Datenschutz im Streaming

Datenschutz und IT-Dienstleister

 

1. Grundrecht auf Datenschutz

Der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten wird in der Europäischen Union als gesetzlich besonders geschütztes Grundrecht aller Unions-Bürgerinnen und -Bürger behandelt. Die wesentlichen Rechtsgrundlagen finden sich dazu insbesondere in der Europäischen Datenschutzgrundverordnung oder kurz DSGVO.

Durch die Gewährleistung eines europaweit einheitlichen Schutzniveaus soll innerhalb der EU die grenzüberschreitende Verarbeitung erleichtert werden. Umgekehrt sollen personenbezogene Daten davor geschützt werden, in Ländern verarbeitet zu werden, wo kein angemessener Schutz dieser Daten sichergestellt werden kann.

Das Ziel des europäischen Datenschutzrechts ist es also, innerhalb der EU einen möglichst hohen Schutz personenbezogener Daten sicherzustellen und eine Verwässerung bzw. Aushebelung dieses Schutzes durch Datenverarbeitung in Ländern ohne gleichwertigen Schutz zu verhindern.

Zu diesem Zweck hat die Europäische Kommission unter anderem die Aufgabe zu beurteilen, inwiefern Staaten außerhalb der EU ein angemessenes Schutzniveau gewährleisten können. Voraussetzung dafür ist die Wahrung von Grundsätzen der Rechtsstaatlichkeit und die Einräumung von durchsetzbaren Rechtsschutzmöglichkeiten.

 

1.1 Personenbezogene Daten

Das Grundrecht auf Datenschutz gilt für die Verarbeitung “personenbezogener Daten”.

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Als identifizierbar wird eine natürliche Person angesehen, die durch Merkmale wie den Namen, eine Kennnummer mittels Standortdaten, einer Online-Kennung sowie einem oder mehreren sonstigen besonderen Merkmalen identifiziert werden kann.

 

1.2 Verarbeitung personenbezogener Daten

Jeder Vorgang, der personenbezogene Daten betrifft, stellt rechtlich eine “Verarbeitung” personenbezogener Daten dar. Das erfasst also insbesondere alle technischen Standardprozesse wie die Erfassung, Speicherung, Abfrage, Verwendung und Bereitstellung - aber auch jede Form der Übermittlung von Daten.

Für die Verarbeitung personenbezogener Daten sind auf Basis des europäischen Datenschutzrechts nun einige Grundprinzipien zu beachten:

Datenschutz im Streaming - Transparenz

Der Umgang damit muss transparent erfolgen: Die betroffenen Personen also müssen zumindest informiert werden oder sich bewusst sein, dass ihre Daten verarbeitet werden (z.B.: dass sie fotografiert, gefilmt oder aufgezeichnet werden).

Datenschutz im Streaming - Daten

Es gilt das Prinzip „Datensparen“: Wann immer es möglich ist, sollten keine personenbezogenen Daten verarbeitet oder aufgezeichnet werden.

Die Verarbeitung von personenbezogenen Daten ist gemäß DSGVO grundsätzlich erlaubt, wenn zumindest einer der folgenden Gründe vorliegt:

  • die betroffene Person hat zugestimmt,
  • die Verarbeitung ist notwendig, um einen Vertrag mit der betroffenen Person zu erfüllen,
  • die Verarbeitung ist notwendig, um eine gesetzliche Regelung zu erfüllen,
  • die Verarbeitung ist notwendig, um lebenswichtige Interessen zu schützen,
  • die Verarbeitung ist für die Wahrnehmung einer öffentlichen Aufgabe erforderlich oder
  • die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verarbeiters oder eines Dritten erforderlich.

 

Filmen, fotografieren oder das Anfertigen von Tonaufnahmen ist verboten, wenn:

  • es sich um ein Eindringen in die Privatsphäre anderer handelt,
  • die Aufnahmen für Gesichtserkennung oder andere automatisierte Prozesse verwendet werden,
  • die Aufnahmen Hinweise auf besonders geschützte persönliche Daten enthalten oder
  • die betroffene(n) Person(en) ihre Zustimmung entzogen hat / haben. Der Zustimmungsentzug kann beispielsweise auch geschehen, nachdem ein Foto bereits gemacht wurde; dies muss dann umgehend gelöscht werden.

 

2. Übermittlung personenbezogener Daten

Eine wesentliche Form der Verarbeitung personenbezogener Daten ist die Übermittlung. Eine Übermittlung findet insbesondere in jedem Fall der Heranziehung von Dienstleistern im Zusammenhang mit der Erbringung von Dienstleistungen an oder mit den jeweiligen Daten statt.

Eine solche Datenverarbeitung durch einen Auftragsverarbeiter findet einerseits im Zusammenhang mit einer aktiven Übermittlung personenbezogener Daten vom Verantwortlichen an der Auftragsverarbeiter statt. Andererseits findet eine rechtliche Übermittlung auch dann statt, wenn ein Auftragsverarbeiter im Auftrag des Verantwortlichen Daten ermittelt, speichert und verarbeitet - unabhängig davon, ob die Daten jemals auch technisch unter der Kontrolle des Verantwortlichen sind.

Voraussetzung für den Einsatz eines Auftragsverarbeiters ist nach der DSGVO grundsätzlich, dass der jeweilige Auftragsverarbeiter hinreichende Garantien dafür bietet, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung den Anforderungen der DSGVO genügt und der Schutz der Rechte der betroffenen Personen gewährleistet ist. Die Erfüllung dieser Voraussetzungen ist vertraglich zu verankern.

Eine Übermittlung personenbezogener Daten ist zunächst allgemein nur zulässig, wenn sich der Auftragsverarbeiter in einem EU-Mitgliedsstaat befindet.

Die DSGVO legt fest, dass personenbezogene Daten grundsätzlich nur dann in ein Drittland übermittelt werden dürfen, wenn das betreffende Land für die übermittelten Daten ein angemessenes Schutzniveau gewährleistet.

In diesem Zusammenhang hat nun die EU-Kommission mit Beschluss festzustellen, welche Drittstaaten aufgrund ihrer innerstaatlichen Rechtsvorschriften oder ihrer internationalen Verpflichtungen Rechtsstaatlichkeit, adäquate Rechtsschutzmöglichkeiten und insgesamt ein angemessenes Schutzniveau für personenbezogene Daten gewährleisten können.

Liegt kein derartiger Angemessenheitsbeschluss vor, darf eine solche Übermittlung nur erfolgen, wenn der in der Union ansässige Exporteur der personenbezogenen Daten geeignete Garantien vorsieht, die sich u. a. aus von der Kommission erarbeiteten Standarddatenschutzklauseln ergeben können, vorausgesetzt, die betroffenen Personen verfügen auf dieser Basis über durchsetzbare Rechte zum Schutz ihrer Daten.

Liegt weder ein Angemessenheitsbeschluss vor, noch bestehen geeignete Garantien, ist eine Übermittlung in einen Drittstaat faktisch nur mit der expliziten Einwilligung jeder betroffenen Person zulässig. Voraussetzung für eine wirksame Einwilligung ist allerdings die vorhergehende vollständige Information “über die für die betroffene Person bestehenden möglichen Risiken derartiger Datenübermittlungen ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien“.

Beispiel:

Datenschutzhinweis

Wesentliche Angemessenheitsbeschlüsse legalisieren Datenübermittlungen in die Schweiz und nach Kanada.

Kein Angemessenheitsbeschluss existiert hingegen für Transfers in die USA. Zwischenzeitigen Versuchen, Übermittlungen in die USA für legal zu erklären, hat der Europäische Gerichtshof im Juli 2020 einen Riegel vorgeschoben.

Konkret hat der Europäische Gerichtshof mit seiner Privacy-Shield-Entscheidung den zwischenzeitig vorhandenen Angemessenheitsbeschluss auf Basis US-amerikanischer Selbstzertifizierungen nach Maßgabe des Privacy-Shield-Abkommens zwischen EU und USA aufgehoben.

Begründet wurde die Aufhebung damit, dass

  • einschlägige US-amerikanische Rechtsvorschriften nicht über für einen Rechtsstaat angemessene Schutzmechanismen verfügen und insbesondere die bekannten Spionage-Programme wie PRISM weder über irgendwelche Einschränkungen noch über irgendwelche Rechtsschutzmöglichkeiten für betroffene Personen verfügen,
  • die Tatsache, dass europäische Daten einem solchen Risiko ausgesetzt sein könnten, eine Verletzung europäischer Grundrechte darstellen würde und
  • die Rechtslage in den USA somit keinen der Sache nach gleichwertigen Schutz personenbezogener Daten gewährleisten kann.

So manches US-Unternehmen versucht zwar nach wie vor, Standardvertragsklauseln als taugliche Grundlage für Datenübermittlungen in die USA darzustellen. Allerdings hat der Europäische Gerichtshof in diesem Zusammenhang ausdrücklich festgehalten, dass Standardvertragsklauseln grundsätzlich eine geeignete Rechtsgrundlage für Übermittlungen in Drittstaaten darstellen können, da sie selbst Mechanismen vorsehen, die eine Beendigung darauf beruhender Transfers bewirken, sobald der Empfänger nicht mehr in der Lage sein sollte, seinen Verpflichtungen nach der Vereinbarung nachzukommen. Im Falle der USA, wo nach der geltenden Gesetzeslage Behörden- und Geheimdienstzugriff jederzeit möglich ist, können vertragliche Zusagen schlicht nicht eingehalten werden, da keine vertragliche Regelung das geltende Gesetzesrecht brechen kann. Somit scheidet der Einsatz von Standardvertragsklauseln als Grundlage für US-Übermittlungen zwangsläufig aus bzw. hätte der Einsatz zur Folge, dass jede Übermittlung auf ihrer Basis sofort ausgesetzt und der jeweilige Vertrag letztendlich beendet werden müsste.

Faktisch bedeutet das letztendlich, dass der Einsatz von US-Dienstleistern im Zusammenhang mit der Verarbeitung personenbezogener Daten in den meisten Fällen nur mit der expliziten Zustimmung jeder betroffenen Person zulässig sein wird oder man dafür sorgen muss, dass keine personenbezogenen Daten übermittelt werden. Letzteres ist allerdings nur unter konsequentem Einsatz von Verschlüsselung ohne Zugriff des jeweiligen Dienstleisters auf Schlüssel umsetzbar.

 

3. Konsequenzen

Verstöße gegen die Regelungen rund um die Übermittlung von personenbezogenen Daten in Drittländer werden bekanntlich mit Geldbußen von bis zu EUR 20 Millionen oder von bis zu 4% des gesamten weltweiten Jahresumsatzes geahndet.

Was neben derartigen Strafen allerdings noch schwerer wiegen kann, ist die zivilrechtliche Komponente der Rechtsdurchsetzung. Die DSGVO sieht im Falle von Datenschutzverletzungen für Betroffene die Möglichkeit vor, Schadenersatz geltend zu machen. Für den einzelnen Betroffenen mag nun im Einzelfall der durch einen Datenschutzverstoß verursachte Schaden nicht unermesslich sein – durch die potenziell hohe Anzahl gleichartig Geschädigter kann die Tragweite von Schadenersatzpflichten allerdings potenzielle Geldbußen unter Umständen leicht in den Schatten stellen.

Aus Sicht von Vorstand/Geschäftsführung ist in diesem Zusammenhang zu bedenken, dass vor allem das österreichische Recht einerseits auch die Verhängung von Geldbußen gegen Entscheidungsträger im Unternehmen vorsieht und andererseits Schadenersatzverpflichtungen des Unternehmens auch zu Haftungsthemen für Vorstand/Geschäftsführung zur Folge haben können.

Datenschutzverstöße sind kein Kavaliersdelikt

Insbesondere im Zusammenhang mit der Übermittlung personenbezogener Daten an US-Empfänger gibt es mittlerweile eine stark ansteigende Anzahl an Behörden- und Gerichtsentscheidungen, die das bisher noch als aufgrund vermeintlicher Unklarheit nicht ganz ernst genommene oder gezielt unter den Tisch gekehrte Thema des Einsatzes von US-Dienstleistern aufgreifen und für klare Verhältnisse sorgen.

4. Aktuelle Entscheidungen

Behörde/Gericht Vergabekammer Baden-Württemberg
Entscheidungsdatum 13.07.2022
Geschäftszahl 1 VK 23/22
Betrifft US-Cloud-Services
Kernaussagen/Konsequenz Der Transfer personenbezogener Daten in ein Drittland ist auch dann datenschutzrechtlich unzulässig, wenn der entsprechende Server von einem US-Unternehmen über einen Sitz in der EU betrieben wird. Die Zugriffsmöglichkeit auf personenbezogene Daten durch die außereuropäische Muttergesellschaft führt somit zu einer Weitergabe nach der DSGVO, unabhängig davon, ob die US-Muttergesellschaft tatsächlich darauf zugreift.
Originaltext https://rewis.io/urteile/urteil/ocw-13-07-2022-1-vk-2322/

 

Behörde/Gericht Commission Nationale Informatique & Libertés (Franz. Datenschutzbehörde)
Entscheidungsdatum 10.02.2021
Betrifft Google Analytics
Kernaussagen/Konsequenz Die Verwendung von Google Analytics ist unzulässig. Standardvertragsklauseln sind keine taugliche Rechtsgrundlage für eine Datenübermittlung an einen US-Empfänger. Auch die von Google gesetzten technischen Maßnahmen sind nicht ausreichend, um ein angemessenes Datenschutzniveau herzustellen.
Originaltext https://www.cnil.fr/files/decision_ordering_to_comply_anonymised_-_google_analytics.pdf

 

Behörde/Gericht Landgericht München
Entscheidungsdatum 20.01.2022
Geschäftszahl 3 O 17493/20
Betrifft Google Fonts
Kernaussagen/Konsequenz Durch den Abruf von Google Fonts (Schriften für die Darstellung von Text auf Websites) wird die IP-Adresse des jeweiligen Website-Besuchers an Google und damit einen US-Empfänger übermittelt. Diese Übermittlung ist unzulässig.
Die Weitergabe der IP-Adresse des Website-Besuchers und der damit verbundene Eingriff in das allgemeine Persönlichkeitsrecht ist im Hinblick auf den Kontrollverlust über ein personenbezogenes Datum an Google, ein Unternehmen, das bekanntermaßen Daten über seine Nutzer sammelt und das damit vom Nutzer empfundene individuelle Unwohlsein so erheblich, dass ein Schadenersatzanspruch in Höhe von EUR 100,— gerechtfertigt ist.
Originaltext https://rewis.io/urteile/urteil/lhm-20-01-2022-3-o-1749320/

 

Behörde/Gericht European Data Protection Supervisor (EDPS)
Entscheidungsdatum 05.01.2022
Geschäftszahl 2020-1013
Betrifft Google Analytics, Stripe
Kernaussagen/Konsequenz Die Verwendung von Cookies für Google Analytics und Stripe und die damit zusammenhängende Übermittlung personenbezogener Daten an US-Empfänger ist unzulässig. Standardvertragsklauseln sind keine taugliche Rechtsgrundlage für eine Datenübermittlung an einen US-Empfänger.
Originaltext https://noyb.eu/sites/default/files/2022-01/Case%202020-1013%20-%20EDPS%20Decision_bk.pdf

 

Behörde/Gericht Österreichische Datenschutzbehörde
Entscheidungsdatum 22.12.2021
Geschäftszahl D155.027 2021-0.586.257
Betrifft Google Analytics
Kernaussagen/Konsequenz Die Verwendung von Google Analytics ist unzulässig. Standardvertragsklauseln sind keine taugliche Rechtsgrundlage für eine Datenübermittlung an einen US-Empfänger.
Um Google Analytics legal einzusetzen, müsste die explizite Zustimmung jedes einzelnen Website-Besuchers nach entsprechender Risikoaufklärung eingeholt werden.
Originaltext https://noyb.eu/sites/default/files/2022-01/E-DSB%20-%20Google%20Analytics_DE_bk_0.pdf

 

Behörde/Gericht Verwaltungsgericht Wiesbaden
Entscheidungsdatum 01.12.2021
Geschäftszahl 6 L 738/21.WI
Betrifft Google Tag Manager, Cookiebot, Akamai
Kernaussagen/Konsequenz Die Verwendung des Consent-Dienstes Cookiebot wird einstweilig untersagt. Die Übermittlung der IP-Adresse des Website-Besuchers an einen US-Empfänger ist unzulässig. Durch die Verwendung des Dienstes „Cookiebot“ werden personenbezogene Daten an einen US-Empfänger übermittelt, da der Dienst vom Content-Delivery-Network „Akamai“ ausgeliefert wird und anlässlich der Auslieferung die IP-Adresse an Akamai übermittelt wird.
Originaltext https://rewis.io/urteile/urteil/2tj-01-12-2021-6-l-73821wi/

 

Behörde/Gericht European Data Protection Supervisor (EDPS)
Entscheidungsdatum 03.05.2021
Geschäftszahl 2019-0878
Betrifft Google Analytics, YouTube
Kernaussagen/Konsequenz Das Setzen von Google Analytics und YouTube-Cookies ohne Zustimmung des Nutzers ist unzulässig.
Originaltext https://gdprhub.eu/index.php?title=EDPS_-_2019-0878