln abzuschließen? Ob dies so einfach möglich ist, wollen wir im Folgenden beleuchten.
Das Gesetz sieht diese Möglichkeit vor
Art. 49 Abs.1 S.1 lit. a DSGVO ermöglicht dem Wortlaut nach Einwilligungen in den Drittlandtransfer. Hiernach werden Datenübermittlungen in Länder ermöglicht, für die kein Angemessenheitsbeschluss besteht und Standardvertragsklauseln nicht ausreichen bzw. Binding Corporate Rules nicht bestehen. Vorausgesetzt natürlich, die betroffene Person hat in die vorgeschlagene Datenübermittlung ausdrücklich eingewilligt, nachdem sie über die für sie bestehenden möglichen Risiken derartiger Datenübermittlungen ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien unterrichtet wurde.
Aushebelung der Standardvertragsklauseln?
So weit so gut. Aber ist es nun möglich, hierdurch Dienste auf der Webseite einzusetzen, die trotz Abschluss der neuen Standardvertragsklauseln datenschutzrechtlich riskant bleiben? Google Analytics und Co., von deren Verwendung wir stets abraten, könnten schließlich hierdurch zum Einsatz kommen.
Immer öfter kommen wir und andere Datenschützer zu dem Ergebnis, dass ein datenschutzkonformer Einsatz von US-Diensten leider nicht möglich ist. Das hängt zumeist mit mangelhaften Verschlüsselungstechniken und somit unzureichendem Schutz vor behördlichen Datenoffenlegungen zusammen. Es liegt auf der Hand, dass dieses Problem nicht einfach mit einer Einwilligung umgangen werden kann, durch die Standardvertragsklauseln einfach ausgehebelt werden können.
Der Art. 49 Abs.1 DSGVO ist als restriktive Ausnahmevorschrift konzipiert, so dass es bei dem grundsätzlichen Vorrang der Übermittlungsinstrumentarien nach 45 bis 47 DSGVO (Angemessenheitsbeschluss, Standardvertragsklauseln oder Binding Corporate Rules) verbleibt.
Stellungnahme der Aufsichtsbehörden
Die Datenschutzkonferenz sowie der Europäische Datenschutzausschuss haben diesbezüglich klar Stellung bezogen. Der Europäische Datenschutzausschuss stellt in seinen Leitlinien von 2018 bereits klar, dass es sich bei Art. 49 Abs.1 S.1 lit. a DSGVO um eine Ausnahmevorschrift und gerade nicht um eine Alternative zu den Standardvertragsklauseln handelt. Konkreter gesagt, gilt die Einwilligungslösung nur für gelegentliche und nicht wiederholte Übermittlungen als Rechtfertigung. Dies wird so zwar nicht explizit in besagtem Artikel bestimmt, es ergibt sich jedoch aus dem restriktiven Charakter der Norm.
Bereits die Überschrift von Art. 49 DSGVO bezeichnet die Regelungen der Norm als „Ausnahmen für bestimmte Fälle“. Es handelt sich folglich um eine Ausnahme von der Regel. Personenbezogene Daten darf man nur dann in ein Drittland übermitteln, wenn dieses Drittland ein angemessenes Datenschutzniveau bietet oder alternativ dazu geeignete Garantien zur Anwendung bringt.
Die Datenschutzkonferenz geht noch weiter. In ihrer Orientierungshilfe von 2021 stellt sie fest, dass personenbezogene Daten, die im Zusammenhang mit der regelmäßigen Nachverfolgung von Nutzerverhalten auf Webseiten oder in Apps verarbeitet werden, grundsätzlich nicht auf Grundlage einer solchen Einwilligung in ein Drittland übermittelt werden können. Umfang und Regelmäßigkeit solcher Transfers widersprechen dem Charakter des Art. 49 DSGVO als Ausnahmevorschrift und den Anforderungen aus Art. 44 S. 2 DSGVO. Dies bedeutet, dass regelmäßige Datenverarbeitungen mit Drittlandbezug, wie der Cookie-Einsatz auf der Webseite, nicht durch eine Einwilligung des Betroffenen gerechtfertigt werden können.
Eine Einwilligung in unsichere Datenverarbeitungen ist nicht möglich
Dies ist nur konsequent, denn im Ergebnis würde eine andere Entscheidung bedeuten, dass ein Betroffener in eine unsichere Datenverarbeitung einwilligen kann. Bereits in unserem Blogbeitrag „Kann ein Betroffener in „schlechte“ TOMs einwilligen?“ haben wir diese Frage beleuchtet und mussten ihr eine Absage erteilen. Nichts anderes ist ein Datentransfer in ein unsicheres Drittland, ohne ausreichende Garantien gem. Art. 44 ff. DSGVO. Ein Betroffener kann daher nicht generell in einen solchen Drittlandtransfer einwilligen.
Sie sehen also, dass der regelmäßige Einsatz von datenschutzrechtlich riskanten US-Dienstleistern und Anwendungen, wie Google Analytics und Co. auch nicht mit Hilfe einer Einwilligung gerechtfertigt werden kann. Es bleibt dabei, dass die neuen Standardvertragsklauseln mit zusätzlichen Maßnahmen und Garantien für eine sichere Datenverarbeitung vereinbart werden müssen. Sollte dies nicht möglich sein bzw. die Maßnahmen und Garantien nicht ausreichen, sollte vom Einsatz des US-Dienstes abgesehen werden.
Sie haben noch Fragen in diesem Bereich, benötigen einen Datenschutzbeauftragten oder datenschutzrechtliche Beratung, kontaktieren Sie uns gerne unter 0931-780 877-0 oder info@sidit.de.
Kein Kommentar