Die Datenschutzbehörde Österreichs (DSB) ist die führende Aufsichtsbehörde für Fälle, die von NOYB — None of Your Business — der Datenschutzorganisation, die von Max Schrems gegründet wurde, eingereicht wurden. NOYB hat seit 2018 über 1.000 strategische GDPR-Beschwerden eingereicht, und die DSB hat 422 davon in den Jahren 2022-2024 bearbeitet. Das Verständnis der Durchsetzung durch die DSB bedeutet, die strategische Prozessführung zu verstehen, die das EU-Datenübertragungsrecht zweimal umgestaltet hat.
NOYB und die DSB: Ein strategisches Durchsetzungs-Muster
Schrems I (2015): Max Schrems' Beschwerde über die EU-US-Datenübertragungen von Facebook hat letztendlich das Safe Harbor-Rahmenwerk, das von über 4.000 Unternehmen genutzt wurde, ungültig gemacht.
Schrems II (2020): Schrems' nachfolgende Herausforderung hat das EU-US Privacy Shield ungültig gemacht, was über 5.000 Unternehmen betroffen hat und eine Notfall-Neuverhandlung ausgelöst hat, die zum aktuellen EU-US-Datenprivatsphäre-Rahmenwerk (2023) führte.
Erwartetes Schrems III (2025-2026): NOYB hat Herausforderungen gegen die Angemessenheitsentscheidung des DPF eingereicht und argumentiert, dass FISA Abschnitt 702 weiterhin mit der GDPR unvereinbar ist. Eine CJEU-Überweisung wird erwartet.
78 % der Durchsetzungsfälle der DSB betreffen Datenübertragungen oder Drittanbieter-Integrationen — dieser transferzentrierte Fokus ist das prägende Merkmal der österreichischen Durchsetzung.
Die Google Analytics-Entscheidung der DSB
Die Entscheidung der DSB zu Google Analytics im Januar 2022 hat das Muster für alle nachfolgenden Durchsetzungsmaßnahmen bei Übertragungen festgelegt:
- IP-Adressen sind personenbezogene Daten. Selbst gekürzte IPs in Kombination mit Sitzungsdaten ermöglichen die Re-Identifizierung in Googles Datenbank.
- Zugriff von US-Anbietern = Übertragung. Wenn US-Ingenieure auf EU-Nutzerdaten zugreifen können (für Support, Wartung oder rechtliche Zwangsmaßnahmen), stellt dieser Zugriff eine Datenübertragung gemäß GDPR dar.
- SCCs ohne angemessene TIA = Verletzung. Standardvertragsklauseln ohne eine Transferauswirkungsbewertung, die zeigt, dass das US-Überwachungsrecht sie nicht außer Kraft setzt, sind unzureichend.
Die DSB stellte fest, dass der österreichische Website-Betreiber — nicht Google — der Datenverantwortliche war, der für die illegale Übertragung verantwortlich war. Dieses Prinzip betrifft jedes EU-Unternehmen, das Skripte von Drittanbietern einbettet.
Ergänzende technische Maßnahmen: Was tatsächlich funktioniert
Nach Schrems II gab die EDPB Leitlinien zu ergänzenden technischen Maßnahmen heraus, die erforderlich sind, wenn SCCs allein unzureichend sind. Die DSB setzt diese Leitlinien durch:
Verschlüsselung mit in der EU gehaltenen Schlüsseln: Wenn personenbezogene Daten aus der EU vor der Übertragung in die USA verschlüsselt werden und die Entschlüsselungsschlüssel ausschließlich von in der EU ansässigen Schlüsselinhabern gehalten werden, sind die Daten für die Zwecke der GDPR-Übertragung effektiv anonym — US-Behörden können keinen Zugriff auf Daten erzwingen, die sie nicht lesen können.
Pseudonymisierung vor der Übertragung: Wenn übertragene Daten nur pseudonyme Identifikatoren enthalten (Re-Identifizierungsschlüssel in der EU gehalten), sind die übertragenen Daten für die Übertragung keine "personenbezogenen Daten".
Lokale Verarbeitung: Daten, die niemals die in der EU gehostete Infrastruktur verlassen, vermeiden die Anforderungen an Übertragungen vollständig. Nur aggregierte, wirklich anonymisierte Statistiken werden übertragen.
Die DSB hat festgestellt, dass Organisationen, die US-SaaS-Anbieter für die Verarbeitung personenbezogener Daten in der EU nutzen, entweder diese Maßnahmen umsetzen oder nachweisen müssen, dass die Daten tatsächlich anonymisiert sind.
Das Schrems III-Risiko für Organisationen, die US-Anbieter nutzen
Organisationen, die ausschließlich auf den EU-US-Datenprivatsphäre-Rahmen (DPF) für US-Datenübertragungen angewiesen sind, sehen sich einem spezifischen Risiko gegenüber: Wenn NOYBs CJEU-Herausforderung erfolgreich ist — wie es bei Safe Harbor (2015) und Privacy Shield (2020) der Fall war — müssen Organisationen sofort nach alternativen Übertragungsmechanismen suchen.
Organisationen, die ergänzende technische Maßnahmen (Verschlüsselung mit in der EU gehaltenen Schlüsseln, echte Anonymisierung vor der Übertragung) nutzen, sind vor dem Risiko der Ungültigkeit des DPF geschützt. Die Übertragung findet technisch nicht statt, wenn die Daten tatsächlich anonymisiert oder mit Schlüsseln verschlüsselt sind, auf die der US-Anbieter keinen Zugriff hat.
Für österreichische Betriebe speziell: Website-Analysen mit US-Tools (Google Analytics, Mixpanel, Amplitude), CRM-Systeme mit US-Muttergesellschaften (Salesforce, HubSpot) und Cloud-Infrastrukturen mit US-zugänglichem Administrationszugang schaffen alle eine Exposition gegenüber DSB-Durchsetzungsmaßnahmen. Die Minderung besteht darin, sicherzustellen, dass personenbezogene Daten in diesen Systemen entweder tatsächlich anonymisiert sind, bevor sie die Systeme des Anbieters erreichen, oder mit Schlüsseln verschlüsselt sind, die ausschließlich vom EU-Verantwortlichen gehalten werden.
Quellen: