Der Datenschutzverein none of your business hat im August 2020 insgesamt 101 Musterbeschwerden gegen Unternehmen in 30 Mitgliedsstaaten der Europäischen Union und des Europäischen Wirtschaftsraums eingereicht. Die jeweiligen Webseiten der Unternehmen nutzten Google Analytics und leiteten Daten an Google und Facebook weiter.
Mit den Beschwerden befassten sich die Datenschutzbehörden mehrerer Mitgliedsstaaten.
Kernfrage war dabei, ob Unternehmen auf einen „risikobasierten Ansatz“ setzen dürfen, wenn es um die Übermittlung von personenbezogenen Daten in die USA geht?
Was ist ein risikobasierter Ansatz?
Der risikobasierte Ansatz ist aus der DIN EN ISO 9001 bekannt. Die Norm definiert Risiko als die „Auswirkung von Ungewissheiten“ auf ein erwartetes Ergebnis. In diesem Zusammenhang soll der risikobasierte Ansatz klären, welche Risiken unternehmerische Entscheidungen bergen und wie Unternehmen diese Risiken minimieren können.
Unternehmen wollten risikobasierten Ansatz nutzen.
Einige Unternehmen wollten diesen risikobasierten Ansatz auch für die Übermittlung personenbezogener Daten aus der EU in die USA anwenden.
Die meisten Datenübertragung seien als „risikoarm“ einzustufen, so dass die sogenannten Standardvertragsklauseln ausreichend seien. Zusätzliche Sicherheitsvorkehrungen brauche man nur bei Datenübermittlungen, die ein „erhebliches Risiko für die Rechte und Freiheiten der betroffenen Person“ bergen.
DSGVO kennt keinen risikobasierten Ansatz
Dieser Sichtweise hat die österreichische Datenschutzbehörde DSB nun eine klare Absage erteilt. „Der DSB stellte (…) fest, dass diese Ansicht falsch ist: Die DSGVO kennt keinen risikobasierten Ansatz für Datenübermittlungen in unsichere Drittländer wie die USA“, teilt der Datenschutzverein none of your business (noyb) mit Bezug auf die DSB mit.
Noyb betont: „Der DSB hat den risikobasierten Ansatz für Datenübermittlungen endlich als das entlarvt, was er ist: ein unbeholfener Versuch, die klare Rechtsprechung des EuGH aufzuweichen. In den einschlägigen Artikeln zur Datenübermittlung wird das Wort Risiko kein einziges Mal verwendet.“
Die Nutzung von Google Analytics und die Weiterleitung von Daten an Google und Facebook kann ein Unternehmen damit also nicht auf die rechtliche Grundlage eines riskobasierten Ansatzes stellen, ohne nicht das erhebliche Risiko einzugehen, abgemahnt zu werden oder erhebliche Bußgelder verhängt zu bekommen.
Comments