Risikobasierter Ansatz für Datenübermittlung in Drittländer?
Der risikobasierte Ansatz ist aus der DIN EN ISO 9001 bekannt. Die Norm definiert Risiko als die „Auswirkung von Ungewissheiten“ auf ein erwartetes Ergebnis. In diesem Zusammenhang soll der risikobasierte Ansatz klären, welche Risiken unternehmerische Entscheidungen bergen und wie Unternehmen diese Risiken minimieren können.
Unternehmen wollten risikobasierten Ansatz nutzen
Einige große Unternehmen wollten diesen risikobasierten Ansatz auch für die Übermittlung personenbezogener Daten aus der EU in die USA anwenden.
Die meisten Datenübertragung seien als „risikoarm“ einzustufen, so dass die sogenannten Standardvertragsklauseln ausreichend seien. Zusätzliche Sicherheitsvorkehrungen brauche man nur bei Datenübermittlungen, die ein „erhebliches Risiko für die Rechte und Freiheiten der betroffenen Person“ bergen.
DSGVO kennt keinen risikobasierten Ansatz
Dieser Sichtweise hat die österreichische Datenschutzbehörde DSB nun eine ganz klare Absage erteilt. „Der DSB stellte (…) fest, dass diese Ansicht falsch ist: Die DSGVO kennt keinen risikobasierten Ansatz für Datenübermittlungen in unsichere Drittländer wie die USA“, teilt der Datenschutzverein none of your business (noyb) in einem Update mit.
Noyb freut sich über diese Entscheidung und betont: „Der DSB hat den risikobasierten Ansatz für Datenübermittlungen endlich als das entlarvt, was er ist: ein unbeholfener Versuch, die klare Rechtsprechung des EuGH aufzuweichen. In den einschlägigen Artikeln zur Datenübermittlung wird das Wort Risiko kein einziges Mal verwendet.“
101 Musterbeschwerden lösten viel aus
Der Datenschutzverein none of your business hatte bereits im August 2020 insgesamt 101 Musterbeschwerden gegen Unternehmen in 30 Mitgliedsstaaten der Europäischen Union und des Europäischen Wirtschaftsraums eingereicht. Die jeweiligen Webseiten der Unternehmen nutzten Google Analytics und leiteten Daten an Google und Facebook weiter.
Mit den Beschwerden befassten sich die Datenschutzbehörden mehrerer Mitgliedsstaaten.
Datenübermittlung verstößt gegen DSGVO
Die österreichische Datenschutzbehörde DSB und die französische Datenschutzbehörde CNIL entschieden im Februar dieses Jahres, dass diese Art der Datenübermittlung gegen die DSGVO verstößt (wir berichteten).
Andere Behörden – zum Beispiel in Spanien und Luxemburg – stellten jedoch die Verfahren ein, da die betroffenen Unternehmen den Einsatz von Google Analytics eingestellt hatten. Sehr zum Bedauern von noyb. „Die Beendigung von Verstößen macht einen vergangenen Verstoß nicht legal“, sagt Marco Blocher, Datenschutzanwalt des Vereins. Schließlich bekomme man auch einen Strafzettel für zu schnelles Fahren, wenn man danach wieder langsamer fahre.
Verarbeitungsverzeichnis DSGVO-konform führen und nachweisen
In kurzer Zeit erstellen Sie mit der Software „WEKA Manager Verarbeitungstätigkeiten“ eine lückenlose, rechtssichere Dokumentation über alle Verarbeitungstätigkeiten (inkl. 100 Muster-Tätigkeiten & DSFA-Tool)
Mehr Informationen:
- News von noyb am 2. Mai 2022: https://noyb.eu/de/update-zu-den-101-beschwerden-von-noyb-oesterreichische-datenschutzbehoerde-lehnt-risikobasierten
- News in der DatenschutzPraxis vom 17. Februar 2022: https://www.datenschutz-praxis.de/verarbeitungstaetigkeiten/google-analytics-datenuebermittlung-verstoesst-gegen-dsgvo/