Web-Analyse und transatlantischer Datentransfer

Das Aus für das Privacy Shield-Abkommen durch das Schrems II-Urteil des obersten Europäischen Gerichts stellt viele Unternehmen vor enorme Herausforderungen, da US-Tools in vielen Marketing-Tech-Bereichen dominieren. 

Das Urteil hat nicht nur Auswirkung auf zukünftigen illegalen Datentransfer, sondern auch auf alle historischen Daten, die auf Basis dieser Rechtsprechung illegal in die USA oder in ein anderes unsicheres EU-Drittland geflossen sind. Auch diese müssen gelöscht werden, wie in Randnr. 143 erläutert:

„Teilt der Empfänger der in ein Drittland erfolgenden Übermittlung personenbezogener Daten dem Verantwortlichen gemäß Klausel 5 Buchst. b des Anhangs des SDK-Beschlusses mit, dass das Recht des betreffenden Drittlands es ihm nicht erlaube, die Standarddatenschutzklauseln in diesem Anhang einzuhalten, folgt aus dessen Klausel 12, dass die bereits in dieses Drittland übermittelten Daten und deren Kopien – sämtlich – zurückgeschickt oder zerstört werden müssen. In jedem Fall sieht Klausel 6 des Anhangs eine Sanktion für den Verstoß gegen die Standarddatenschutzklauseln vor, indem sie der betroffenen Person einen Schadensersatzanspruch verschafft.“

Illegale Datentransfers können Bußgelder und sogar Schadensersatzforderungen von Betroffenen nach sich ziehen. Unternehmen sind daher gut beraten, ihre Tool-Landschaft auf den Prüfstand zu stellen und zu klären, wo nunmehr illegale Datentransfers stattfinden. Um dies zu beurteilen, ist es wichtig zu verstehen, unter welchen Umständen transatlantische Datentransfers aufrechterhalten bleiben können und ob US-Martech weiterhin eingesetzt werden darf. 

Was ist mit US-Diensten, die Server in der EU betreiben?

Wenn ein Tool-Anbieter von einer US-Muttergesellschaft oder einem US-Aktionär kontrolliert wird, oder Subunternehmer entsprechende Verbindungen zu den USA haben, kann das US-Recht indirekt gegen sie durchsetzbar gemacht werden. Der Serverstandort ist somit nicht ausreichend, um die Wahrung der Rechte von EU-Bürgern sicherzustellen. Denn laut Patriot Act, Foreign Intelligence Surveillance Act (FISA) und Clarifying Lawful Overseas Use of Data Act (Cloud Act) haben US-Behörden Zugang zu absolut allen Daten von US-Unternehmen. Auch wenn diese Daten in der EU aufbewahrt werden.

Aus diesem Grund ist zum Beispiel der Einsatz von Web-Analyse-Lösungen von Adobe oder mapp (ehemals Webtrekk) innerhalb der EU extrem problematisch. 

Sind Standardvertragsklauseln ein Ausweg?

Nach Artikel 45 der DSGVO können EU-Standardvertragsklauseln grundsätzlich als geeignete Garantien für den Schutz personenbezogener Daten bei der Übermittlung an ein EU-Drittland gelten. Allerdings knüpft die Europäische Datenschutzaufsicht (EDPB)  zusätzliche datenschutz-relevante Bedingungen an die Standardvertragsklauseln – selbst wenn es sich um pseudonymisierte Daten handelt.In ihren „Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data (Adopted on 10 November 2020)“ heißt es:

„A data exporter first pseudonymises data it holds, and then transfers it to a third country for analysis, e.g., for purposes of research.

If […]

3. disclosure or unauthorised use of that additional information is preventedby appropriatetechnical and organisational safeguards, it is ensured that the data exporter retains sole control of the algorithm or repository that enables re-identification using the additional information, and

4.the controller has established by means of a thorough analysis of the data in question taking into account any information that the public authorities of the recipient country may possess that the pseudonymised personal data cannot be attributed to an identified or identifiable natural person even if cross-referenced with such information,

then the EDPB considers that the pseudonymisation performed provides an effective supplementary measure.“

Die Daten müssen demnach verschlüsselt werden, wobei nur der Datenexporteur den Schlüssel hat, und eine Re-Identifikation muss technisch ausgeschlossen werden. Beide Bedingungen lassen sich bei Cloud-Diensten wie Google Tag Manager, Google Analytics, Google DoubleClick, Facebook Pixel usw. kaum erfüllen, da der Website-Betreiber die Verschlüsselung oder Pseudonymisierung nicht selbstständig steuern kann. Zudem ist eine Personenzuordnung durch die Verknüpfung zu Google- oder Facebook-Konten nicht auszuschließen. 

Standardvertragsklauseln scheiden somit für US Web-Analyse-Lösungen, Conversion- und Remarketing-Pixel aus. 

Ist Datentransfer mit Einwilligung die Lösung?

Laut Artikel 49 DSGVO Abs. 1 a) dürfen Daten in die USA unter der Bedingung transferiert werden, dass „die betroffene Person in die vorgeschlagene Datenübermittlung ausdrücklich eingewilligt [hat], nachdem sie über die für sie bestehenden möglichen Risiken derartiger Datenübermittlungen ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien unterrichtet wurde“. 

Allerdings wird dies im selben Artikel dahingehend eingeschränkt, dass die Einwilligung nur dann den Datentransfer rechtfertigen kann, „[…] wenn die Übermittlung nicht wiederholt erfolgt, nur eine begrenzte Zahl von betroffenen Personen betrifft […]“. Gegen beide Kriterien wird zum Beispiel beim Einsatz von Lösungen wie Google Analytics verstoßen: Denn die Übermittlung findet regelmäßig auf Dauer ausgelegt statt. Und die Anzahl der betroffenen Personen ist nicht begrenzt, da jeder Besucher der Website betroffen ist, sofern er zustimmt und keine Opt-Out-Möglichkeit nutzt. 

Fazit

Einwilligungen ebenso wie Standardvertragsklauseln sind ungeeignet, um einen Datentransfer in die USA oder andere unsichere EU-Drittländer durch Einsatz von Google Analytics & Co. zu rechtfertigen. 

So hart es klingen mag: Wer in der EU legale Web-Analyse bzw. rechtskonformes Conversion Tracking betreiben will, kann dies ausschließlich mit Europäischen Anbietern, die ihr Rechenzentrum in der EU betreiben, tun.

Aber – und das ist die gute Nachricht – der Wechsel ist alles andere als schwer. 

Nach oben scrollen