Hintergrund: Nachdem der EuGH das „Privacy Shield“-Abkommen im Sommer 2020 gekippt hatte, da das Datenschutzniveau der USA nicht dem der EU entspräche, hat noyb rund 100 vergleichbare Beschwerden in fast allen EU-Staaten eingereicht (u.a. gegen chefkoch.de und die TV Spielfilm, aber auch Airbnb, Ikea oder Cinemaxx). Im vorliegenden Fall bezog sie sich konkret auf netdoktor.at. Die DSB bemängelte, Google Analytics würde persönliche Daten im Sinne von Artikel 4 Nummer 1 der DSGVO an die Google-Zentrale in den USA weitergegeben, nämlich IP-Adresse, Unique User-IDs, besuchte URLs, Browser und Betriebssystem, Bildschirmauflösung, Sprachauswahl, Datum und Uhrzeit des Website-Besuchs. Der einzelne Webseitenbesucher sei so identifizierbar. Im konkreten Fall wurden die IP-Adressen wohl nicht anonymisiert, aber bei der Fülle an anderen Faktoren hätte das wohl auch keinen Unterschied gemacht. Die Idee hinter der Anonymisierung der IP-Adresse ist wohl: Wenn keine personenbezogenen Daten übermittelt werden, gilt die DSGVO überhaupt nicht. Allerdings hat die DSB nunmehr klargestellt, dass „personenbezogene Daten“ viel mehr als nur die IP-Adresse umfassen.
Zwar wies die DSB eine weitergehende Beschwerde gegen Google selbst ab – wogegen „noyb“ wohl in Berufung gehen wird; Max Schrems‘ Schlussfolgerung ist dennoch klar: „EU-Unternehmen können keine US-Cloud-Dienste mehr nutzen.“ (Diese Meinung wird jedoch auch nicht einhellig geteilt.) Anlass zu Schrems‘ Beschwerde war, dass viele Unternehmen sowohl aus den USA als auch der EU „einfach ein paar Texte in ihre Datenschutzrichtlinien“ eingefügt und den EuGH [hinsichtlich des Urteils zu „Privacy Shield“] ignoriert hätten, „[a]nstatt ihre Dienste technisch so anzupassen, dass sie mit der DSGVO konform sind“. Auch die DSB schreibt, dass das jetzige Hilfskonstrukt der Standardvertragsklauseln kein angemessenes Schutzniveau bietet, um die „Überwachungs- und Zugriffsmöglichkeiten durch US-Nachrichtendienste“ zu beseitigen.
Noch handelt es sich um einen Einzelfall. Aber zumindest noyb geht davon aus, dass ähnliche Entscheidungen nun schrittweise auch in den Dutzenden anderen Verfahren fallen werden. Als nächstes wohl in den Niederlanden, wo die zuständige Behörde schon jetzt warnt: „Die Verwendung von Google Analytics ist möglicherweise bald nicht mehr erlaubt.“ Netdoktor.at gehört inzwischen zum deutschen Burda-Verlag gehört – die DSB hat daher den bayerischen Landesdatenschutzbeauftragten gebeten, zu entscheiden, wie es mit der Webseite weitergeht und ob sie eingestellt werden muss. Das könnte dann auch unmittelbar Auswirkungen auf Deutschland haben. Bis zu einer höchstrichterlichen Entscheidung des EuGH wird es aber auch dann noch etwas dauern. Und USA und EU werkeln ja auch am Nachfolgeprojekt von „Privacy Shield“. Auf der sicheren Seite ist man jedenfalls, wenn man sich schon jetzt nach alternativen EU-Dienstleister umsieht.
Opfer seiner eigenen Regeln ist bei diesem Thema auch das EU-Parlament geworden: Auf seiner Website hatte es Cookies von Google Analytics und dem Zahlungsdienstleister Stripe eingebaut. Auf eine von EU-Parlamentariern eingereichte Anfrage hin sprach der EU-Datenschutzbeauftragte Wojciech Wiewiórowski nun Anfang Januar eine Unterlassungsanordnung aus. „Noyb“ zufolge waren auch die Cookie-Banner, mit denen die Nutzer in die Verarbeitung ihrer Daten einwilligen, unklar und irreführend, da nicht alle Cookies aufgeführt wurden und in unterschiedlichen Sprachen unterschiedliche Angaben gemacht wurden. Während der Untersuchung entfernte das Europaparlament dann sicherheitshalber alle Cookies.
Einen Schritt weiter beim EuGH ist die Frage, ob das deutsche Haftungskonzept für juristische Personen gilt bzw. ob im Datenschutzrecht das Rechtsträger- oder das Funktionsträgerprinzip gilt; u.a. im Rahmen des Verfahrens gegen die Deutsche Wohnen waren sich die Berliner Gerichte in der Frage uneinig und haben sie nach Luxemburg verwiesen.
Das Landgericht Krefeld indes zeigt in einem aktuellen Urteil die Grenze des Auskunftsrechts in der DSGVO auf: Ein Kunde forderte seine Versicherung auf, die Nachträge zu den Versicherungsscheinen bezüglich Beitragserhöhungen, Begründungsschreiben und Beiblätter erneut zu übersenden. Er vermutete, dass sich Versicherung ungerechtfertigt bereichern wollte und monierte einen Mangel an Begründung für Beitragserhöhungen in der Vergangenheit. Nachdem sich die Versicherung weigerte, klagte er und berief sich auf seinen Auskunftsanspruch nach Artikel 15 der DSGVO.
Gemäß Erwägungsgrund 63 der DSGVO dient das Auskunftsrecht dazu, sich der Verarbeitung der personenbezogenen Daten bewusst zu sein und die Rechtmäßigkeit der Verarbeitung überprüfen zu können. Auch solle das Auskunftsrecht die Grundlage für weitere Rechte aus der DSGVO, wie Löschung oder Berichtigung von Daten, sein. Das Gericht kam daher zu dem eindeutigen Schluss, dass der Kunde kein solches (Datenschutz-)Ziel verfolgt und daher rechtsmissbräuchlich handelt. Artikel 15 DSGVO ist also kein Auffangrecht, um die Gegenseite als Back-Up zu nutzen und bei Bedarf Kopien anzufordern.
Apropros Kopien: Die Süddeutsche hat Tipps, wie man Daten auf Papier richtig entsorgt – jetzt am Jahresanfang bestimmt in vielen Betrieben oder Vereinen ein Thema, wenn Aufbewahrungsfristen abgelaufen sind – und gerade auch brisant im Home-Office.
Und zum Schluss: Vor einigen Tagen haben sich Dutzende Beschäftigte der katholischen Kirche als queer geoutet. Dass für die Kirchen und von ihr betriebene Krankenhäuser, Kindergärten, Schulen, Pflegeeinrichtungen, Beratungsstellen usw. ein besonderes Arbeitsrecht gilt, wissen spätestens seit der Aktion viele. Dass sie auch eine Sonderrolle beim Datenschutz einnehmen, vielleicht eher weniger. Denn in Artikel 91 lässt die DSGVO ein Schlupfloch, dass religiöse Vereinigungen weiterhin ihre eigenen Datenschutzregeln anwenden dürfen, wenn diese bereits bei Inkrafttreten der DSGVO (ob damit 2016 oder 2018 gemeint ist, ist umstritten und wird wohl auch der EuGH klären müssen) bestanden und an die Regelungen der DSGVO angepasst wurden. In der Realität bedeutet das u.a. eigene Aufsichtsbehörden und Gerichte – und Streit darüber, ob bestehende und anerkannte Gemeinschaften und neue ungleich (hinsichtlich des Selbstbestimmungsrechts der Kirchen und Religionsgemeinschaften) behandelt werden. Auch ein spannendes Thema – das würde hier jetzt aber den Rahmen sprengen.
Foto: © Adobe Stock | Frank Täubel