DSB Öster­reich: Goog­le Ana­ly­tics II – Sin­gu­la­ri­sie­rung reicht; kei­ne indi­vi­du­ell­kon­kre­te Bestim­mung der Angemessenheit

Von Schrems II zu Goog­le Ana­ly­tics I…

Die Daten­schutz­be­hör­de Öster­reichs (DSB) hat­te am 22. Dezem­ber 2021 auf Beschwer­de von NOYB ent­schie­den, dass der Ein­satz von Goog­le Ana­ly­tics gegen die DSGVO ver­sto­sse, weil dadurch Per­so­nen­da­ten in die USA über­mit­telt wer­den – so die DSB –, dass die Stan­dard­ver­trags­klau­seln hier kei­nen ange­mes­se­nen Schutz bewir­ken und dass die von Goog­le zum Schutz getrof­fe­nen Mass­nah­men nicht reichen.

Der Ent­scheid hat Bedeu­tung weit über Goog­le Ana­ly­tics hin­aus, u.a. weil er davon aus­geht, dass eine der Per­so­nen­be­zug eines Datums kei­ne Iden­ti­fi­zie­rung ver­langt, son­dern nur ein Aus­son­dern, eine Sin­gu­la­ri­sie­rung; dazu haben wir berich­tet. Ganz klar waren man­che Aus­sa­gen indes­sen nicht, und man durf­te lei­se hof­fen, die DSB habe nicht wirk­lich die Sin­gu­la­ri­sie­rung gemeint, und viel­leicht sogar auf auf Über­le­ben des “risi­ko­ba­sier­ten Ansat­zes” bei der Fra­ge, ob eine defi­zi­tä­re aus­län­di­sche Rechts­ord­nung einer Über­mitt­lung ins Aus­land entgegensteht.

… zu Goog­le Ana­ly­tics II

Die­ser Hoff­nung war nur kur­zes Leben beschie­den. Die DSB hat in Sachen Goog­le Ana­ly­tics nach­ge­legt. In einer wei­te­ren Ent­schei­dung vom 22. April 2022 (bei noyb abruf­bar) in einem Par­al­lel­ver­fah­ren zu Goog­le Ana­ly­tics I hat sie die noch offe­nen Fra­gen beant­wor­tet, und zwar im Sin­ne der grund­recht­li­chen Kon­zep­ti­on des Daten­schut­zes. noyb hat eine Medi­en­mit­tei­lung zum Ent­scheid ver­öf­fent­licht.

Ja, eine Sin­gu­la­ri­sie­rung reicht (min­de­stens hier) aus

Zunächst sind ein­deu­ti­ge Goog­le Ana­ly­tics-Kenn­num­mern für die DSB per­so­nen­be­zo­gen, weil es mög­lich ist, damit Web­site-Besu­cher zu unter­schei­den. Was im Goog­le Ana­ly­tics I‑Entscheid nicht rest­los klar war, ist es nun: Für die DSB reicht – zumin­dest im Online­be­reich – die Sin­gu­la­ri­sie­rung:

Nach Auf­fas­sung der Daten­schutz­be­hör­de liegt ein Ein­griff in das Grund­recht auf Daten­schutz […] vor, wenn gewis­se Stel­len Maß­nah­men set­zen – hier die Zuord­nung sol­cher Kenn­num­mern – um Web­site-Besu­cher der­art zu indi­vi­dua­li­sie­ren. Ein Maß­stab an die „Iden­ti­fi­zier­bar­keit“ dahin­ge­hend, dass es sofort mög­lich sein muss, sol­che Kenn­num­mern auch mit einem bestimm­ten „Gesicht“ einer natür­li­chen Per­son – also ins­be­son­de­re mit dem Namen des Beschwer­de­füh­rers – in Ver­bin­dung zu brin­gen, ist nicht gebo­ten  […].

Es ist sicher­lich kein Zufall, dass die DSB aus­drück­lich auf die eng­li­sche Fas­sung der DSGVO ver­weist, auf die Wen­dung “sing­ling out” (Erw­Gr 26). Sie woll­te offen­bar jeden Zwei­fel aus­räu­men, dass wirk­lich die Sin­gu­la­ri­sie­rung gemeint ist.

Wie schon im Ent­scheid Goog­le Ana­ly­tics I hät­te die DSB die­se Fra­ge an sich offen­las­sen kön­nen, auch wenn sie sie ent­schlos­sen beant­wor­tet hat, weil im vor­lie­gen­den Fall eine Iden­ti­fi­zie­rung im eigent­li­chen Sin­ne laut Sach­ver­halts­fest­stel­lung mög­lich war.

Der “risk-based”-Ansatz gilt bei Daten­über­mitt­lun­gen nicht

Die DSB geht zunächst davon aus, dass die Stan­dard­ver­trags­klau­seln eine Über­mitt­lung in die USA für sich genom­men nicht stüt­zen, weil die Schrems II-Recht­spre­chung ein­schlä­gig ist (da Goog­le als “Elec­tro­nic Com­mu­ni­ca­ti­ons Ser­vice Pro­vi­der” i.S.d. des US-Rechts tätig ist). Erfor­der­lich wären daher “zusätz­li­che Mass­nah­men” i.S.d. des Schrems II-Ent­scheids und der ein­schlä­gi­gen Leit­li­ni­en des EDSA.

Die DSB fragt hier nicht nach der Wahr­schein­lich­keit, dass pro­ble­ma­ti­sches US-Recht tat­säch­lich zur Anwen­dung kommt. Die Tat­sa­che, dass loka­le Behör­den durch die Stan­dard­ver­trags­klau­seln nicht gebun­den sind und von pro­ble­ma­ti­schen Zugriffs­rech­ten Gebrauch machen kön­nen, genügt. Dadurch lehnt die DSB dem sog. “risi­ko­ba­sier­ten Ansatz” ab. Noch deut­li­cher wird dies bei der Prü­fung der Zusatz­mass­nah­men. Vor­lie­gend sei­en kei­ne Mass­nah­men ersicht­lich, die

Rechts­schutz­lücken – also die Zugriffs- und Über­wa­chungs­mög­lich­kei­ten von US-Nach­rich­ten­dien­sten – schlie­ßen.

So war bspw. nicht ersichtlich,

inwie­fern der Schutz der Kom­mu­ni­ka­ti­on zwi­schen Goog­le-Dien­sten, der Schutz von Daten im Tran­sit zwi­schen Rechen­zen­tren, der Schutz der Kom­mu­ni­ka­ti­on zwi­schen Nut­zern und Web­sites oder eine „On-Site-Secu­ri­ty“ die Zugriffs­mög­lich­kei­ten von US-Nach­rich­ten­dien­sten auf der Grund­la­ge des US-Rechts tat­säch­lich ver­hin­dern oder ein­schrän­ken.

Und wei­ter:

Solan­ge [Goog­le] sohin selbst die Mög­lich­keit hat, auf Daten im Klar­text zuzu­grei­fen, kön­nen die ins Tref­fen geführ­ten tech­ni­schen Maß­nah­men nicht als effek­tiv im Sin­ne der obi­gen Über­le­gun­gen betrach­tet werden.

Für die DSB gilt damit der “risi­ko­ba­sier­te Ansatz” bei der Über­mitt­lung in Dritt­staa­ten nicht. Rechts­schutz­lücken im loka­len Recht dür­fen dem­nach nicht hin­ge­nom­men wer­den. Es genügt nicht, dass eine Anwen­dung sol­cher Lücken aus­rei­chend unwahr­schein­lich oder das durch sie für die betrof­fe­nen Per­so­nen bewirk­te Risi­ko aus­rei­chend nied­rig ist.

Wei­te­re Punkte

Erwäh­nung ver­dient, dass die Spra­che einer Web­site nach der DSB kei­ne Ange­bots­aus­rich­tung in allen Staa­ten begrün­de, in denen die­se Spra­che gespro­chen wird. Die­se Fra­ge spiel­te eine Rol­le bei der Prü­fung der Zustän­dig­keit der DSB:

Die theo­re­ti­sche Mög­lich­keit, dass deutsch­spra­chi­ge Per­so­nen aus einem ande­ren Mit­glied­staat als Öster­reich auf www.___at zugrei­fen kön­nen, ver­mag den Tat­be­stand „Aus­wir­kun­gen auf betrof­fe­ne Per­so­nen in mehr als einem Mit­glied­staat“ gemäß Art. 4 Z 23 lit. b DSGVO nicht zu begründen.

Nach die­ser Über­le­gung kann auch bspw. eine eng­lisch­spra­chi­ge Fas­sung einer unter einer .ch-Domain abruf­ba­ren Web­site kei­ne Anwend­bar­keit der DSGVO begrün­den. Das ist rich­tig; dar­aus kann höch­stens eine all­ge­mein-inter­na­tio­na­le Aus­rich­tung geschlos­sen wer­den, nicht eine sol­che auf einen EWR-Staat.

Anmer­kun­gen

Über­ra­schend ist die Ent­schei­dung der DSB nicht. Sie geht nicht nur auf “Goog­le Ana­ly­tics I” zurück. Die dama­li­ge Art. 29-Daten­schutz­grup­pe, der heu­ti­ge EDSA, hat 2014 zum risi­ko­ba­sier­ten Ansatz aus­ge­führt:

It is important to note that – even with the adop­ti­on of a risk-based approach – the­re is no que­sti­on of the rights of indi­vi­du­als being wea­ke­ned in respect of their per­so­nal data. Tho­se rights must be just as strong even if the pro­ces­sing in que­sti­on is rela­tively ‘low risk’. Rather, the sca­la­bi­li­ty of legal obli­ga­ti­ons based on risk addres­ses com­pli­an­ce mecha­nisms. This means that a data con­trol­ler who­se pro­ces­sing is rela­tively low risk may not have to do as much to com­ply with its legal obli­ga­ti­ons as a data con­trol­ler who­se pro­ces­sing is high-risk.

[…]

1/ Pro­tec­tion of per­so­nal data is a fun­da­men­tal right […].
2/ Rights gran­ted to the data sub­ject by EU law should be respec­ted regard­less of the level of the risks which the lat­ter incur […].
[…] 4/ Fun­da­men­tal princi­ples app­li­ca­ble to the con­trol­lers (i.e. legi­ti­ma­cy, data mini­miz­a­ti­on, pur­po­se limi­ta­ti­on, trans­pa­ren­cy, data inte­gri­ty, data accu­ra­cy) should remain the same, wha­te­ver the pro­ces­sing and the risks for the data subjects. […]

Das bedeu­tet nicht, dass die DSGVO kei­nen risi­ko­ba­sier­ten Ansatz kennt. Er meint indes­sen nur, dass orga­ni­sa­to­ri­sche Com­pli­an­ce­mass­nah­men an den Risi­ken für Betrof­fe­ne aus­zu­rich­ten sind, was die Arti­kel-29-Daten­schutz­grup­pe wie folgt ausdrückt:

3/ The­re can be dif­fe­rent levels of accoun­ta­bi­li­ty obli­ga­ti­ons depen­ding on the risk posed by
the pro­ces­sing in que­sti­on. Howe­ver con­trol­lers should always be accoun­ta­ble for compliance
with data pro­tec­tion obli­ga­ti­ons […] wha­te­ver […] the risks for data sub­jects are.
[…] 5/ Imple­men­ta­ti­on of con­trol­lers’ obli­ga­ti­ons through accoun­ta­bi­li­ty tools and mea­su­res (e.g. impact assess­ment, data pro­tec­tion by design, data bre­ach noti­fi­ca­ti­on, secu­ri­ty mea­su­res, cer­ti­fi­ca­ti­ons) can and should be varied accord­ing to the type of pro­ces­sing and the pri­va­cy risks for data sub­jects. The­re should be reco­gni­ti­on that not every accoun­ta­bi­li­ty obli­ga­ti­on is necessa­ry in every case – for examp­le whe­re pro­ces­sing is small-sca­le, simp­le and low-risk.

Com­pli­an­ce-Mass­nah­men darf man also an den Risi­ken aus­rich­ten. Bei einer kon­kre­ten Daten­be­ar­bei­tung muss gleich­wohl sicher­ge­stellt wer­den, dass eine Ver­let­zung unter­bleibt. Ande­res for­mu­liert: Wenn eine Ver­let­zung erfolgt, kann das Unter­neh­men nicht ein­wen­den, es habe aber Com­pli­an­ce-Mass­nah­men getrof­fen. Eine ein­ge­tre­te­ne Ver­let­zung wird also nicht dadurch geheilt, dass risi­ko­ori­en­tier­te Com­pli­an­ce-Mass­nah­men getrof­fen wur­den.

Das ist kon­si­stent, weil der DSGVO ein fle­xi­bles Recht­fer­ti­gungs­kon­zept weit­ge­hend fehlt; ent­spre­chen­de Über­le­gun­gen kön­nen nur in Erlaub­nis­tat­be­stän­de ein­flie­ssen. Im Ergeb­nis gilt ein risi­ko­ba­sier­ter Ansatz also

  • bei der abstrak­ten Prü­fung der Com­pli­an­ce eines Unternehmens,
  • nicht aber bei der kon­kre­ten Prü­fung einer Verletzung.

Im Zusam­men­hang mit der Bekannt­ga­be ins Aus­land bedeu­tet dies, dass für die Tat­be­stands­ebe­ne – die unzu­läs­si­ge Über­mitt­lung – zu prü­fen ist, ob jede Berüh­rung mit pro­ble­ma­ti­schem Recht zu ver­mei­den ist oder nur ein erhöh­tes ent­spre­chen­des Risi­ko. Nicht mass­ge­bend ist dem­ge­gen­über, ob das Unter­neh­men pro­spek­tiv Com­pli­an­ce-Mass­nah­men getrof­fen hat, bspw. einen ange­mes­se­nen Pro­zess für die Risi­ko­ein­schät­zun­gen bei Aus­lands­über­mitt­lun­gen (“TIAs”).

Die DSB geht davon aus, dass der Tat­be­stand bei der Über­mitt­lung kein Rest­ri­si­ko erträgt, dass pro­ble­ma­ti­sches Recht zur Anwen­dung kom­men könn­te, wes­halb sie zu kei­nem ande­ren Ergeb­nis kom­men konn­te. Die­se Grund­an­nah­me kann man aus guten Grün­den ableh­nen. Man soll­te aber bes­ser nicht vom risi­ko­ba­sier­ten Ansatz spre­chen, weil es um eine kon­kre­te Hand­lung und nicht um eine Com­pli­an­ce-Mass­nah­me geht. Rich­ti­ger wäre der Aus­druck des indi­vi­du­ell-kon­kret ange­mes­se­nen Schutz­ni­veaus, das mit Bezug auf eine ein­zel­ne Über­mitt­lung zu prü­fen ist und ggf. durch die Stan­dard­klau­seln ver­mit­telt wird; dies in Abgren­zung zum gene­rell-abstrakt ange­mes­se­nen Niveau bei einer Ange­mes­sen­heits­ent­schei­dung. Die­se Unter­schei­dung wür­de deut­li­cher machen, dass es nicht so sehr dar­um geht, ein Rest­ri­si­ko aus rei­nem Prag­ma­tis­mus hin­zu­neh­men, son­dern um die kon­kre­te sehr berech­tig­te Fra­ge, ob der Exporter ernst­haft einen Grund zur Befürch­tung hat, bestimm­te, kon­kret über­mit­tel­te Daten sei­en der Wir­kung pro­ble­ma­ti­schen Rechts ausgesetzt.

Com­pli­an­ce-Mass­nah­men blei­ben aller­dings auch bei einer Ver­let­zung bedeut­sam, aber nicht auf der Ebe­ne des Ver­let­zungs­tat­be­stands, son­dern auf jener der Rechts­fol­gen. Hier kön­nen sie sank­ti­ons­min­dernd wir­ken. So ver­steht auch etwa das Kar­tell­recht die “Com­pli­an­ce Defen­se”, was man bspw. am erst per Janu­ar 2021 novel­lier­ten deut­schen Kar­tell­ge­setz (Gesetz gegen Wett­be­werbs­be­schrän­kun­gen, GWB) sehen kann: Bei der Sank­ti­ons­be­mes­sung sind u.a. “vor der Zuwi­der­hand­lung getrof­fe­ne, ange­mes­se­ne und wirk­sa­me Vor­keh­run­gen zur Ver­mei­dung und Auf­deckung von Zuwi­der­hand­lun­gen” beacht­lich (in der Schweiz hat man auf eine ent­spre­chen­de Rege­lung bewusst verzichtet).

In der Schweiz ist ein wei­te­rer Punkt zu beach­ten. Weil die Kon­zep­ti­on des Daten­schutz­rechts in erster Linie per­sön­lich­keits­recht­lich ist, ist nur eine wider­recht­li­che Daten­schutz­ver­let­zung verboten.

Im all­ge­mei­nen Per­sön­lich­keits­recht zeigt sich dies in einer dop­pel­ten Prü­fung. Zum einen muss das Ver­hal­ten die Schwel­le des Sozi­al­ad­äqua­ten über­schrei­ten, also eine bestimm­te Schwe­re errei­chen, und zum ande­ren kann eine Ver­let­zung gerecht­fer­tigt wer­den. Das Daten­schutz­recht schafft inso­fern Vor­feld­schutz, als es die erste Prüf­schwel­le durch die Fik­ti­on einer Per­sön­lich­keits­ver­let­zung bei einer Ver­let­zung eines Bear­bei­tungs­grund­sat­zes ersetzt. Es ist inso­fern stren­ger als das all­ge­mei­ne Persönlichkeitsrechts.

Es bleibt einer Recht­fer­ti­gung gegen­über aber offen. Die Ver­let­zung eines sub­jek­ti­ven Daten­schutz­rechts ist ent­spre­chend nicht wider­recht­lich, wenn sie etwa durch über­wie­gen­de Inter­es­sen gerecht­fer­tigt ist. Bei der Inter­es­sen­ab­wä­gung sind aber alle Umstän­de zu berück­sich­ti­gen und zu gewich­ten – dazu gehört der Auf­wand für die Ver­mei­dung der Ver­let­zung eben­so eine Rol­le wie ihre Schwe­re. Inso­weit und zumin­dest in die­sem Rah­men kennt das schwei­ze­ri­sche Recht des­halb durch­aus einen risi­ko­ba­sier­ten Ansatz, und zwar auch auf der Tat­be­stands- bzw. Rechtswidrigkeitsebene.