Die dänische Datenschutzaufsichtsbehörde, die Datatilsynet, hat sich in einem Entscheid vom 14. Juli 2022 zum Einsatz von Google-Produkten durch eine Gemeinde und insbesondere zur Übermittlung in die USA geäussert:
Hintergrund und Verbote
Hintergrund war die Verwendung von Chromebooks von Google und von Google Workspace durch dänische Gemeinden, in diesem Fall die Gemeinde Helsingør. Die dänische Behörde hatte der Gemeinde im September 2021 aufgegeben, in diesem Zusammenhang eine Risikoabschätzung durchzuführen, die je nach Ergebnis zu einer eigentlichen Datenschutzfolgenabschätzung führen sollte.
Die Gemeinde hatte im November 2021 eine entsprechende Bewertung vorgelegt, die das Risiko einer vertragswidrigen Verwendung von Personendaten z.B für Marketing- oder andere weitere Zwecke als niedrig einstufte.
Ebenfalls niedrig sei das Risiko einer Übermittlung in die USA. Vertragspartnerin der Gemeinde war Google Cloud EMEA Ltd. und Personendaten wurden nur im EWR gespeichert. Aus den Erwägungen der Behörde geht hervor, dass sich die Gemeinde dabei mutmasslich auf das TIA-Formular von David Rosenthal gestützt hat. Nicht ausgeschlossen war jedoch ein Remote Access für Supportzwecke durch Google LLC in den USA (wobei Google konzernintern die SCC einsetzt – siehe dazu unseren Beitrag zur Umsetzung der SCC).
Auf Basis dieser Abschätzung hat die Behörde nun folgende Verfügung getroffen:
- der Gemeinde wird verboten, mit Chromebooks und Google Workspace for Education Personendaten zu verarbeiten, bis diese Verarbeitungstätigkeit nicht in Einklang mit der DSGVO gebracht wurde;
- jede Übermittlung von Personendaten in die USA wird ausgesetzt, bis die Gemeinde nachweist, dass dabei die DSGVO eingehalten wird;
- die Gemeinde habe Nutzer und Rechte zu deaktivieren und übertragene Daten zu löschen, mit einer Umsetzungsfrist;
- ein Verstoss gegen diese Anordnungen kann mit Geldstrafe oder einer Freiheitsstrafe bis zu sechs Monaten geahndet werden (dies, weil das dänische Recht keine Bussen nach der DSGVO zulässt, sondern individuelle Bussen oder Freiheitsstrafen vorsieht; siehe ErwGr 151 der DSGVO und Art. 41 f. des dänischen Datenschutzgesetzes).
Interessanterweise hat die Behörde keine Busse erlassen, sondern diese nur für den Fall der Missachtung angedroht. Auch die italienischen, österreichischen und französischen Behörden haben bei ihren post-Schrems-Entscheidungen soweit ersichtlich keine Bussen verhängt – vielleicht ein Rest an Einsicht, dass diese Verbote der Wirklichkeit nur eingeschränkt Rechnung tragen.
Wesentliche Ergebnisse
Die Haltung der Behörde darf in allen Punkten als ausserordentlich streng bezeichnet werden. Das betrifft nicht nur das Thema Übermittlung in die USA, wo der europaweit abgestimmte Nullrisikoansatz verfolgt wird (s. unten), sonderen auch andere Punkte, etwa die Anforderungen an die Dokumentation von Risiken, an die Durchführung einer Datenschutz-Folgenabschätzung.
Auffallend ist, dass die Behörde zwar weitreichende Auflagen macht (so dürfe sich die Gemeinde etwa nicht einfach auf das vertragliche Verbot der Zweckentfremdung von Daten durch Google verlassen, erforderlich seien vielmehr auch TOMs – offenbar hält die Behörde Google nicht für vertragstreu), dies rechtlich aber kaum begründet. Sie begnügt sich im Wesentlichen auf Verweisungen auf Art. 5 Abs. 2 (Accountability) und auf die Blackbox von Art. 24 DSGVO, der die “Verantwortung des für die Verarbeitung Verantwortlichen” in allgemeiner und deshalb für jede Meinung anschlussfähiger Weise umschreibt.
Wie bei vielen anderen Entscheidungen der Datenschutzbehörden ergibt sich der Eindruck, eine Behörde verfolge einen Maximalansatz, den sie nicht dogmatisch legitimiert, sondern mit ihrem Sendungsbewusstsein. Das macht aus einer Rechtsanwendungs- eine politische Behörde. Greifen Gerichte nicht ein und stellen sie die Entscheidungen – vom Ergebnis unabhängig – nicht auf eine rechtlich tragfähige Grundlage, kann dies letztlich nur als Verfassungsbruch, nämlich Bruch der Gewaltenteilung, bezeichnet werden. Die verschiedentlich angemerkte Zurückhaltung des EDÖB ist aus dieser Optik wohltuend.
Feststellungen zum Umgang mit Risiken
- Nicht ausreichende Risikobewertung: Die Risikobewertung der Gemeinde Helsingør habe generell einige Szenarien vor allem auch technischer Natur nicht vollständig berücksichtigt.
- Keine ausreichende Mitigierung des Zweckentfremdungsrisikos: Mit Bezug auf das Risiko einer Zweckentfremdung der Daten durch Google war zwar zu beachten, dass eine Zweckentfremdung durch Google vertraglich ausgeschlossen war. Dennoch habe die Gemeinde nicht ausreichend dokumentiert, dass die Einhaltung der DSGVO durch Google als Auftragsbearbeiter sichergestellt war. Es reiche nicht, sich nur auf vertragliche Garantien zu verlassen (!). Die Gemeinde hätte vielmehr technische oder organisatorische Massnahmen zur Minderung des Zweckentfremdungsrisikos bewerten müssen.
- Keine Durchführung einer DSFA: Jedes Risiko, das sich stark auf die Rechte und Freiheiten der betroffenen Personen auswirkt, verlange eine Datenschutz-Folgenabschätzung, und zwar selbst im Falle relativ geringer Eintrittswahrscheinlichkeit.
Zur Übermittlung in die USA
Pflichten des Verantwortlichen
Ausgangspunkt war hier die Tatsache, dass Google die Personendaten der Gemeinde zwar nur im EWR-Raum speichert, aber gemäss Googles Liste Unterauftragsbearbeiter auch ausserhalb des EWR und u.a. auch in den USA einsetzen kann.
Hier nimmt die Behörde den Standpunkt ein, der Verantwortliche müsse eine Rechtsgrundlage für die Übermittlung in Drittländer vorlegen, und zwar auch eine Übermittlung für Supportleistungen.
Insbesondere seien beide, der Verantwortliche und der Auftragsbearbeiter, verpflichtet, für eine solche Rechtsgrundlage zu sorgen, auch wenn der Auftragsbearbeiter mit einem Unterauftragsbearbeiter in einem Drittstaad die SCC geschlossen hat. Nicht restlos klar wird hier allerdings, ob der Verantwortliche nur eine entsprechende Dokumentationspflicht hat oder aber eine originäre Pflicht, für die Rechtmässigkeit der Weiterübermittlung durch den Auftragsbearbeiter zu sorgen.
TIA: Einschätzung des Zugriffsrisikos
In ihrem TIA hatte die Gemeinde u.a. berücksichtigt, dass FISA 702 den Zugriff auf Daten nicht erlaube, wenn der Zugriff auf eine US Person zielt, d.h. eine Person (auch ein Unternehmen), die sich zu diesem Zeitpunkt in den USA befinde (§1881a(b)). Dies schliesse den Zugriff bei Google LLC aus, weil die relevanten Daten hier an Google LLC und damit eine US Person übermittelt werden.
Die Datenschutzbehörde schliesst sich diesem Argument nicht an. Diese Beschränkung gilt nach ihrer Auffassung nur dann, wenn der Datenzugriff das Ziel hat, Informationen über US-Personen zu erheben, nicht bei US-Unternehmen:
Nach Prüfung der rechtlichen Beschränkungen für die Sammlung von Informationen gemäß FISA 702 geht die Datenschutzbehörde geht davon aus, dass die Beschränkungen [in §1881a(b)] darauf abzielen, die Erhebung – sowohl direkt als auch indirekt – von Informationen über US-Personen, einschließlich Unternehmen, zu verhindern, wenn diese Personen das Ziel der Erhebung sind.
Nach Ansicht der dänischen Datenschutzbehörde gelten die Beschränkungen daher nicht, wenn und soweit dänische Bürger oder die Gemeinde Helsingør als Ganzes Gegenstand der Datenerhebung nach FISA 702 werden.
Darüber hinaus ist der EDSB der Ansicht, dass FISA 702 durch seinen Zweck eine Rechtsgrundlage für die US-Strafverfolgungsbehörden bietet, um Informationen über ausländische Personen zu erhalten, von denen man annehmen kann, dass sie sich außerhalb der USA aufhalten, um Informationen über ausländische Geheimdienste zu sammeln.
Vor diesem Hintergrund ist die Datenschutzbehörde der Ansicht, dass die an Google LLC übermittelten personenbezogenen Daten von den US-Strafverfolgungsbehörden erlangt werden könnten. Dabei hat der EDSB die Tatsache berücksichtigt, dass Google LLC als “Anbieter von elektronischen Kommunikationsdiensten” zu betrachten ist und dass die an Google LLC übermittelten personenbezogenen Daten die Schüler und Angestellten der Gemeinde, also dänische Staatsbürger, betreffen.
Anforderungen an das Schutzniveau im Zielland
Was das erforderliche Schutzniveu betrifft, so folge aus dem Schrems II-Urteil des EuGH, dass
in dem betreffenden Drittland ein Schutzniveau für personenbezogene Daten gewährleistet werden [muss], das im Wesentlichen dem Schutzniveau innerhalb der EU/des EWR entspricht.
Diese Vorgabe gilt nach Auffassung der Behörde offenbar nicht nur bei der Frage, ob ein Staat über ein angemessenes Schutzniveau verfügt, sondern auch für Übermittlungen auf Basis der Standardvertragsklauseln. Das begründet sie – nicht ausdrücklich, aber im Kontext – mit DSGVO 44:
Jedwede Übermittlung personenbezogener Daten […] ist nur zulässig, wenn der Verantwortliche und der Auftragsverarbeiter die in diesem Kapitel niedergelegten Bedingungen einhalten […]. Alle Bestimmungen dieses Kapitels sind anzuwenden, um sicherzustellen, dass das durch diese Verordnung gewährleistete Schutzniveau für natürliche Personen nicht untergraben wird.
Dies bedeute wiederum, dass
jede Übermittlung angemessenen Garantien unterliegen muss. Es reicht also nicht aus, dass fast alle Überweisungen oder ein bestimmter Prozentsatz der Überweisungen den Schutz der Verordnung genießen, es sei denn, dies ist in der Verordnung vorgesehen.
Hier ist wohl der Nullrisikoansatz nun auch der dänischen Aufsichtsbehörde zu verorten. Das ist eine ungewöhnliche Sichtweise – man kann sie vielleicht wie folgt paraphrasieren: Wenn ein Restrisiko eines Behördenzugriffs von 2.5% in Kauf genommen wird, geniessen statistisch 2.5% der Übermittlungen keinen ausreichenden Schutz, weshalb ein ausreichendes Schutzniveau insoweit fehlt. So sagt dies die Behörde zwar nicht, aber anders lässt sich hier Hinweis kaum verstehen, dass jede und nicht nur fast jede Übermittlung schutzbedürftig sei.
Fehlende Zusatzmassnahmen
Die Behörde kam daher zum Ergebnis, es seien zusätzlich zu den SCC ergänzende Schutzmassnahmen erforderlich, ungeachtet der Risikoeinschätzung durch die Gemeinde:
Daher ist der EDSB der Ansicht, dass die Übermittlung der fraglichen Daten in den Vereinigten Staaten Bedingungen unterliegt, die verhindern, dass der als Grundlage für die Übermittlung verwendete Standardvertrag ein angemessenes Mittel zur Gewährleistung eines Schutzniveaus darstellt, das dem in der EU/im EWR im Wesentlichen gleichwertig ist. Die Gemeinde Helsingør ist daher verpflichtet, dafür zu sorgen, dass zusätzliche Maßnahmen ergriffen werden, um das Schutzniveau auf das erforderliche Niveau zu bringen.
Solche Massnahmen sollen hier aber fehlen. Die Verschlüsselung der Daten genüge nicht. Offenbar war es Google LLC möglich, gemäss Darstellung der Gemeinde selbst, auf Daten im Klartext zuzugreifen (obwohl der Schlüssel durch Google EMEA verwaltet wurde, aber im Supportfall war anscheinend eine Entschlüsselung erforderlich).