Von Schrems II zu Google Analytics I…
Die Datenschutzbehörde Österreichs (DSB) hatte am 22. Dezember 2021 auf Beschwerde von NOYB entschieden, dass der Einsatz von Google Analytics gegen die DSGVO verstosse, weil dadurch Personendaten in die USA übermittelt werden – so die DSB –, dass die Standardvertragsklauseln hier keinen angemessenen Schutz bewirken und dass die von Google zum Schutz getroffenen Massnahmen nicht reichen.
Der Entscheid hat Bedeutung weit über Google Analytics hinaus, u.a. weil er davon ausgeht, dass eine der Personenbezug eines Datums keine Identifizierung verlangt, sondern nur ein Aussondern, eine Singularisierung; dazu haben wir berichtet. Ganz klar waren manche Aussagen indessen nicht, und man durfte leise hoffen, die DSB habe nicht wirklich die Singularisierung gemeint, und vielleicht sogar auf auf Überleben des “risikobasierten Ansatzes” bei der Frage, ob eine defizitäre ausländische Rechtsordnung einer Übermittlung ins Ausland entgegensteht.
… zu Google Analytics II
Dieser Hoffnung war nur kurzes Leben beschieden. Die DSB hat in Sachen Google Analytics nachgelegt. In einer weiteren Entscheidung vom 22. April 2022 (bei noyb abrufbar) in einem Parallelverfahren zu Google Analytics I hat sie die noch offenen Fragen beantwortet, und zwar im Sinne der grundrechtlichen Konzeption des Datenschutzes. noyb hat eine Medienmitteilung zum Entscheid veröffentlicht.
Ja, eine Singularisierung reicht (mindestens hier) aus
Zunächst sind eindeutige Google Analytics-Kennnummern für die DSB personenbezogen, weil es möglich ist, damit Website-Besucher zu unterscheiden. Was im Google Analytics I‑Entscheid nicht restlos klar war, ist es nun: Für die DSB reicht – zumindest im Onlinebereich – die Singularisierung:
Nach Auffassung der Datenschutzbehörde liegt ein Eingriff in das Grundrecht auf Datenschutz […] vor, wenn gewisse Stellen Maßnahmen setzen – hier die Zuordnung solcher Kennnummern – um Website-Besucher derart zu individualisieren. Ein Maßstab an die „Identifizierbarkeit“ dahingehend, dass es sofort möglich sein muss, solche Kennnummern auch mit einem bestimmten „Gesicht“ einer natürlichen Person – also insbesondere mit dem Namen des Beschwerdeführers – in Verbindung zu bringen, ist nicht geboten […].
Es ist sicherlich kein Zufall, dass die DSB ausdrücklich auf die englische Fassung der DSGVO verweist, auf die Wendung “singling out” (ErwGr 26). Sie wollte offenbar jeden Zweifel ausräumen, dass wirklich die Singularisierung gemeint ist.
Wie schon im Entscheid Google Analytics I hätte die DSB diese Frage an sich offenlassen können, auch wenn sie sie entschlossen beantwortet hat, weil im vorliegenden Fall eine Identifizierung im eigentlichen Sinne laut Sachverhaltsfeststellung möglich war.
Der “risk-based”-Ansatz gilt bei Datenübermittlungen nicht
Die DSB geht zunächst davon aus, dass die Standardvertragsklauseln eine Übermittlung in die USA für sich genommen nicht stützen, weil die Schrems II-Rechtsprechung einschlägig ist (da Google als “Electronic Communications Service Provider” i.S.d. des US-Rechts tätig ist). Erforderlich wären daher “zusätzliche Massnahmen” i.S.d. des Schrems II-Entscheids und der einschlägigen Leitlinien des EDSA.
Die DSB fragt hier nicht nach der Wahrscheinlichkeit, dass problematisches US-Recht tatsächlich zur Anwendung kommt. Die Tatsache, dass lokale Behörden durch die Standardvertragsklauseln nicht gebunden sind und von problematischen Zugriffsrechten Gebrauch machen können, genügt. Dadurch lehnt die DSB dem sog. “risikobasierten Ansatz” ab. Noch deutlicher wird dies bei der Prüfung der Zusatzmassnahmen. Vorliegend seien keine Massnahmen ersichtlich, die
Rechtsschutzlücken – also die Zugriffs- und Überwachungsmöglichkeiten von US-Nachrichtendiensten – schließen.
So war bspw. nicht ersichtlich,
inwiefern der Schutz der Kommunikation zwischen Google-Diensten, der Schutz von Daten im Transit zwischen Rechenzentren, der Schutz der Kommunikation zwischen Nutzern und Websites oder eine „On-Site-Security“ die Zugriffsmöglichkeiten von US-Nachrichtendiensten auf der Grundlage des US-Rechts tatsächlich verhindern oder einschränken.
Und weiter:
Solange [Google] sohin selbst die Möglichkeit hat, auf Daten im Klartext zuzugreifen, können die ins Treffen geführten technischen Maßnahmen nicht als effektiv im Sinne der obigen Überlegungen betrachtet werden.
Für die DSB gilt damit der “risikobasierte Ansatz” bei der Übermittlung in Drittstaaten nicht. Rechtsschutzlücken im lokalen Recht dürfen demnach nicht hingenommen werden. Es genügt nicht, dass eine Anwendung solcher Lücken ausreichend unwahrscheinlich oder das durch sie für die betroffenen Personen bewirkte Risiko ausreichend niedrig ist.
Weitere Punkte
Erwähnung verdient, dass die Sprache einer Website nach der DSB keine Angebotsausrichtung in allen Staaten begründe, in denen diese Sprache gesprochen wird. Diese Frage spielte eine Rolle bei der Prüfung der Zuständigkeit der DSB:
Die theoretische Möglichkeit, dass deutschsprachige Personen aus einem anderen Mitgliedstaat als Österreich auf www.___at zugreifen können, vermag den Tatbestand „Auswirkungen auf betroffene Personen in mehr als einem Mitgliedstaat“ gemäß Art. 4 Z 23 lit. b DSGVO nicht zu begründen.
Nach dieser Überlegung kann auch bspw. eine englischsprachige Fassung einer unter einer .ch-Domain abrufbaren Website keine Anwendbarkeit der DSGVO begründen. Das ist richtig; daraus kann höchstens eine allgemein-internationale Ausrichtung geschlossen werden, nicht eine solche auf einen EWR-Staat.
Anmerkungen
Überraschend ist die Entscheidung der DSB nicht. Sie geht nicht nur auf “Google Analytics I” zurück. Die damalige Art. 29-Datenschutzgruppe, der heutige EDSA, hat 2014 zum risikobasierten Ansatz ausgeführt:
It is important to note that – even with the adoption of a risk-based approach – there is no question of the rights of individuals being weakened in respect of their personal data. Those rights must be just as strong even if the processing in question is relatively ‘low risk’. Rather, the scalability of legal obligations based on risk addresses compliance mechanisms. This means that a data controller whose processing is relatively low risk may not have to do as much to comply with its legal obligations as a data controller whose processing is high-risk.
[…]1/ Protection of personal data is a fundamental right […].
2/ Rights granted to the data subject by EU law should be respected regardless of the level of the risks which the latter incur […].
[…] 4/ Fundamental principles applicable to the controllers (i.e. legitimacy, data minimization, purpose limitation, transparency, data integrity, data accuracy) should remain the same, whatever the processing and the risks for the data subjects. […]
Das bedeutet nicht, dass die DSGVO keinen risikobasierten Ansatz kennt. Er meint indessen nur, dass organisatorische Compliancemassnahmen an den Risiken für Betroffene auszurichten sind, was die Artikel-29-Datenschutzgruppe wie folgt ausdrückt:
3/ There can be different levels of accountability obligations depending on the risk posed by
the processing in question. However controllers should always be accountable for compliance
with data protection obligations […] whatever […] the risks for data subjects are.
[…] 5/ Implementation of controllers’ obligations through accountability tools and measures (e.g. impact assessment, data protection by design, data breach notification, security measures, certifications) can and should be varied according to the type of processing and the privacy risks for data subjects. There should be recognition that not every accountability obligation is necessary in every case – for example where processing is small-scale, simple and low-risk.
Compliance-Massnahmen darf man also an den Risiken ausrichten. Bei einer konkreten Datenbearbeitung muss gleichwohl sichergestellt werden, dass eine Verletzung unterbleibt. Anderes formuliert: Wenn eine Verletzung erfolgt, kann das Unternehmen nicht einwenden, es habe aber Compliance-Massnahmen getroffen. Eine eingetretene Verletzung wird also nicht dadurch geheilt, dass risikoorientierte Compliance-Massnahmen getroffen wurden.
Das ist konsistent, weil der DSGVO ein flexibles Rechtfertigungskonzept weitgehend fehlt; entsprechende Überlegungen können nur in Erlaubnistatbestände einfliessen. Im Ergebnis gilt ein risikobasierter Ansatz also
- bei der abstrakten Prüfung der Compliance eines Unternehmens,
- nicht aber bei der konkreten Prüfung einer Verletzung.
Im Zusammenhang mit der Bekanntgabe ins Ausland bedeutet dies, dass für die Tatbestandsebene – die unzulässige Übermittlung – zu prüfen ist, ob jede Berührung mit problematischem Recht zu vermeiden ist oder nur ein erhöhtes entsprechendes Risiko. Nicht massgebend ist demgegenüber, ob das Unternehmen prospektiv Compliance-Massnahmen getroffen hat, bspw. einen angemessenen Prozess für die Risikoeinschätzungen bei Auslandsübermittlungen (“TIAs”).
Die DSB geht davon aus, dass der Tatbestand bei der Übermittlung kein Restrisiko erträgt, dass problematisches Recht zur Anwendung kommen könnte, weshalb sie zu keinem anderen Ergebnis kommen konnte. Diese Grundannahme kann man aus guten Gründen ablehnen. Man sollte aber besser nicht vom risikobasierten Ansatz sprechen, weil es um eine konkrete Handlung und nicht um eine Compliance-Massnahme geht. Richtiger wäre der Ausdruck des individuell-konkret angemessenen Schutzniveaus, das mit Bezug auf eine einzelne Übermittlung zu prüfen ist und ggf. durch die Standardklauseln vermittelt wird; dies in Abgrenzung zum generell-abstrakt angemessenen Niveau bei einer Angemessenheitsentscheidung. Diese Unterscheidung würde deutlicher machen, dass es nicht so sehr darum geht, ein Restrisiko aus reinem Pragmatismus hinzunehmen, sondern um die konkrete sehr berechtigte Frage, ob der Exporter ernsthaft einen Grund zur Befürchtung hat, bestimmte, konkret übermittelte Daten seien der Wirkung problematischen Rechts ausgesetzt.
Compliance-Massnahmen bleiben allerdings auch bei einer Verletzung bedeutsam, aber nicht auf der Ebene des Verletzungstatbestands, sondern auf jener der Rechtsfolgen. Hier können sie sanktionsmindernd wirken. So versteht auch etwa das Kartellrecht die “Compliance Defense”, was man bspw. am erst per Januar 2021 novellierten deutschen Kartellgesetz (Gesetz gegen Wettbewerbsbeschränkungen, GWB) sehen kann: Bei der Sanktionsbemessung sind u.a. “vor der Zuwiderhandlung getroffene, angemessene und wirksame Vorkehrungen zur Vermeidung und Aufdeckung von Zuwiderhandlungen” beachtlich (in der Schweiz hat man auf eine entsprechende Regelung bewusst verzichtet).
In der Schweiz ist ein weiterer Punkt zu beachten. Weil die Konzeption des Datenschutzrechts in erster Linie persönlichkeitsrechtlich ist, ist nur eine widerrechtliche Datenschutzverletzung verboten.
Im allgemeinen Persönlichkeitsrecht zeigt sich dies in einer doppelten Prüfung. Zum einen muss das Verhalten die Schwelle des Sozialadäquaten überschreiten, also eine bestimmte Schwere erreichen, und zum anderen kann eine Verletzung gerechtfertigt werden. Das Datenschutzrecht schafft insofern Vorfeldschutz, als es die erste Prüfschwelle durch die Fiktion einer Persönlichkeitsverletzung bei einer Verletzung eines Bearbeitungsgrundsatzes ersetzt. Es ist insofern strenger als das allgemeine Persönlichkeitsrechts.
Es bleibt einer Rechtfertigung gegenüber aber offen. Die Verletzung eines subjektiven Datenschutzrechts ist entsprechend nicht widerrechtlich, wenn sie etwa durch überwiegende Interessen gerechtfertigt ist. Bei der Interessenabwägung sind aber alle Umstände zu berücksichtigen und zu gewichten – dazu gehört der Aufwand für die Vermeidung der Verletzung ebenso eine Rolle wie ihre Schwere. Insoweit und zumindest in diesem Rahmen kennt das schweizerische Recht deshalb durchaus einen risikobasierten Ansatz, und zwar auch auf der Tatbestands- bzw. Rechtswidrigkeitsebene.