Däne­mark: Ver­bot der Ver­wen­dung von Chrome­books und Goog­le Work­s­pace durch Gemeinden

Die däni­sche Daten­schutz­auf­sichts­be­hör­de, die Data­til­syn­et, hat sich in einem Ent­scheid vom 14. Juli 2022 zum Ein­satz von Goog­le-Pro­duk­ten durch eine Gemein­de und ins­be­son­de­re zur Über­mitt­lung in die USA geäussert:

Hin­ter­grund und Verbote

Hin­ter­grund war die Ver­wen­dung von Chrome­books von Goog­le und von Goog­le Work­s­pace durch däni­sche Gemein­den, in die­sem Fall die Gemein­de Hel­sin­gør. Die däni­sche Behör­de hat­te der Gemein­de im Sep­tem­ber 2021 auf­ge­ge­ben, in die­sem Zusam­men­hang eine Risi­ko­ab­schät­zung durch­zu­füh­ren, die je nach Ergeb­nis zu einer eigent­li­chen Daten­schutz­fol­gen­ab­schät­zung füh­ren sollte.

Die Gemein­de hat­te im Novem­ber 2021 eine ent­spre­chen­de Bewer­tung vor­ge­legt, die das Risi­ko einer ver­trags­wid­ri­gen Ver­wen­dung von Per­so­nen­da­ten z.B für Mar­ke­ting- oder ande­re wei­te­re Zwecke als nied­rig einstufte.

Eben­falls nied­rig sei das Risi­ko einer Über­mitt­lung in die USA. Ver­trags­part­ne­rin der Gemein­de war Goog­le Cloud EMEA Ltd. und Per­so­nen­da­ten wur­den nur im EWR gespei­chert. Aus den Erwä­gun­gen der Behör­de geht her­vor, dass sich die Gemein­de dabei mut­mass­lich auf das TIA-For­mu­lar von David Rosen­thal gestützt hat. Nicht aus­ge­schlos­sen war jedoch ein Remo­te Access für Sup­port­zwecke durch Goog­le LLC in den USA (wobei Goog­le kon­zern­in­tern die SCC ein­setzt – sie­he dazu unse­ren Bei­trag zur Umset­zung der SCC).

Auf Basis die­ser Abschät­zung hat die Behör­de nun fol­gen­de Ver­fü­gung getroffen:

  • der Gemein­de wird ver­bo­ten, mit Chrome­books und Goog­le Work­s­pace for Edu­ca­ti­on Per­so­nen­da­ten zu ver­ar­bei­ten, bis die­se Ver­ar­bei­tungs­tä­tig­keit nicht in Ein­klang mit der DSGVO gebracht wurde;
  • jede Über­mitt­lung von Per­so­nen­da­ten in die USA wird aus­ge­setzt, bis die Gemein­de nach­weist, dass dabei die DSGVO ein­ge­hal­ten wird;
  • die Gemein­de habe Nut­zer und Rech­te zu deak­ti­vie­ren und über­tra­ge­ne Daten zu löschen, mit einer Umsetzungsfrist;
  • ein Ver­stoss gegen die­se Anord­nun­gen kann mit Geld­stra­fe oder einer Frei­heits­stra­fe bis zu sechs Mona­ten geahn­det wer­den (dies, weil das däni­sche Recht kei­ne Bus­sen nach der DSGVO zulässt, son­dern indi­vi­du­el­le Bus­sen oder Frei­heits­stra­fen vor­sieht; sie­he Erw­Gr 151 der DSGVO und Art. 41 f. des däni­schen Daten­schutz­ge­set­zes).

Inter­es­san­ter­wei­se hat die Behör­de kei­ne Bus­se erlas­sen, son­dern die­se nur für den Fall der Miss­ach­tung ange­droht. Auch die ita­lie­ni­schen, öster­rei­chi­schen und fran­zö­si­schen Behör­den haben bei ihren post-Schrems-Ent­schei­dun­gen soweit ersicht­lich kei­ne Bus­sen ver­hängt – viel­leicht ein Rest an Ein­sicht, dass die­se Ver­bo­te der Wirk­lich­keit nur ein­ge­schränkt Rech­nung tragen.

Wesent­li­che Ergebnisse

Die Hal­tung der Behör­de darf in allen Punk­ten als ausser­or­dent­lich streng bezeich­net wer­den. Das betrifft nicht nur das The­ma Über­mitt­lung in die USA, wo der euro­pa­weit abge­stimm­te Null­ri­si­ko­an­satz ver­folgt wird (s. unten), son­de­ren auch ande­re Punk­te, etwa die Anfor­de­run­gen an die Doku­men­ta­ti­on von Risi­ken, an die Durch­füh­rung einer Datenschutz-Folgenabschätzung.

Auf­fal­lend ist, dass die Behör­de zwar weit­rei­chen­de Auf­la­gen macht (so dür­fe sich die Gemein­de etwa nicht ein­fach auf das ver­trag­li­che Ver­bot der Zweck­ent­frem­dung von Daten durch Goog­le ver­las­sen, erfor­der­lich sei­en viel­mehr auch TOMs – offen­bar hält die Behör­de Goog­le nicht für ver­trags­treu), dies recht­lich aber kaum begrün­det. Sie begnügt sich im Wesent­li­chen auf Ver­wei­sun­gen auf Art. 5 Abs. 2 (Accoun­ta­bi­li­ty) und auf die Black­box von Art. 24 DSGVO, der die “Ver­ant­wor­tung des für die Ver­ar­bei­tung Ver­ant­wort­li­chen” in all­ge­mei­ner und des­halb für jede Mei­nung anschluss­fä­hi­ger Wei­se umschreibt.

Wie bei vie­len ande­ren Ent­schei­dun­gen der Daten­schutz­be­hör­den ergibt sich der Ein­druck, eine Behör­de ver­fol­ge einen Maxi­mal­an­satz, den sie nicht dog­ma­tisch legi­ti­miert, son­dern mit ihrem Sen­dungs­be­wusst­sein. Das macht aus einer Rechts­an­wen­dungs- eine poli­ti­sche Behör­de. Grei­fen Gerich­te nicht ein und stel­len sie die Ent­schei­dun­gen – vom Ergeb­nis unab­hän­gig – nicht auf eine recht­lich trag­fä­hi­ge Grund­la­ge, kann dies letzt­lich nur als Ver­fas­sungs­bruch, näm­lich Bruch der Gewal­ten­tei­lung, bezeich­net wer­den. Die ver­schie­dent­lich ange­merk­te Zurück­hal­tung des EDÖB ist aus die­ser Optik wohltuend.

Fest­stel­lun­gen zum Umgang mit Risiken

  • Nicht aus­rei­chen­de Risi­ko­be­wer­tung: Die Risi­ko­be­wer­tung der Gemein­de Hel­sin­gør habe gene­rell eini­ge Sze­na­ri­en vor allem auch tech­ni­scher Natur nicht voll­stän­dig berücksichtigt.
  • Kei­ne aus­rei­chen­de Miti­gie­rung des Zweck­ent­frem­dungs­ri­si­kos: Mit Bezug auf das Risi­ko einer Zweck­ent­frem­dung der Daten durch Goog­le war zwar zu beach­ten, dass eine Zweck­ent­frem­dung durch Goog­le ver­trag­lich aus­ge­schlos­sen war. Den­noch habe die Gemein­de nicht aus­rei­chend doku­men­tiert, dass die Ein­hal­tung der DSGVO durch Goog­le als Auf­trags­be­ar­bei­ter sicher­ge­stellt war. Es rei­che nicht, sich nur auf ver­trag­li­che Garan­tien zu ver­las­sen (!). Die Gemein­de hät­te viel­mehr tech­ni­sche oder orga­ni­sa­to­ri­sche Mass­nah­men zur Min­de­rung des Zweck­ent­frem­dungs­ri­si­kos bewer­ten müssen.
  • Kei­ne Durch­füh­rung einer DSFA: Jedes Risi­ko, das sich stark auf die Rech­te und Frei­hei­ten der betrof­fe­nen Per­so­nen aus­wirkt, ver­lan­ge eine Daten­schutz-Fol­gen­ab­schät­zung, und zwar selbst im Fal­le rela­tiv gerin­ger Eintrittswahrscheinlichkeit.

Zur Über­mitt­lung in die USA

Pflich­ten des Verantwortlichen

Aus­gangs­punkt war hier die Tat­sa­che, dass Goog­le die Per­so­nen­da­ten der Gemein­de zwar nur im EWR-Raum spei­chert, aber gemäss Goo­g­les Liste Unter­auf­trags­be­ar­bei­ter auch ausser­halb des EWR und u.a. auch in den USA ein­set­zen kann.

Hier nimmt die Behör­de den Stand­punkt ein, der Ver­ant­wort­li­che müs­se eine Rechts­grund­la­ge für die Über­mitt­lung in Dritt­län­der vor­le­gen, und zwar auch eine Über­mitt­lung für Supportleistungen.

Ins­be­son­de­re sei­en bei­de, der Ver­ant­wort­li­che und der Auf­trags­be­ar­bei­ter, ver­pflich­tet, für eine sol­che Rechts­grund­la­ge zu sor­gen, auch wenn der Auf­trags­be­ar­bei­ter mit einem Unter­auf­trags­be­ar­bei­ter in einem Dritt­staad die SCC geschlos­sen hat. Nicht rest­los klar wird hier aller­dings, ob der Ver­ant­wort­li­che nur eine ent­spre­chen­de Doku­men­ta­ti­ons­pflicht hat oder aber eine ori­gi­nä­re Pflicht, für die Recht­mä­ssig­keit der Wei­ter­über­mitt­lung durch den Auf­trags­be­ar­bei­ter zu sorgen.

TIA: Ein­schät­zung des Zugriffsrisikos

In ihrem TIA hat­te die Gemein­de u.a. berück­sich­tigt, dass FISA 702 den Zugriff auf Daten nicht erlau­be, wenn der Zugriff auf eine US Per­son zielt, d.h. eine Per­son (auch ein Unter­neh­men), die sich zu die­sem Zeit­punkt in den USA befin­de (§1881a(b)). Dies schlie­sse den Zugriff bei Goog­le LLC aus, weil die rele­van­ten Daten hier an Goog­le LLC und damit eine US Per­son über­mit­telt werden.

Die Daten­schutz­be­hör­de schliesst sich die­sem Argu­ment nicht an. Die­se Beschrän­kung gilt nach ihrer Auf­fas­sung nur dann, wenn der Daten­zu­griff das Ziel hat, Infor­ma­tio­nen über US-Per­so­nen zu erhe­ben, nicht bei US-Unter­neh­men:

Nach Prü­fung der recht­li­chen Beschrän­kun­gen für die Samm­lung von Infor­ma­tio­nen gemäß FISA 702 geht die Daten­schutz­be­hör­de geht davon aus, dass die Beschrän­kun­gen [in §1881a(b)] dar­auf abzie­len, die Erhe­bung – sowohl direkt als auch indi­rekt – von Infor­ma­tio­nen über US-Per­so­nen, ein­schließ­lich Unter­neh­men, zu ver­hin­dern, wenn die­se Per­so­nen das Ziel der Erhe­bung sind.

Nach Ansicht der däni­schen Daten­schutz­be­hör­de gel­ten die Beschrän­kun­gen daher nicht, wenn und soweit däni­sche Bür­ger oder die Gemein­de Hel­sin­gør als Gan­zes Gegen­stand der Daten­er­he­bung nach FISA 702 werden.

Dar­über hin­aus ist der EDSB der Ansicht, dass FISA 702 durch sei­nen Zweck eine Rechts­grund­la­ge für die US-Straf­ver­fol­gungs­be­hör­den bie­tet, um Infor­ma­tio­nen über aus­län­di­sche Per­so­nen zu erhal­ten, von denen man anneh­men kann, dass sie sich außer­halb der USA auf­hal­ten, um Infor­ma­tio­nen über aus­län­di­sche Geheim­dien­ste zu sammeln.

Vor die­sem Hin­ter­grund ist die Daten­schutz­be­hör­de der Ansicht, dass die an Goog­le LLC über­mit­tel­ten per­so­nen­be­zo­ge­nen Daten von den US-Straf­ver­fol­gungs­be­hör­den erlangt wer­den könn­ten. Dabei hat der EDSB die Tat­sa­che berück­sich­tigt, dass Goog­le LLC als “Anbie­ter von elek­tro­ni­schen Kom­mu­ni­ka­ti­ons­dien­sten” zu betrach­ten ist und dass die an Goog­le LLC über­mit­tel­ten per­so­nen­be­zo­ge­nen Daten die Schü­ler und Ange­stell­ten der Gemein­de, also däni­sche Staats­bür­ger, betreffen.

Anfor­de­run­gen an das Schutz­ni­veau im Zielland

Was das erfor­der­li­che Schutz­ni­veu betrifft, so fol­ge aus dem Schrems II-Urteil des EuGH, dass

in dem betref­fen­den Dritt­land ein Schutz­ni­veau für per­so­nen­be­zo­ge­ne Daten gewähr­lei­stet wer­den [muss], das im Wesent­li­chen dem Schutz­ni­veau inner­halb der EU/des EWR ent­spricht.

Die­se Vor­ga­be gilt nach Auf­fas­sung der Behör­de offen­bar nicht nur bei der Fra­ge, ob ein Staat über ein ange­mes­se­nes Schutz­ni­veau ver­fügt, son­dern auch für Über­mitt­lun­gen auf Basis der Stan­dard­ver­trags­klau­seln. Das begrün­det sie – nicht aus­drück­lich, aber im Kon­text – mit DSGVO 44:

Jed­we­de Über­mitt­lung per­so­nen­be­zo­ge­ner Daten […] ist nur zuläs­sig, wenn der Ver­ant­wort­li­che und der Auf­trags­ver­ar­bei­ter die in die­sem Kapi­tel nie­der­ge­leg­ten Bedin­gun­gen ein­hal­ten […]. Alle Bestim­mun­gen die­ses Kapi­tels sind anzu­wen­den, um sicher­zu­stel­len, dass das durch die­se Ver­ord­nung gewähr­lei­ste­te Schutz­ni­veau für natür­li­che Per­so­nen nicht unter­gra­ben wird.

Dies bedeu­te wie­der­um, dass

jede Über­mitt­lung ange­mes­se­nen Garan­tien unter­lie­gen muss. Es reicht also nicht aus, dass fast alle Über­wei­sun­gen oder ein bestimm­ter Pro­zent­satz der Über­wei­sun­gen den Schutz der Ver­ord­nung genie­ßen, es sei denn, dies ist in der Ver­ord­nung vorgesehen.

Hier ist wohl der Null­ri­si­ko­an­satz nun auch der däni­schen Auf­sichts­be­hör­de zu ver­or­ten. Das ist eine unge­wöhn­li­che Sicht­wei­se – man kann sie viel­leicht wie folgt para­phra­sie­ren: Wenn ein Rest­ri­si­ko eines Behör­den­zu­griffs von 2.5% in Kauf genom­men wird, genie­ssen sta­ti­stisch 2.5% der Über­mitt­lun­gen kei­nen aus­rei­chen­den Schutz, wes­halb ein aus­rei­chen­des Schutz­ni­veau inso­weit fehlt. So sagt dies die Behör­de zwar nicht, aber anders lässt sich hier Hin­weis kaum ver­ste­hen, dass jede und nicht nur fast jede Über­mitt­lung schutz­be­dürf­tig sei.

Feh­len­de Zusatzmassnahmen

Die Behör­de kam daher zum Ergeb­nis, es sei­en zusätz­lich zu den SCC ergän­zen­de Schutz­mass­nah­men erfor­der­lich, unge­ach­tet der Risi­ko­ein­schät­zung durch die Gemeinde:

Daher ist der EDSB der Ansicht, dass die Über­mitt­lung der frag­li­chen Daten in den Ver­ei­nig­ten Staa­ten Bedin­gun­gen unter­liegt, die ver­hin­dern, dass der als Grund­la­ge für die Über­mitt­lung ver­wen­de­te Stan­dard­ver­trag ein ange­mes­se­nes Mit­tel zur Gewähr­lei­stung eines Schutz­ni­veaus dar­stellt, das dem in der EU/im EWR im Wesent­li­chen gleich­wer­tig ist. Die Gemein­de Hel­sin­gør ist daher ver­pflich­tet, dafür zu sor­gen, dass zusätz­li­che Maß­nah­men ergrif­fen wer­den, um das Schutz­ni­veau auf das erfor­der­li­che Niveau zu bringen.

Sol­che Mass­nah­men sol­len hier aber feh­len. Die Ver­schlüs­se­lung der Daten genü­ge nicht. Offen­bar war es Goog­le LLC mög­lich, gemäss Dar­stel­lung der Gemein­de selbst, auf Daten im Klar­text zuzu­grei­fen (obwohl der Schlüs­sel durch Goog­le EMEA ver­wal­tet wur­de, aber im Sup­port­fall war anschei­nend eine Ent­schlüs­se­lung erforderlich).