Montag, 7. Mai 2012

Google – ein sicherer Hafen?

Der Kollege Stadler beschwert sich hier über die in seinen Augen schlicht unrichtige Rechtsauffassung des Bayerischen Landesamtes für Datenschutzaufsicht, wonach die Verwendung von Google Analytics nur unter sehr bestimmten Voraussetzungen zulässig sei.

Insgesamt ist RA Stadlers Ausführungen hier schon aufgrund seiner umfangreichen praktischen Erwägungen zu folgen. Auf eine Aussage will ich jedoch näher eingehen:
Die vertragliche Vereinbarung einer Auftragsdatenverarbeitung funktioniert in diesen Fällen aber auch deshalb nicht, weil die Auftragsdatenverarbeitung außerhalb der EU überhaupt nicht von § 11 BDSG umfasst ist. Auch wenn der Vertrag mit Google Deutschland geschlossen wird, ändert dies nämlich nichts daran, dass die Datenverarbeitung tatsächlich in den USA stattfindet.
Das ist grundsätzlich mal richtig. Ausnahmen bestehen aber in Bezug auf einige bestimmte Drittländer, denen die  Kommission gem. Art. 25 VI iVm Art. 32 II der (Datenschutz-)Richtlinie 95/46/EG ein angemessenes Schutzniveau bescheinigt. Dieses ist gegenüber den USA geschehen durch Entscheidung der Kommission vom 26. Juli 2000 (2000/520/EG), solange die datenverarbeitenden Unternehmen in den USA durch das US-Handelsministerium als Mitglied des sog. Safe Harbor Programms zertifiziert sind. Google ist ein Safe Harbor zertifiziertes Unternehmen, als solches wäre also ein ADV-Vertrag nicht allein wegen der Lage in einem Drittland außerhalb der Europäischen Union unwirksam.

Die Safe Harbor Zertifizierung selbst dagegen stößt natürlich auch wieder auf Bedenken seitens der Aufsichtsbehörden, denn das ganze ist nicht viel besser als eine Absichtserklärung gestaltet und jeder kann sich letztlich durch Eintragung bei der zuständigen Stelle in den USA selbst zertifizieren. Aber das ist wieder eine andere Geschichte.

1 Kommentar:

  1. Das ist so nicht ganz richtig.

    Ob eine ADV nach § 11 BDSG möglich ist, bzw. genauer: ob sie zu einer Privilegierung des Datentransfers zwischen Auftraggeber und Auftragnehmer führt, entscheidet sich über die Definition des "Dritten" und des "Übermitteln", die in § 3 BDSG niedergelegt sind.

    Ein Übermitteln muss gesondert gerechtfertigt werden und stellt nach § 3 IV Nr. 3 iwS die Weitergabe an einen Dritten dar.

    Ein Dritter ist nach § 3 VIII S. 3 gerade nicht ein Auftragsdatenverarbeiter, der die Daten "im Inland, in einem anderen Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum" verarbeitet oder nutzt.

    Unabhängig, ob Google Safe Harbor-Zertifiziert ist, BCRs hat, EU-Standardvertragsklauseln nutzt oder generell in einem "sicheren Drittland" ansässig wäre, würde Google bei einer Datenverarbeitung in den USA immer einen "Dritten" darstellen.

    Es ist demnach stets eine Übermittlung - etwa nach § 28 BDSG - zu rechtfertigen. Lediglich die besonderen Anforderungen der Drittstaatenübermittlung - § 4b, c BDSG - greifen ggf. nicht.

    Die Vereinbarung iSd § 11 BDSG kann daher also evtl. eine Abwägung positiv beeinflussen, führt aber nicht zu einer Privilegierung in dem Sinne, dass keine "Übermittlung" stattfinden würde.

    AntwortenLöschen