Zurück zur Übersicht

Data Privacy für Kommunikator:innen: Mit einem Fuß im Kriminal?

Der Datenschutz im Europäischen Wirtschaftsraum gilt als einmalig und herausragend. DSGVO ist in der EU ein besonders wichtiges Framework. Doch was bedeutet das für die online-Kommunikation, für Werbung und in unserem Alltag?

Verfasst von Eckart Holzinger -
published on

Dies ist ein Blogbeitrag, notwendigerweise unvollständig und wenn auch mit Sorgfalt verfasst, ersetzt dieser keine juristische Beratung. Solltet ihr Fragen oder Feedback haben, könnt ihr uns jederzeit gerne kontaktieren.


Eine kleine Tour d’Horizon

Wenn Änderungen an Cookie-Bannern in Tageszeitungen beschrieben und diskutiert werden, bedeutet das, dass der Schutz personenbezogener Daten einen hohen Stellenwert in der Gesellschaft hat. Nach aktuellen Untersuchungen von Gartner wird Datenschutz bereits global in den meisten Ländern durch aktualisierte Gesetze berücksichtigt: Mit Ende 2023 sollen etwa 75% aller Menschen weltweit zumindest einem gewissen Schutz unterliegen.

In Europa wurde die Grundlage für diesen Schutz durch die DSGVO geschaffen. Deren Ziel war, nicht nur einen einheitlichen europäischen Rechtsrahmen zu schaffen, sondern auch durch angemessene Strafen deren Einhaltung zu garantieren. Und es wirkt: Alleine im dritten Quartal 2021 wurden von den europäischen Datenschutzbehörden mehr als eine Milliarde Euro Strafen verhängt, die größte darunter gegen Amazon mit 750 Millionen.

Warum werden diese Strafen verhängt? Oder anders gelesen: Könnte das auch mich betreffen? Worauf muss ich achten, um die Rechte meiner User nicht zu gefährden und mich nicht dem Risiko einer Strafe aussetze?

Ganz allgemein dort, wo ich verantwortlich bin.
Also wenn die personenbezogenen Daten aufgrund meiner Entscheidungen verarbeitet werden - sei es im eigenen Haus oder über Dritte, die ich ausgewählt habe. Bei letzerem kann auch die Situation einer gemeinsamen Verantwortlichkeit entstehen, etwa bei Facebook „Fanpages“ oder wenn ich auf meiner Website Werbeflächen zur Verfügung stelle. Diese Verantwortung kann auch nicht vertraglich überbunden werden; ganz im Gegenteil kann ich auch für Datenschutzverstöße meiner Auftragnehmer oder Partner in die Pflicht genommen werden – Stichwort: Auswahlverschulden.

 

Data Privacy: Austausch mit Ländern außerhalb der EU

In der Online-Welt sind die Verarbeitungen von Daten typischerweise verzahnt. Spezialisierte und oftmals an Dritte ausgelagerte Software oder Dienste übernehmen essenzielle Aufgaben. Daher ist ein geregelter Datenaustausch enorm wichtig, auch über die Grenzen der EU hinaus. Wie aber können in diesen Fällen die zentralen Anliegen des europäischen Datenschutzes erfüllt werden? Das Recht der User der Verwendung ihrer Daten zuerst zustimmen zu müssen, das Recht auf Auskunft, Berichtigung und Löschung, die Möglichkeit eine unabhängige Behörde bei Rechtsverletzungen in Anspruch nehmen zu können?

  • Für Datenverarbeitungen innerhalb des Wirkungsbereiches der EU-Verordnungen und den nationalen Umsetzungen von Richtlinien ist das sehr einfach, das war ja auch die Absicht der DSGVO.
  • Für Länder mit einem von der EU anerkannten gleichwertigem Schutzniveau ist es ebenfalls einfach. Solche Adäquanz- oder Angemessenheitsbeschlüsse der EU-Kommission existieren etwa für die Schweiz, Japan oder das Vereinigte Königreich – dort auch für die unabhängigen Kronländer Guernsey, Jersey oder die Isle of Man.
  • Mit Organisationen und Unternehmen in Ländern, die unter keine der beiden erstgenannten Gruppen fallen, müssen zusätzliche Maßnahmen zum Schutz der Rechte und Freiheiten der Betroffenen getroffen werden, etwa die sogenannten „Standard Contractual Clauses“ („Standardvertragsvereinbarungen“), deren Gestaltung Ende 2021 erneuert wurde.
  • Ausnahmen bestehen weiterhin für gelegentliche Übertragungen, etwa die Buchung eines Hotelzimmers in einem der Drittländer.

So weit, so nachvollziehbar. Auffällig ist, dass die USA nicht zur Liste der sicheren Drittländer gehören. Da hier viele Konzerne angesiedelt sind, die unser online-Leben derzeit bestimmen, ist das ein gravierender Punkt. Daher hier ein kurzer Exkurs zu den Gründen und den aktuellen Aussichten.

 

Die Crux mit den USA

Angestoßen von Max Schrems und seiner NGO noyb wurden Entscheidungen des Europäischen Gerichtshofes (EuGH) gefällt, die im Kern festhalten, dass es in den USA keinen gleichwertigen Datenschutz wie in der EU gibt.

Das betrifft u.a. die bedingungslose Massenüberwachung, das Fehlen jeglicher Rechte der Betroffenen auf Auskunft, Berichtigung oder Löschung wie auch eine unabhängige Behörde zur Wahrung der Interessen der Datensubjekte.

Der erste Versuch mit Safe Harbor – normativ gesehen ein Vertrag zwischen den USA und der EU – ist daher gescheitert, das Privacy Shield versuchte es mit einem ganzen Bündel an Maßnahmen und musste ebenfalls für illegal erklärt werden, da es ja die zugrunde liegende Problematik nicht lösen konnte. Abgesehen davon, dass die USA sich nie an die Vereinbarungen gehalten hatten - eine Tatsache, die von der Europäischen Datenschutzbehörde mehrfach kritisiert wurde.

Diese Grundbedingungen ändern sich nicht, weder durch schöne Worte noch lächelnde Absichtserklärungen. Die in den letzten Wochen diskutierte „Annäherung“ zwischen den Positionen von Joe Biden und Ursula von der Leyen ist daher reine Kosmetik, die den Interessen der US- Konzerne entgegenkommen soll. Rechtliche Sicherheit für europäische Auftraggeber kann ein solches Konstrukt logisch nicht bieten.

 

Grundlagen im Datentransfer

Da die DSGVO im Gegensatz zu vorherigen Regelungen darauf abstellt, dass sich die Verantwortlichen im Vorfeld Gedanken über die Konsequenzen ihres Handelns machen müssen, ist es unsere Aufgabe als Kommunikator:innen darüber nachzudenken, wie einerseits die Organisationsziele erreicht werden können und auf der anderen Seite die Grundrechte der Betroffenen, also uns allen, gewahrt bleiben und mit diesen respektvoll umgegangen wird. Lamentieren und „Do nothing“ sind also keine Optionen mehr. Häufig limitieren Umweltfaktoren das Handeln; strategische und operative Prioritäten verhindern eine rasche Umsetzung. Dennoch sollte dieser Prozess gut dokumentiert werden! Im Ernstfall dient die Dokumentation als Hilfsmittel gegenüber der Behörde, um nachvollziehbar zu machen, dass ernsthafte Überlegungen angestellt wurden, welche Alternativen erwogen und ggfs. wieder verworfen werden mussten und welche konkreten Maßnahmen zum Schutz der personenbezogenen Daten getroffen wurden.

Daten sind Müll

Im ersten Schritt ist immer zu entscheiden, ob es sich überhaupt um personenbezogene Daten handelt.
Wenn ja, brauchen wir diese Daten?
Wird tatsächlich etwas damit gemacht oder liegen diese bloß „auf Vorrat“, weil in einer historischen Anforderung dies so angeordnet wurde?
Daten mögen das neue Öl sein (10 Euro ins Phrasenschwein!) – doch viel elementarer: Daten sind Müll, wenn diese nicht erforderlich sind oder genutzt werden. Und was macht eine nachhaltige Organisation mit Müll? Erstens vermeiden, zweitens trennen und drittens verwerten.
Denn wer nichts wegwirft, ist ein Messie.

Ist Google Analytics nun illegal?

Eines vorweg: Eine einfache Antwort gibt es nicht.

Nicht einmal für alle Anwendungen von Google ist eine praktikable „One-size-fits-all“-Lösung verfügbar, geschweige denn für das Herzstück des Online-Marketings, die Webanalyse. Google Analytics, aber auch andere weit verbreitete Web-Dienste und Programme (wie zum Beispiel Microsoft Office 365 oder Wordpress) dürfen nur noch mit Bedacht verwendet werden, sobald Userdaten gesammelt werden.

Die vorher geäußerten Gedanken zum Thema. „Welche Datenquellen und Daten brauche ich für meine Organisation wirklich?“, bleiben davon unberührt. Hier geht es um konkrete Handlungsansätze und Wege.

Zuerst ein paar Unterscheidungen zur Klärung:

  • Universal Analytics (UA)
  • Google Analytics 4 (GA4)

hier wird wiederum unterschieden:

  • Kostenfreie Version
  • Bezahlte Version

Die derzeit prominent besprochenen Entscheidungen der österreichischen und der französischen Datenschutzbehörde beziehen sich jeweils auf Fälle, wo eine kostenfreie Version von Universal Analytics (also der „alten“ Version) unter Vernachlässigung diverser Hygienefaktoren (fehlende IP-Anonymisierung) eingesetzt wurden. Dutzende Nebenbedingungen – etwa auf welchem Endgerät, mit welchem Browser oder ob schon ein Google-Account vorhanden ist – erschweren eine allgemeine Aussage.

Zusammenfassend lässt sich also sagen, dass unter Ausnutzung aller Angebote von Google (IP-Anonymisierung, Zusatz zur Datenverarbeitung akzeptieren, Standard Contractual Clauses etc.) sowie die Umstellung auf eine Server-Side-Komponente, die nur mehr die „hauseigene“ ID weitergibt, kann Google Analytics zu 96% datenschutzkonform eingesetzt werden. Es gehen dabei jedoch die Effekte der Google Marketing Platform verloren bzw. dürfen weitere Komponenten nicht genutzt werden, da ansonsten wiederum keine Konformität gegeben ist. Dasselbe gilt für Betroffene, die mit einem Endgerät auf Android-Basis agieren sowie eventuell, wenn Chrome am Endgerät verwendet wird und/oder die Betroffenen in einem Google-Account eingeloggt sind.

Fazit: Schwierig.

Welche Alternativen und Optionen habe ich nun?

Wichtig ist zu verstehen, dass man als verantwortliche Person einer Webseite auch in der Pflicht ist, den Schutz der Daten zu gewährleisten; selbst, wenn die Datenverarbeitung über Dritte passiert. Eine detaillierte Erklärung zur DSGVO-konformen Nutzung von Google Analytics findet ihr hier (Englisch).

  1. Das Tracking der Daten darf erst erfolgen, wenn die User darüber informiert wurden und zugestimmt haben, dass die personenbezogenen Daten, Tracking-IDs, IP-Adressen und Geräteinformationen gegebenenfalls an Google in die USA gesendet werden und die lokalen Behörden dort möglicherweise rechtmäßigen Zugriff auf die Daten erhalten. Des Weiteren müssen User darüber informiert sein, dass sie ihre Einwilligung jederzeit widerrufen können.
    Bei ordnungsgemäßer Umsetzung ist diese Maßnahme im Prinzip ausreichend, um die Nutzung von Google Analytics zuzulassen. Die weiteren Schritte sind als zusätzlicher Schutz über die Einwilligung hinausgedacht.
  2. Vergewissert euch, dass eure Verträge zur Nutzung von Google Analytics (einschließlich der Datenverarbeitungsvereinbarung) mit Google Ireland Limited und nicht mit Google LLC geschlossen wurde (mittlerweile werden diese Verträge standardmäßig mit Google Ireland Limited geschlossen). Ältere Verträge müssen möglicherweise aktualisiert werden.
  3. Vergewissert euch, dass die IP-Anonymisierung aktiviert und ordnungsgemäß implementiert ist.
  4. Vergewissert euch, dass die Option zur Datenfreigabe (data sharing) in Google Analytics deaktiviert ist.
  5. Vergewissert euch, dass die Google Signale deaktiviert sind.
  6. Wenn ihr eigene Benutzer-IDs verwenden, stellt sicher, dass diese keine Benutzeridentifikation zulassen (z. B. keine E-Mail-Adressen im Klartext).