Neues von US-Cloud-Diensten und Consent-Layern - Datenschutz im Sinne der DSGVO

HMDATA Datenschutz-Newsletter 09/2022, Autor: Dipl.-Ing. (FH) Harald Müller-Delius, MBA, ©HMD 2024

Wenn man den risikobasierten Ansatz der DSGVO nicht verstanden hat, den tatsächlichen Wortlaut des Verordnungstextes ignoriert und nur auf Stammtisch-Niveau gängige Parolen nachplaudert, kann der Datenschutz schon seltsame Formen annehmen.
Umso besser, dass es so langsam rechtliche und behördliche Klarstellungen gibt, die dem Wesen der DSGVO auch wirklich entsprechen.
Zusammengefasst: ohne rechtliche Grundlage nach Art. 6 DSGVO keine Verarbeitung und nach Art. 24 DSGVO benötigen einfach und unsensible Daten weniger Schutz als besondere sensible Daten und das alles im Sinne von Art. 32 DSGVO in Abwägung zu berechtigten Schutzinteressen der Betroffenen unter Aufwand-/Nutzen-Kalkulation.

Diese einfachen Grundlagen sind nun auch vom OLG Karlsruhe mit Beschluss Az. 15 Verg 8/22 vom 06.09.2022 bestätigt worden.
Und zudem plant das Digitalministerium BMDV eine Verbesserung beim Einsatz von Cookie-/Consent-Bannern.

Einsatz von US-Cloud-Diensten

Zugegeben, die Entscheidung des OLG Karlsruhe bezieht sich auf behördlichen Einsatz von US-Cloud-Diensten. Das lässt sich aber 1:1 auch auf den privatwirtschaftlichen Bereich transferieren. Zuvor hatte eine Vergabekammer in Baden-Württemberg beschlossen, dass es Behörden untersagt sein soll, US-Dienste wie Amazon-Web-Services (AWS), Microsoft Azure, Google-Cloud o.ä. einzusetzen. Begründung war nun wie bisher immer angegeben, dass ein theoretisches Restrisiko insb. bei den Betroffenenrechten auf Grund des US-Cloud-Acts besteht.
Das OLG Karlsruhe hat diese Entscheidung nun aufgehoben mit einer interessanten und praktischen Begründung: ein Nutzer der Dienste kann sich auf die Zusagen des Anbieters zur technischen und rechtlichen Sicherheit verlassen, wenn der Anbieter versichert, dass die Verarbeitung ausschließlich in Deutschland erfolgt und keine Drittland-Übertragung stattfindet. Das kann man regelmäßig bei den "Platzhirschen" so einstellen.
Nur bei konkreten Anhaltspunkten zur mangelnden Sicherheit der Verarbeitung müssten weitere Prüfungen vorgenommen werden. Zudem sei im Zweifel auch durch den Einsatz technisch-organisatorischer Maßnahmen wie bspw. Verschlüsselungsverfahren eine rechtlich ausreichende Sicherheit der Verarbeitung machbar.

Fazit:

Aus Sicht des Datenschutzes ist die Klarstellung durch das OLG Karlsruhe extrem zu begrüßen, da sie einerseits die rechtliche Restlücke verkleinert und die aus der Praxis sowieso gängige Nutzung weiter bekräftigt. Bis zum Zustandekommen des Nachfolgeabkommens "Transatlantischer Datenschurzrahmen" bleibt aber immer noch eine Prüfung im Einzelfall notwendig.

Neuer Ansatz für Cookie-/Consent-Layer

Ja, der Widerstand gegen die ungeliebten Consent-Layer ist groß. Vorweg: wenn ich mit den durch WebSites erfassten Daten korrekt und im Sinne des Nutzers umgehe, bräuchte man die Consent-Layer auch nicht.
Der Werbebranche zu Liebe aber gibt es nun auch neue Ideen zum praktischeren Umgang seitens des Digitalministeriuem BMDV. Dort sah man sich dem öffentlichen Druck gegenüber den nervigen Bannern nach immer lauter werdender Kritik ausgesetzt und unterbreitet nun Vorschläge in Form einer "Einwilligungs-Verordnung". Es ist ja nicht nur das Wegklicken der Banner nervig, sondern auch die Versuche der Werbebranche, trotzdem eine Einwilligung einzuholen fragwürdig, s. "Nudging" und "Dark Patterns" - also wie so oft ein nach der TTDSG "gut gemeint, aber schlecht gemacht".
Grundsätzlich sollte nun der Versuch gestartet werden, dass Nutzer eine generelle Einwilligung geben könnten. Hierzu wären lt. "Einwilligungs-Verordnung" neutrale Anbieter von Cookie-Management-Tools zu installieren, die eine behördliche Anerkennung beantragen müssten.
Nutzer sollten dann alle 6 Monate dazu aufgefordert werden, ihre generellen Datenschutzeinstellungen zu prüfen.
WebSite-Betreiber wiederum würden verpflichtet, entsprechende Tools in ihr Online-Angebot zu integrieren.

Fazit:

Die schwarzen Schafe wird man so nicht erreichen, insb. natürlich Nicht-EU-Anbieter. Es werden sich einerseits wieder technische Schlupflöcher für Nudging und Dark-Patterns finden lassen und andererseits können Anbieter aus Drittländern somit nicht reguliert werden. Zudem besteht immer die Möglichkeit, sich mit einem regulären Consent-Banner trotzdem immer eine rechtsgültige Einwilligung einzuholen. Insgesamt also ein kleiner Schritt, der große Wurf ist das aber nicht - entsprechende Kritik ist bereits aufgekommen. Wenn es wirklich Neues gibt, werde ich Sie sicherlich konkret informieren können.