Drittlandtransfer beim Einsatz von Tracking
Durch den Einsatz von Cookies und vergleichbaren Technologien kann das Nutzungsverhalten von Besucherinnen und Besuchern einer Website geräteübergreifend verfolgt werden. Oftmals werden bei einem solchen Tracking personenbezogene Daten in Drittländer übermittelt, ohne dass die Datentransfers datenschutzrechtlichen Anforderungen genügen. Im Rahmen seiner Zuständigkeit kann der HmbBfDI die Aussetzung von solchen Drittlandtransfers anordnen.
Durch Anbieter von Telemedien kommen Cookies oder vergleichbare Technologien (z. B. auf einer Website oder in Apps) zum Einsatz, so dass damit auch personenbezogene Daten der Nutzerinnen und Nutzer gewonnen und verarbeitet werden. Bei den durch die Websitebetreiber eingebundenen Anbietern handelt es sich dabei oft um Unternehmen, die ihren Sitz außerhalb der Europäischen Union (also in einem Drittland) haben. Problematisch ist dies derzeit insbesondere bei der Übermittlung in die USA, da für eine derartige Übermittlung kein Angemessenheitsbeschluss der europäischen Kommission besteht. Im Juli 2020 hat der Europäische Gerichtshof in seiner Entscheidung zu „Schrems II“ (EuGH, Aktenzeichen: C-311/18) den ungehinderten Datenfluss zwischen der EU und den USA für ungültig erklärt. Werden daher beim Tracking, insbesondere durch den Einsatz von Cookies personenbezogene Daten in Drittländer übermittelt, ohne dass die datenschutzrechtlichen Anforderungen der DSGVO vorliegen, ist dagegen die Beschwerde bei einer Datenschutzbehörde möglich.
Im Rahmen der Bearbeitung von Beschwerden wegen eines Drittlandtransfers durch den Einsatz von Tracking-Technologien, hört der HmbBfDI die Websitebetreiber zu Art und Umfang des Drittlandtransfers an. Sie erhalten dabei Gelegenheit, den erforderlichen Nachweis zu erbringen, dass bei jedem Transfervorgang die Anforderungen – geeignete Garantien, wie z. B. Standarddatenschutzklauseln, oder bei Vorliegen eines Ausnahmetatbestandes für bestimmte Fälle gemäß Art. 49 DSGVO – an eine rechtmäßige Datenübermittlung ins Drittland erfüllt sind. Zur Übermittlung personenbezogener Daten an Drittländer hat sich die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) zudem im Rahmen der überarbeiteten Orientierungshilfe für Telemedienanbieter im Dezember 2021 ausdrücklich geäußert. Insbesondere kann eine Einwilligung im Zusammenhang mit Webtracking gerade nicht auf Art. 49 Abs. 1 lit. a) DSGVO gestützt werden.
„Zu beachten ist, dass der reine Abschluss von Standarddatenschutzklauseln wie den von der EU-Kommission beschlossenen Standardvertragsklauseln nicht ausreicht. Es ist darüber hinaus im Einzelfall zu prüfen, ob das Recht oder die Praxis des Drittlandes den durch die Standardvertragsklauseln garantieren Schutz beeinträchtigen und ob ggf. ergänzende Maßnahmen zur Einhaltung dieses Schutzniveaus zu treffen sind. Eine detaillierte Anleitung zum Vorgehen bei der erforderlichen Prüfung hat der Europäische Datenschutzausschuss veröffentlicht.48 Gerade im Zusammenhang mit der Einbindung von Dritt-Inhalten und der Nutzung von Tracking-Dienstleistungen werden allerdings oft keine ausreichenden ergänzenden Maßnahmen möglich sein. In diesem Fall dürfen die betroffenen Dienste nicht genutzt, also auch nicht in die Webseite eingebunden werden. Personenbezogene Daten, die im Zusammenhang mit der regelmäßigen Nachverfolgung von Nutzerverhalten auf Webseite oder in Apps verarbeitet werden, können grundsätzlich nicht auf Grundlage einer Einwilligung nach Art. 49 Abs. 1 lit. a DSGVO in ein Drittland übermittelt werden. Umfang und Regelmäßigkeit solcher Transfers widersprechen regelmäßig dem Charakter des Art. 49 DSG-VO als Ausnahmevorschrift und den Anforderungen aus Art. 44 S. 2 DSGVO.“
Liegt somit beim Einsatz von Tracking-Technologien ein Drittlandtransfer vor und können die Verantwortlichen die hierfür nötigen zusätzlichen Schutzmaßnahmen nicht nachweisen, handelt es sich um eine unzulässige Datenübermittlung. Nach den Vorgaben der Schrems II-Entscheidung hat die Datenschutzbehörde die Übermittlung auszusetzen oder zu verbieten.
Lesen Sie hier weitere Blogartikel zum Thema Tracking.
Quelle: HmbBfDI
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Ombudsstelle und Hinweisgebersystem für Hinweisgeber:innen (Whistleblower)
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
- Aufsichtsbehörde empfiehlt Buch: DSGVO /ePrivacy auf Websites umsetzen
- Recht im Online-Marketing: So schützen Sie sich vor Fallstricken zur DSGVO
Dieser Absatz enthält Affiliatelinks/Werbelinks