veröffentlicht von "heise online" am 04.08.2020 14:15 Uhr Eva-Maria Weiß
Weil der EuGH das Privacy-Shield-Abkommen gekippt hat, kündigt Google an, auf Standarddatenschutzklauseln zu setzen. Fraglich, ob die rechtlich haltbar sind.
Google kündigt für seine Werbedienste unter "Google Ads" an, auf Standarddatenschutzklauseln (SDK) als Rechtsgrundlage für die Übermittlung von Daten zu setzen, da das Privacy-Shield-Abkommen vom Europäischen Gerichrtshof (EuGH) gekippt wurde. Dieser hatte jedoch auch gesagt, dass Google unter das US-Überwachungsabkommen falle und dieses wiederum gegen die EU-Grundrechte verstoße. Damit sind die Voraussetzungen der SDK kaum zu erfüllen.
Standarddatenschutzklauseln für Drittländer
Ein Link in der Mail führt zu der Erklärung [1]: "Google wechselt zu Standarddatenschutzklauseln, durch die der Datentransfer entsprechend der DSGVO legitimiert werden kann." Bei Googles Clouddiensten seien diese bereits eingesetzt. SDK regeln die Übermittlung personenbezogener Daten in Drittländer, wenn kein anderer Beschluss vorhanden ist. Dafür muss der Auftragsverarbeitende, also in diesem Fall Google, garantieren können, dass das betreffende Drittland ein angemessenes Datenschutzniveau hat.
Der Datenschutzaktivist Max Schrems, der maßgeblich das Privacy-Shield-Abkommen zu Fall brachte, wirft Google vor, eine "Drei-Affen-Lösung" nutzen zu wollen – und postet die Affen-Emojis, die für "nichts sehen, nichts hören und nichts sagen" stehen. Dazu schreibt er in den Hashtags, Google suche Ärger.
Zwar sind die SDK laut EuGH weiter zulässig, vorausgesetzt, dass die Personen, deren Daten in andere Länder übermittelt werden, ein Schutzniveau genießen müssen, das dem der DSGVO gleichwertig ist. Abschließen könnten solche SDK die lokalen Datenschutzbehörden der EU-Mitgliedsstaaten. Die Klauseln hätten Kritikern zufolge jedoch keinen Einfluss auf die Zugriffsmöglichkeiten der US-Behörden, weshalb fraglich ist, ob sie überhaupt Bestand haben können.
Grund zum Aufatmen?
Google gibt an, durch die Implementierung der Standard-Datenschutzklauseln nunmehr für eine datenschutzkonforme Handhabung von EU-Daten in den USA sorgen zu können.
Was für Seitenbetreiber nach einem Grund zum Aufatmen klingt, sieht datenschutzrechtlich aber leider anders.
So betonte jüngst die Datenschutzkonferenz der Bundesländer ausdrücklich, dass bei Datenübertragungen in die USA die bloße Aufnahme von Standard-Datenschutzklauseln nicht ausreicht, um einen angemessenen Datenschutz auf der anderen Seite des Atlantik zu gewährleisten.
Hintergrund ist, dass US-Sicherheitsbehörden weitreichende Zugriffsrechte auf Datenbestände haben, die in den USA verarbeitet werden. Für Betroffene aus Europa kann dies mit einem hohen Datensicherheitsrisiko einhergehen, weil sie im Zweifel nicht wissen, ob, wie und zu welchen Zwecken ihre Daten behördlich genutzt werden. Auch haben sie keine Interventionsrechte, um vom Zugriff erfasste Daten nachträglich in Auskunft zu bringen, zu löschen oder zu berichtigen.
Die bloßen Standard-Klauseln können die Verpflichtung von US-Unternehmen, auf behördliches Gesuch hin umfangreiche Daten zur Verfügung zu stellen, aber nicht aufheben.
Nach Ansicht führender Datenschützer sind daher auf Unternehmensebene zusätzliche Maßnahmen zum Schutz von EU-Daten erforderlich.
Dass Google auch solche implementieren will, geht aber aus der Mitteilung nicht hervor.
Fazit: Risiko besteht weiterhin
Die bloße Übernahme von Standard-Datenschutzklauseln durch Google ist nach derzeitiger Auffassung nicht ausreichend, um das von der DSGVO geforderte Datenschutzniveau bei US-Datentransfers zu gewährleisten.
Verantwortliche, die Google-Dienste nutzen, riskieren daher auch mit der Umstellung Googles zum 12.08.2020 weiterhin, EU-Daten rechtswidrig in die USA zu übermitteln.
Das Risiko, das nach dem Wegfall des Privacy Shield bestand, wird also für Google-Dienste erst einmal fortbestehen.