Analysetools: Auswirkungen von Gerichtsentscheidungen – und Geheimdiensten – auf unsere Websites.

Legal Watch Nr. 44 – Februar 2022

Analysetools: Die Auswirkungen eines Gerichtsurteils – und von Geheimdiensten – auf unsere WebsitesDas „Schrems II“-Urteil des Gerichtshofs der Europäischen Union galt bereits zum Zeitpunkt seiner Veröffentlichung im Juli 2020 als wichtiges Urteil im Zusammenhang mit dem Schutz personenbezogener Daten und insbesondere der Übermittlung in die Vereinigten Staaten.

Heute hat es immer weitreichendere Konsequenzen, eine logische Konsequenz der Feststellungen des Gerichtshofs hinsichtlich der Risiken, die mit dem Zugriff amerikanischer Geheimdienste auf europäische Daten verbunden sind.

Diese Konsequenzen betreffen nun häufig verwendete Tools wie Lösungen zur Publikumsmessung und Google Fonts.

Letzten Monat haben wir bereits die kaskadierenden Entscheidungen der Datenschutzbehörden Österreichs, der Niederlande, Norwegens und Deutschlands erwähnt, zu denen noch jene von die CNIL und die Liechtenstein.

Diese Entscheidungen folgen auf Beschwerden (insgesamt 101), die Max Schrems und sein Verein NOYB (European Center for Digital Rights) bei den Behörden eingereicht haben, um sicherzustellen, dass GAFAM dem Urteil des Gerichtshofs nachkommt.

Die Behörden kommen zu folgenden Schlussfolgerungen:

• Cookie-Identifikationsdaten und nicht anonymisierte IP-Adressen, wie sie von Google Analytics verwendet werden, sind personenbezogene Daten.

Sie können auch mit anderen identifizierbaren Daten kombiniert werden, die sich im Besitz Dritter (Geheimdienste) befinden.

• Die Tatsache dass die Daten über eine europäische Website erhoben werden, ist für die Beurteilung des Risikos eines Zugriffs durch Dritte nicht relevant : Was ist, ist die Übertragung von Daten in die Vereinigten Staaten

• Übermittlungen in die USA sind nur zulässig, sofern entsprechende Sicherheitsvorkehrungen getroffen werden. Es müssen beispielsweise zusätzlich zu den Standardvertragsklauseln Maßnahmen ergriffen werden, um das Risiko eines Zugriffs Dritter auf die Daten durch staatliche Stellen auszuschließen.

• Die Datenschutzbehörden waren der Ansicht, dass die zusätzliche Garantien von Google reichten nicht aus um einen möglichen Datenzugriff durch amerikanische Geheimdienste auszuschließen.

Die Sanktionen bestehen derzeit hauptsächlich aus Verwarnungen und Anordnungen zur Sperrung der Nutzung der inkriminierten Werkzeuge von Website-Managern. Die CNIL berichtet, dass sie diesbezüglich mehrere förmliche Abmahnungsverfahren eingeleitet hat.

Obwohl Google Analytics weit verbreitet ist, werden die Auswirkungen dieser Entscheidungen nicht darauf beschränkt sein: Datenschutzbehörden erweitern ihre Analyse "auf andere von Websites verwendete Tools, die zu einer Datenübertragung von europäischen Internetnutzern in die Vereinigten Staaten führen ".

Viele europäische Betreiber, Baustellenleiter im öffentlichen oder privaten Sektor, sind daher besorgt.

Wir wissen, dass Vorbeugen besser ist als Heilen, und in diesem Fall sollten wir – sofern vorhanden – auf Tools zurückgreifen, die keine personenbezogenen Daten erfassen oder auf lokalen Servern speichern.

Die CNIL empfiehlt daher, die Tools nur zur Erstellung anonymer statistischer Daten zu verwenden, was auch eine Ausnahme von der Einwilligung des Nutzers ermöglicht.

Sie hat ein Verfahren zur Bewertung bestehender Lösungen eingeleitet und veröffentlicht auf seiner Website Lösungen, die diese Anforderungen erfüllen, sind beispielsweise Matomo, Wysistat, Beyable oder Compass.

Wir möchten darauf hinweisen, dass selbst die besten Tools manchmal auf unterschiedliche Weise konfiguriert werden können: Es liegt in der Verantwortung des Site-Managers, zu überprüfen, ob die Standardkonfiguration den gesetzlichen Anforderungen entspricht.

Im aktuellen Kontext ist die Beschränkung des Datenzugriffs für Dritte auf jeden Fall eine zu fördernde Vorgehensweise, unabhängig davon, ob die Zugriffsrisiken von der anderen Seite des Atlantiks oder von anderswo ausgehen.

Und auch

Frankreich:

Die CNIL legt bis zum 11. März 2022 einen Stellungnahmeentwurf zum Thema „intelligente“ Kameras zur öffentlichen Konsultation vor. oder im öffentlichen Raum „erweitert“ werden.

Außerdem veröffentlicht es seinen neuen strategischen Plan 2022-2024, und zwar um drei Prioritätsachsen für eine vertrauenswürdige digitale Gesellschaft: „Förderung der Achtung der Rechte, Förderung der DSGVO als Aktivposten und gezielte Regulierung von Themen mit hohem Risiko“.

Die vorrangigen Kontrollthemen für das Jahr 2022 sind die kommerzielle Prospektion, die Cloud und die Überwachung der Telearbeit.

Frankreich startet eine nationale Sensibilisierungskampagne zur Cyberkriminalität, in Zusammenarbeit mit den Medien, mit dem Ziel, die Öffentlichkeit in Richtung Cybersicherheitslösungen zu lenken. 

Europa:

Auf seiner Plenarsitzung am 22. Februar Der Europäische Datenschutzausschuss (EDSA) hat einen Brief verabschiedet zum Übereinkommen des Europarats über Computerkriminalität und seinem 2. Zusatzprotokoll, Schreiben Darin äußert er seine Besorgnis über die Möglichkeit für Drittregierungen, Daten direkt von europäischen Dienstleistern anzufordern.

Darüber hinaus veröffentlichte sie Leitlinien zu Verhaltenskodizes als Instrument für internationale Datentransfers sowie ein Schreiben zu Haftungsfragen im Zusammenhang mit künstlicher Intelligenz.

Am 15. Februar leitete der Europäische Datenschutzausschuss zudem seine erste koordinierte Durchsetzungsmaßnahme zur Nutzung der Cloud durch den öffentlichen Sektor ein.

Die Cloud-Nutzung, die sich in der EU innerhalb von sechs Jahren verdoppelt hat, ist während der Pandemie weiter gestiegen, was Auswirkungen auf die Einhaltung der europäischen Rechtsvorschriften hat. 22 Datenschutzbehörden, darunter die CNIL, werden Fragebögen an 75 Behörden senden, um die Einhaltung der DSGVO zu überprüfen und gegebenenfalls formelle Kontrollen einzuleiten.

CISPE, die Organisation von Cloud-Infrastrukturdienstleistern, hat die Genehmigung ihres Verhaltenskodex zum Datenschutz durch den EDSB bekannt gegeben..

Mehrere Unternehmen haben es bereits unterzeichnet, darunter Aruba, Amazon Web Services, Elogic, Leaseweb, Outscale und OVHCloud.

Der Kodex sieht insbesondere die Möglichkeit vor, dass Benutzer ihre Daten wahlweise im Europäischen Wirtschaftsraum speichern können.

Auch NGOs können Kontrollen unterliegen: Die belgische Datenschutzbehörde hat nach einer Verweisung an die CNIL zwei Sanktionen gegen die NGO EU DisinfoLab und einen ihrer Forscher verhängt. Die festgestellten DSGVO-Verstöße stehen im Zusammenhang mit der massenhaften Datenerhebung im Rahmen einer Studie, die die politische Ausrichtung von Personen ermitteln sollte, die Tweets zur „Benalla-Affäre“ veröffentlicht hatten.

In einer bedeutenden Entscheidung verhängte die belgische Datenschutzbehörde außerdem eine Geldstrafe von 250.000 Euro gegen das European Interactive Advertising Bureau (IAB Europe). wegen Verstoßes gegen die Grundsätze der Rechtmäßigkeit, Loyalität und Transparenz, fehlender technischer und organisatorischer Datenschutzmaßnahmen, fehlender Register, Folgenabschätzung und Ernennung eines Datenschutzbeauftragten. Hinter dieser Liste von Verstößen verbirgt sich das Prinzip des „Real Time Bidding“ (die Versteigerung von Daten von Internetnutzern über Consent Management Plattformen – CMPs), das aufgrund seiner völligen Intransparenz für die Betroffenen sanktioniert wird.

Die italienische Datenschutzbehörde hat einen privaten Club sanktioniert bis zu 2.000 €, weil das Unternehmen seine Überwachungskameras ohne klare Beschilderung auf die öffentliche Straße gerichtet hatte und damit gegen Artikel 5 Absatz 1 Buchstabe a, 5 Absatz 1 Buchstabe c und 13 der DSGVO verstieß. 

In den Niederlanden hat das Bezirksgericht Den Haag einen Arbeitgeber bestraft, der heimlich ein Telefongespräch seines Mitarbeiters aufgezeichnet hatte.Der Verdacht, dass ein Mitarbeiter seine Kunden kontaktiert, um ein eigenes Unternehmen aufzubauen, reicht dem Gericht nicht aus, um die heimliche Aufzeichnung von Gesprächen zu legitimieren.

Auch in den Niederlanden verhängte die Datenschutzbehörde gegen ein Medienunternehmen eine Geldstrafe von 525.000,00 €: Letztere forderte von Personen, die ihr Auskunftsrecht auf ihre Daten wahrnahmen, eine Kopie ihres Personalausweises. Diese Forderung wurde als ungerechtfertigt angesehen und verstieß gegen Artikel 12 Absatz 2 der DSGVO.

Die spanische Datenschutzbehörde hat eine Strafe von 200.000 Euro verhängt gegen den spanischen Fußballverband wegen der Weitergabe der Aufzeichnung einer Videokonferenz über Zoom ohne vorherige Information oder Zustimmung der Teilnehmer. 

Auch in Spanien wurde Amazons Straßentransport mit einer Geldstrafe von 2.000.000,00 € belegt wegen der illegalen Erhebung von Informationen aus dem Strafregister im Rahmen ihres Einstellungsverfahrens.

Internationales:

Das Internationale Komitee vom Roten Kreuz ist gerade Opfer eines hochentwickelten Cyberangriffs mit potenziell schwerwiegenden Folgen geworden. angesichts der Sensibilität der von der Organisation verarbeiteten Daten. Die Website bietet der Öffentlichkeit beispielhafte Informationen zum 16. Februar und erläutert die Umstände des Angriffs, die potenziellen Risiken und die Maßnahmen zur Minderung dieser Risiken.

Anne Christine Lacoste

Anne Christine Lacoste, Partnerin bei Olivier Weber Avocat, ist Anwältin mit Spezialgebiet Datenschutz. Sie war Leiterin für internationale Beziehungen beim Europäischen Datenschutzbeauftragten und arbeitete an der Umsetzung der DSGVO in der Europäischen Union.