Streaming Think Tank

„Schrems II“ und die Standardvertragsklauseln

Seit der Entscheidung des Europäischen Gerichtshofes (”EuGH”) in der Rechtssache C-311/18 im Juli 2020 – besser bekannt als “Privacy-Shield-Entscheidung” oder “Schrems II” – steht grundsätzlich fest, dass in den USA kein angemessenes Datenschutzniveau herrscht.

Übermittlungen personenbezogener Daten an US-Empfänger sind seither also nur mehr unter äußerst eingeschränkten Voraussetzungen zulässig.

Was seitdem für Verwirrung zu sorgen scheint (oder teilweise wohl auch gezielt verwirrend verwendet wird), ist die Frage der Einsatzmöglichkeiten der sogenannten “EU-Standardvertragsklauseln”. Die “EU-Standardvertragsklauseln” stellen an sich einen Katalog von Regelungen dar, die bei entsprechender Einbeziehung in einen Vertrag zwischen Übermittler und Empfänger personenbezogener Daten eine Rechtsgrundlage für Übermittlungen auch außerhalb der EU bilden können.

Mit der Frage, ob diese Standardvertragsklauseln eine taugliche Grundlage für Datenübermittlungen außerhalb der EU darstellen können, hat sich der EuGH in der Entscheidung ebenfalls auseinandergesetzt. Was der EuGH dazu zu sagen hatte und welche Konsequenzen damit einhergehen, scheint sich in der Praxis allerdings sehr zögerlich zu verbreiten.
Die Kernaussage dazu ist zunächst: der Einsatz von Standardvertragsklauseln kann eine taugliche Rechtsgrundlage für die Übermittlung personenbezogener Daten aus der Europäischen Union in Drittstaaten darstellen. So weit so (halb-)klar. Sieht man sich dann allerdings an, womit der EuGH die grundsätzliche Zulässigkeit des Einsatzes von Standardvertragsklauseln begründet, wird klarer, was das für Übermittlungen an US-Empfänger bedeutet.
Der EuGH hält die EU-Standardvertragsklauseln insbesondere deshalb für eine geeignete rechtliche Grundlage für Datenübermittlungen in Drittstaaten, weil die Klauseln selbst Regelungen dafür vorsehen, was zu geschehen hat, wenn der Empfänger der Daten seinen vertraglichen Verpflichtungen nicht mehr nachkommen kann. Die unmittelbare Konsequenz ist nämlich, dass jegliche Datenübermittlungen sofort zu stoppen sind und der Übermittler das Recht hat, vom zugrundeliegenden Vertrag zurückzutreten.

„DER VERANTWORTLICHE IST ZUR AUSSETZUNG DER DATENÜBERMITTLUNG UND/ODER ZUM RÜCKTRITT VOM VERTRAG VERFLICHTET, WENN DER EMPFÄNGER DER ÜBERMITTLUNG NICHT ODER NICHT MEHR IN DER LAGE IST, DIE STANDARDDATENSCHUTZKLAUSELN EINZUHALTEN.“

Die Standardvertragsklauseln sind also deshalb eine taugliche Rechtsgrundlage für Drittstaatsübermittlungen, da sie selbst einen Mechanismus vorsehen, der jeden Transfer sofort unterbindet, sobald der Drittstaatsempfänger seinen vertraglichen Verpflichtungen, die eben ein angemessenes Datenschutzniveau sicherstellen sollen, nicht mehr nachkommen kann.

Daraus folgt also, dass der Einsatz von EU-Standardvertragsklauseln natürlich zulässig ist – die Zulässigkeit des Einsatzes aber nicht bedeutet, dass deshalb auch automatisch eine Datenübermittlung zulässig ist. Ganz im Gegenteil. Gerade beim Einsatz von Standardvertragsklauseln haben Übermittler und Empfänger genau zu prüfen, ob der Empfänger seinen vertraglichen Verpflichtungen auch nachkommen kann. Für Übermittlungen an US-Empfänger hat der EuGH die Möglichkeit der Einhaltung dieser Verpflichtungen faktisch ausgeschlossen. Vertragliche Verpflichtungen können schließlich nichts daran ändern, dass US-Empfänger auf Basis nationaler gesetzlicher Regeln zur Herausgabe von Daten gezwungen werden.
Konsequenz des Einsatzes von Standardvertragsklauseln im Zusammenhang mit Übermittlungen an US-Empfänger wäre somit lediglich die sich aus den Standardvertragsklauseln ergebende Unzulässigkeit des Datenaustausches samt Rücktrittsmöglichkeit für den Datenübermittler.
Die Frage der Zulässigkeit des Einsatzes von Standardvertragsklauseln stellt sich also völlig losgelöst von der Frage darauf beruhender Datentransfers.
EU-Standardvertragsklauseln können nach aktueller Rechtslage keine Rechtsgrundlage für Übermittlungen personenbezogener Daten an US-Empfänger liefern. Im Gegenteil ist der Einsatz von Standardvertragsklauseln schon grundsätzlich nur deshalb zulässig, weil Standardvertragsklauseln unter den gegebenen Umständen Übermittlungen an US-Empfänger verhindern.

Strafbar ist unter diesen Umständen die Verarbeitung personenbezogener Daten, die auf Grund berufsmäßiger Beschäftigung anvertraut oder zugänglich geworden sind oder die widerrechtlich erlangt wurden.

Geschützt sind personenbezogene Daten, an denen der Betroffene ein schutzwürdiges Geheimhaltungsinteresse hat. Ein schutzwürdiges Geheimhaltungsinteresse besteht nach § 1 DSG leidglich dann nicht, „wenn Daten infolge ihrer allgemeinen Verfügbarkeit oder wegen ihrer mangelnden Rückführbarkeit auf den Betroffenen einem Geheimhaltungsanspruch nicht zugänglich sind“. Sonst geht das Gesetz grundsätzlich davon aus, dass ein schutzwürdiges Geheimhaltungsinteresses gegeben ist.

Während die Datenverarbeitung in Schädigungsabsicht im Unternehmensbereich eher nur unter außergewöhnlichen Umständen verwirklicht werden wird, ist die Datenverarbeitung mit Bereicherungsvorsatz wesentlich schneller vollendet als man es glauben möchte.

Problematisch ist in diesem Zusammenhang nämlich der leider sehr weit verbreitete Einsatz von Online-Tools, von denen mittlerweile allgemein bekannt ist, dass sie kostenlos zur Verfügung gestellt werden, weil sie den bereitstellenden Unternehmen im Hintergrund als Datensammelwerkzeuge dienen. Das betrifft insbesondere in viele Unternehmenswebsites integrierte Tools wie Google Analytics oder YouTube-Videos. Die Gegenleistung für den Einsatz dieser Werkzeuge besteht darin, dass Daten jedes Website-Besuchers an Google bzw. YouTube fließen.

Dieser Datenabfluss ist spätestens seit der Aufhebung von Privacy-Shield datenschutzrechtlich in den meisten Fällen unzulässig. Abgesehen von der Tatsache, dass die abfließenden Daten im Zusammenhang mit Unternehmenswebsites meist im Rahmen berufsmäßiger Beschäftigung zugänglich wurden, liegt so meist auch eine widerrechtliche Erlangung vor.

Der springende Punkt ist nun allerdings, dass der Einsatz dieser datenschutzrechtlich höchst bedenklichen Werkzeuge meist ausschließlich darauf beruht, dass sie kostenlos zur Verfügung gestellt werden und so keine Kosten für die eigene Bereitstellung derartiger Ressourcen oder den Einsatz datenschutzkonformer Lösungen anfallen. Bereicherungsvorsatz ist allerdings nicht nur dann gegeben, wenn das Erzielen eines Erlöses angestrebt wird, sondern auch dann, wenn Ergebnis der verpönten Handlung eine Ersparnis sein soll.

Datenschutzbehördliche Inaktivität führt aktuell vielfach dazu, dass bekannte datenschutzrechtliche Probleme auf die leichte Schulter genommen werden, da datenschutzrechtliche Konsequenzen vermeintlich ausbleiben.

Wer allerdings datenschutzrechtliche Probleme in Kauf nimmt, um sich aus datenschutzkonformer Umsetzung resultierende Aufwände zu ersparen, verwirklicht damit den Tatbestand der Datenverarbeitung mit Bereicherungsvorsatz und hat es plötzlich nicht mehr mit einer schwer greifbaren Datenschutzbehörde, sondern der zuständigen Staatsanwaltschaft zu tun.

Insbesondere der Einsatz von YouTube-Videos auf Unternehmenswebsites stellt also gerade für Entscheidungsträger im Unternehmen ein massives Risiko dar, das im schlimmsten Fall in der Verhängung von Freiheitsstrafen münden kann.

Datenschutzkonforme Einbettung von YouTube-Videos?

Eine der klassischen Datenschutzfallen ist die Einbettung von YouTube-Videos auf der Unternehmenswebsite.

Auch wenn in diesem Zusammenhang landläufig teilweise angenommen wird, die Datensammlung durch YouTube/Google (ja, YouTube gehört Google) berühre den Betreiber der einbettenden Website nicht, wird man dadurch faktisch zum verlängerten Arm und Beitragstäter einer umfassenden Datenübermittlung an einen US-Datensammler.

In dem Moment, in dem auf einer Website ein Video-Player geladen wird, findet – meist noch bevor man überhaupt auf Play geklickt hat – eine Übermittlung personenbezogener Daten an YouTube statt.

Technisch passiert in diesem Moment Folgendes: die eigene Website, die das jeweilige Video einbettet, enthält für den Browser jedes Besuchers die Anweisung bereit, sich vom Server, der unter www.youtube.com oder www.youtube-nocookie.com erreichbar ist, die Informationen zu laden, die der Browser wiederum benötigt, um dem Besucher letztendlich einen Player anzuzeigen. Ganz zufällig erhält der Browser des Besuchers gleichzeitig eine weitere Aufforderung, doch gleich noch ein paar Daten mitzuübermitteln.

Wer nun glaubt, wenn er nichts eintippt, gibt es ja auch nichts zu übermitteln, sollte vielleicht einmal einen Blick unter die Oberfläche des Browsers werfen (das kann mit den in jedem Browser verfügbaren „Entwicklertools“ nämlich jeder machen).

Tatsächlich übermittelt der eigene Browser beim Laden eines YouTube-Players nämlich insbesondere folgende Daten (die tatsächlich übermittelten Informationen des Website-Besuchers wurden durch Erklärungen in Großbuchstaben ersetzt):

{“videoId”:”ID DES BETRACHTETEN VIDEOS”,
“context”:{
“client”:{
“hl”:”EINGESTELLTE BROWSERSPRACHE”,
“gl”:”LAND”,
“remoteHost”:”IP-ADRESSE”,
“deviceMake”:”HERSTELLER DES VERWENDETEN ENDGERÄTS”,
“deviceModel”:”MODELL DES VERWENDETEN ENDGERÄTS”,
“visitorData”:”BESUCHER-ID”,
“userAgent”:”VOM BESUCHER VERWENDETER BROWSER SAMT VERSION UND VERWENDETEM BETRIEBSSYSTEM”,
“clientName”:”VERWENDETE PLAYER-VARIANTE”,
“clientVersion”:”VERSION DES VERWENDETEN PLAYERS”,
“osName”:”VERWENDETES BETRIEBSSYSTEM”,
“osVersion”:”VERSION DES VERWENDETEN BETRIEBSSYSTEMS”,
“originalUrl”:”AUFGERUFENE YOUTUBE-URL UND EINBETTENDE SEITE”,
“platform”:”TYPE DES ENDGERÄTS”,
“clientFormFactor”:”GRÖSSE DES VERWENDETEN ENDGERÄTS”,
“browserName”:”NAME DES BROWSERS UND VERSION”,
“screenWidthPoints”:BREITE DES ZUM ABSPIELZEITPUNKT ANGEZEIGTEN BILDES,
“screenHeightPoints”:HÖHE DES ZUM ABSPIELZEITPUNKT ANGEZEIGTEN BILDES,
“screenPixelDensity”:PIXELDICHTE DES VERWENDETEN BILDSCHIRMS,
“utcOffsetMinutes”:ZEITVERSCHIEBUNG GEGENÜBER UTC,
“userInterfaceTheme”:”GESTALTUNG DER BENUTZEROBERFLÄCHE”,
“connectionType”:”ART DER INTERNETVERBINDUNG”,
“timeZone”:”ZEITZONE”,
“playerType”:”ART DES PLAYERS”,
“tvAppInfo”:{
“livingRoomAppMode”:”TV PLAYER MODUS”},
“clientScreenNonce”:”ID DES ABSPIELVORGANGS”,
“adSignalsInfo”:{ BENUTZERPARAMETER FÜR WERBEEINSPIELUNG
“params”:[{“key”:”dt”,”value”:”ZIFFERNFOLGE”},{“key”:”flash”,”value”:”0″},{“key”:”frm”,”value”:”2″},{“key”:”u_tz”,”value”:”120″},{“key”:”u_his”,”value”:”2″},{“key”:”u_java”,”value”:”false”},{“key”:”u_h”,”value”:”800″},{“key”:”u_w”,”value”:”1280″},{“key”:”u_ah”,”value”:”800″},{“key”:”u_aw”,”value”:”1280″},{“key”:”u_cd”,”value”:”24″},{“key”:”u_nplug”,”value”:”3″},{“key”:”u_nmime”,”value”:”4″},{“key”:”bc”,”value”:”31″},{“key”:”bih”,”value”:”- ZIFFERNFOLGE “},{“key”:”biw”,”value”:”- ZIFFERNFOLGE “},{“key”:”brdim”,”value”:”0,0,0,0,1280,0,1280,800,676,721″},{“key”:”vis”,”value”:”1″},{“key”:”wgl”,”value”:”true”},{“key”:”ca_type”,”value”:”image”}]},
“thirdParty”:{“embedUrl”:”ADRESSE DER EINBETTENDEN WEBSITE”}},
“playbackContext”:{“contentPlaybackContext”:{“html5Preference”:”HTML5_PREF_WANTS”,
“lactMilliseconds”:”LATENZ DER VERBINDUNG ZUM SERVER”,
“referer”:”AN YOUTUBE VERWEISENDE STELLE”,
“autoCaptionsDefaultOn”:AUTOMATISCHE UNTERTITELEINSTELLUNG,
“playerWidthPixels”:BREITE DES PLAYERS IN PIXEL,
“playerHeightPixels”:HÖHE DES PLAYERS IN PIXEL}},
“cpn”:”EINDEUTIGE ID DES ABSPIELVORGANGS”,
“captionParams”:{UNTERTITELEINSTELLUNG}}

Grundsätzlich reicht schon der zwangsläufig technisch notwendig stattfindende Vorgang der Bekanntgabe der IP-Adresse durch den Kontakt mit YouTube-Servern, um ein eindeutig identifizierendes personenbezogenes Datum an einen US-Empfänger zu übermitteln. Darüber hinaus verschafft sich YouTube mithilfe des Betreibers einer einbettenden Website allerdings einen Vorrat an weiteren personenbezogenen Daten, der mehr an NSA-Methoden erinnert als an vermeintlich „harmlose“ IT-Dienstleister.

Schon ein Bruchteil der so übermittelten Daten ermöglicht YouTube/Google das sogenannten „Fingerprinting“, also die eindeutige Identifikation eines einzelnen Benutzers über einzelne Merkmale, die im Rahmen seiner Interaktion mit einem Server abgegriffen werden können.

Diese Methode erlaubt YouTube/Google die Benutzeridentifikation ohne Einsatz der in deren Universum mittlerweile mehr oder weniger obsoleten Cookies.

Diese Übermittlung personenbezogener Daten an einen US-Empfänger ist nun aus Sicht von YouTube/Google gar nicht so problematisch. YouTube betrachtet sich selbst als Auftragsverarbeiter des jeweils Einbettenden, der personenbezogene Daten somit nur über explizite Weisung des Einbettenden verarbeitet. Durch die Einbettung in die Fänge von YouTube gelangende Daten werden somit im expliziten Auftrag des Einbettenden verarbeitet.

Der schwarze Peter verbleibt somit hauptsächlich bei demjenigen, der YouTube-Videos in seine Website einbettet. Derjenige ist für im Zusammenhang mit der Bereitstellung der Website stattfindende Datenübermittlungsvorgänge verantwortlich. Anlässlich der Nutzung der Website tolerierte oder sogar aktiv bewirkte illegale Übermittlungsvorgänge führen zur direkten Haftung des Websitebetreibers.

Mit YouTube ins Gefängnis?

Mit dem Inkrafttreten der Datenschutzgrundverordnung hat sich das Thema Datenschutz 2018 für einen gewissen Zeitraum einige Präsenz verschafft. Das lag nicht zuletzt an den drastisch gestiegenen Strafrahmen für Geldbußen, die bekanntlich bis zu 20 Millionen Euro oder 4% des weltweiten Gesamtumsatzes erreichen können.
Was der öffentlichen Aufmerksamkeit dabei größtenteils entgangen zu sein scheint, ist aber die Tatsache, dass nationale Gesetzgeber neben dieser besonderen Strafform der datenschutzrechtlichen „Geldbuße“ auch gerichtliche Straftatbestände eingeführt haben. Das ist zum Beispiel in Österreich und Deutschland der Fall. In Österreich wurde dazu in § 63 Datenschutzgesetz folgende Vorschrift eingeführt:

„Wer mit dem Vorsatz, sich oder einen Dritten dadurch unrechtmäßig zu bereichern, oder mit der Absicht, einen anderen dadurch in seinem von § 1 Abs. 1 gewährleisteten Anspruch zu schädigen, personenbezogene Daten, die ihm ausschließlich auf Grund seiner berufsmäßigen Beschäftigung anvertraut oder zugänglich geworden sind oder die er sich widerrechtlich verschafft hat, selbst benützt, einem anderen zugänglich macht oder veröffentlicht, obwohl der Betroffene an diesen Daten ein schutzwürdiges Geheimhaltungsinteresse hat, ist, wenn die Tat nicht nach einer anderen Bestimmung mit strengerer Strafe bedroht ist, vom Gericht mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bis zu 720 Tagessätzen zu bestrafen.“

§ 63 DSG zielt also darauf ab, das in § 1 DSG normierte Grundrecht auf Datenschutz mit der schwerwiegendsten Sanktion, die das österreichische Recht kennt, nämlich der Freiheitsstrafe, abzusichern.

Der Straftatbestand sanktioniert die Verarbeitung personenbezogenen Daten mit Bereicherungsvorsatz oder in Schädigungsabsicht.

Strafbar ist unter diesen Umständen die Verarbeitung personenbezogener Daten, die auf Grund berufsmäßiger Beschäftigung anvertraut oder zugänglich geworden sind oder die widerrechtlich erlangt wurden.

Geschützt sind personenbezogene Daten, an denen der Betroffene ein schutzwürdiges Geheimhaltungsinteresse hat. Ein schutzwürdiges Geheimhaltungsinteresse besteht nach § 1 DSG leidglich dann nicht, „wenn Daten infolge ihrer allgemeinen Verfügbarkeit oder wegen ihrer mangelnden Rückführbarkeit auf den Betroffenen einem Geheimhaltungsanspruch nicht zugänglich sind“. Sonst geht das Gesetz grundsätzlich davon aus, dass ein schutzwürdiges Geheimhaltungsinteresses gegeben ist.

Während die Datenverarbeitung in Schädigungsabsicht im Unternehmensbereich eher nur unter außergewöhnlichen Umständen verwirklicht werden wird, ist die Datenverarbeitung mit Bereicherungsvorsatz wesentlich schneller vollendet als man es glauben möchte.

Problematisch ist in diesem Zusammenhang nämlich der leider sehr weit verbreitete Einsatz von Online-Tools, von denen mittlerweile allgemein bekannt ist, dass sie kostenlos zur Verfügung gestellt werden, weil sie den bereitstellenden Unternehmen im Hintergrund als Datensammelwerkzeuge dienen. Das betrifft insbesondere in viele Unternehmenswebsites integrierte Tools wie Google Analytics oder YouTube-Videos. Die Gegenleistung für den Einsatz dieser Werkzeuge besteht darin, dass Daten jedes Website-Besuchers an Google bzw. YouTube fließen.

Dieser Datenabfluss ist spätestens seit der Aufhebung von Privacy-Shield datenschutzrechtlich in den meisten Fällen unzulässig. Abgesehen von der Tatsache, dass die abfließenden Daten im Zusammenhang mit Unternehmenswebsites meist im Rahmen berufsmäßiger Beschäftigung zugänglich wurden, liegt so meist auch eine widerrechtliche Erlangung vor.

Der springende Punkt ist nun allerdings, dass der Einsatz dieser datenschutzrechtlich höchst bedenklichen Werkzeuge meist ausschließlich darauf beruht, dass sie kostenlos zur Verfügung gestellt werden und so keine Kosten für die eigene Bereitstellung derartiger Ressourcen oder den Einsatz datenschutzkonformer Lösungen anfallen. Bereicherungsvorsatz ist allerdings nicht nur dann gegeben, wenn das Erzielen eines Erlöses angestrebt wird, sondern auch dann, wenn Ergebnis der verpönten Handlung eine Ersparnis sein soll.

Datenschutzbehördliche Inaktivität führt aktuell vielfach dazu, dass bekannte datenschutzrechtliche Probleme auf die leichte Schulter genommen werden, da datenschutzrechtliche Konsequenzen vermeintlich ausbleiben.

Wer allerdings datenschutzrechtliche Probleme in Kauf nimmt, um sich aus datenschutzkonformer Umsetzung resultierende Aufwände zu ersparen, verwirklicht damit den Tatbestand der Datenverarbeitung mit Bereicherungsvorsatz und hat es plötzlich nicht mehr mit einer schwer greifbaren Datenschutzbehörde, sondern der zuständigen Staatsanwaltschaft zu tun.

Insbesondere der Einsatz von YouTube-Videos auf Unternehmenswebsites stellt also gerade für Entscheidungsträger im Unternehmen ein massives Risiko dar, das im schlimmsten Fall in der Verhängung von Freiheitsstrafen münden kann.

5 Gründe für professionelles Streaming

Im vergangenen Jahrzehnt hat YouTube die Art, wie Unternehmen und Organisationen digitale Inhalte nach außen tragen, nachhaltig verändert. Unser Produktmanager und Videoexperte Helmar blickt hinter die Tapeten der Videoplattform und nennt fünf Gründe, weshalb es in der professionellen Nutzung von Digital Video oft nicht ratsam ist, den US-Anbieter zu verwenden. Wie YouTube mit Themen wie Personalisierung, Werbung und Verweildauer umgeht und was das alles mit Katzenvideos zu tun hat, erfahrt ihr in seinem Video.