Das Jahr 2021 war ein Rekordjahr in Sachen DSGVO-Bußgeldern. So wurde von der Luxemburger Aufsichtsbehörde (CNPD) gegen Amazon ein Bußgeld in Hohe von 746 Millionen Euro wegen rechtswidrigem Nutzer-Tracking verhängt. Und auch gegen WhatsApp wurde die irische Datenschutzbehörde wegen der rechtswidrigen Weitergabe von Nutzerdaten an Facebook mit 225 Millionen Euro tätig. In diesem Jahr geraten nun Google-Dienste erneut ins Visier, wie zuletzt der Google-Dienst "Analytics" durch die österreichische Datenschutz-Aufsichtsbehörde. Gefolgt von der französische Aufsichtsbehörde (CNIL), die nicht dafür bekannt ist mit dem Datenschutz hinter dem Berg zu halten.
Der Datentransfer in die USA ist bereits seit geraumer Zeit problematisch. Nachdem der bereits 2. Angemessenheitsbeschluss für den Datentransfer in die USA - das EU-US Privacy Shield - vom Europäischen Gerichtshof mit dem Schrems-II-Urteil am 16. Juli 2020 gekippt wurde, war der Datentransfer nur noch unter strengen Voraussetzungen zulässig. Mit dem Privacy Shield hatten US-Unternehmen zuvor die Möglichkeit, sich auf ein angemessenes Datenschutzniveau zu verpflichten. Eine Nachfolgeregelung steht seither aus: Denn der wesentliche Kritikpunkt des anlasslosen Datenzugriffs aufgrund nationaler Sicherheitsgesetze steht nach wie vor im Raum.
Das Vorgehen gegen den US-Datentransfer betrifft nun erneut auch den Statistik-Dienst Google-Analytics, der bereits in der Vergangenheit in der Kritik stand und weltweit am meisten verbreitet ist. Die österreichische Datenschutzbehörde entschied jüngst, dass der Einsatz in Europa rechtswidrig sei. Und Schützenhilfe gibt es auch von der französischen Datenschutzaufsicht. Laut Pressemitteilung der CNIL wurde ein Webseiten-Betreiber dazu angewiesen, die Analyse DSGVO-konform zu gestalten oder den Dienst abzustellen. Hauptkritikpunkt ist nach wie vor, dass der Analyse-Dienst nicht datenschutzkonform eingesetzt werden könne. Insbesondere werde jedem Besucher ein Identifier zugeordnet, der ein personenbezogenes Datum bilde und die damit assoziierten Daten in die USA übertrage. Auch bei der aktiven IP-Anonymisierung sei letztlich nicht nachvollziehbar, dass diese nach der Datenübermittlung in die USA auch tatsächlich erfolge. Bereits zuvor hatte sich auch der Europäische Datenschutzausschuss (EDSA) entsprechend mit Google-Diensten und auch dem Zahlungsdienst Stripe befasst.
Die behördlichen Entscheidungen und Aktivitäten basieren in erster Linie auf den Erkenntnissen der Schrems-Organisation NOYB (Europäisches Zentrum für digitale Rechte) und den von dieser eingereichten 101 Beschwerden, die zur Entscheidung des EuGH in der Rechtssache C-311/18 geführt hatten (Schrems-II).
Neulich tritt auch der Europäische Datenschutzausschuss (EDSA) bemerkenswert auf den Plan. Während in Krisen-Zeiten cloudbasierte Dienste florieren, soll nun auch der öffentliche Sektor koordiniert überprüft werden. So werden branchenübergreifend über 75 Stellen in den Bereichen Gesundheit, Finanzen, Steuern und Bildung adressiert und förmliche Untersuchungen eingeleitet. Schwerpunkte der Prüfung sind neben den technischen und organisatorischen Sicherheitsvorkehrungen auch der zugehörige Drittlandtransfer durch Cloud-Dienste und Auftragsverarbeiter. Entsprechende Durchsetzungsmaßnahmen sind nach der Analyse zu erwarten. Die Pressemitteilung des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) kann auf dieser Seite abgerufen werden.
Die Tätigkeiten europäischer Aufsichtsbehörden erreichen inzwischen eine hohe Tragweite für die Datenschutzpraxis. Der Trend verstetigt sich, dass die Übermittlung von personenbezogenen Daten in die USA generell als rechtswidrig einzustufen ist. Der Einsatz und die Entwicklung datenschutzfreundlicher Technologien aus dem europäischen Raum hätte damit Konjunktur.
Unternehmen sollten sich im Jahr 2022 zunehmend mit der digitalen Transformation sowie Technologien befassen, mit denen Compliance-Risiken sowie Risiken für die Rechte und Freiheiten Betroffener deutlich reduziert werden können. So ist auch im Jahr 2022 und den Folgejahren zu erwarten, dass sich die technologische Architektur für Europa grundlegend verändern und unabhängiger gestalten wird.
Wir beraten Unternehmen jeder Größe im externen Datenschutz.
Wir beraten als externe Datenschutzbeauftragte Unternehmen jeder Größe in den Bereichen Datenschutz, IT-Sicherheit & Compliance. Neben einem All-In-One-Portfolio innovativer Compliance- und Security-Lösungen bieten wir Schulungen und Fortbildungen in den Beratungsfeldern.
Externer Datenschutz-beauftragter
ab 150 EUR im Monat
inklusive DSMS und Webseiten-Audit
Stets aktuelle News in unserem Datenschutz Experten-Blog.
