Wenn Sie in einem Filialnetz Analytik betreiben, ist "Schrems II" Sie wahrscheinlich eher als Compliance-Sorge erreicht denn als Fallname, den Sie gelesen haben. Die Sorge ist berechtigt und die Mechanik lohnt es, richtig zu verstehen, denn das Urteil hat verändert, wie personenbezogene Daten aus der EU in Länder außerhalb der EU übermittelt werden dürfen, und ein Großteil der Handelsanalytik tut still und leise genau das. Frequenzdaten wirken harmlos, bis Sie nachverfolgen, wohin sie gehen: das Videomaterial eines Kamerazählers, die Gerätekennungen eines WLAN-Trackers, ein Cloud-Dashboard, das in einer anderen Rechtsordnung gehostet wird. Sobald personenbezogene Daten eine Grenze überschreiten, ist Schrems II im Raum.

Dieser Beitrag behandelt speziell den Aspekt der grenzüberschreitenden Übermittlung. Er erklärt, was der Gerichtshof der Europäischen Union tatsächlich entschieden hat, warum es Anbieter von Handelsanalytik trifft, wie sich die Übermittlungsfrage von der Residenzfrage unterscheidet und warum eine Zählmethode, die keine personenbezogenen Daten erfasst, die Rechnung an der Wurzel verändert. Wo Daten gespeichert und gehostet werden statt wohin sie übermittelt werden, behandelt Datenresidenz für die Handelsanalytik; dieser Beitrag übernimmt die Übermittlungsseite dieses Paares. Dies sind allgemeine Informationen, keine Rechtsberatung.
Was bedeutet Schrems II für die Handelsanalytik?
Schrems II ist das Urteil des Gerichtshofs der Europäischen Union aus dem Jahr 2020 (Rechtssache C-311/18), das den EU-US-Datenschutzschild (Privacy Shield) für ungültig erklärte und die Bedingungen für die Übermittlung personenbezogener Daten aus der EU in Drittländer verschärfte. Für die Handelsanalytik ist es relevant, wenn ein Anbieter personenbezogene Daten wie Videomaterial oder Gerätekennungen aus der EU heraus bewegt, denn jede Übermittlung benötigt dann einen gültigen Rechtsmechanismus und eine Einzelfallprüfung. Eine Frequenzmethode, die keine personenbezogenen Daten erfasst, verändert das Bild an der Wurzel: Sind die verarbeiteten Daten keine personenbezogenen Daten, greifen die von Schrems II bekräftigten Übermittlungsbeschränkungen nicht in gleicher Weise. Dies sind allgemeine Informationen, keine Rechtsberatung; bestätigen Sie Ihre konkreten Übermittlungen mit Ihrer DSB oder Rechtsberatung.
Was Schrems II tatsächlich bewirkt hat
Die Rechtssache heißt formal EuGH-Rechtssache C-311/18, entschieden am 16. Juli 2020. Sie ging aus einer Beschwerde über die Übermittlung personenbezogener Daten aus der EU in die Vereinigten Staaten hervor, und ihre praktische Wirkung war unmissverständlich: Der Gerichtshof kippte den EU-US-Datenschutzschild, das Rahmenwerk, auf das sich viele Organisationen verlassen hatten, um personenbezogene Daten über den Atlantik zu bewegen. Über Nacht verloren Übermittlungen, die als gedeckt galten, den Mechanismus, auf den sie sich gestützt hatten.
Das Urteil bewirkte mehr, als ein Rahmenwerk zu beseitigen. Es bekräftigte, dass man andere Übermittlungsinstrumente wie die Standardvertragsklauseln nicht als Gummistempel behandeln darf, wenn man sich auf sie stützt. Der Exporteur muss die Rechtslage des Bestimmungslandes prüfen und beurteilen, ob personenbezogene Daten aus der EU dort tatsächlich einen Schutz erhalten, der dem in der EU gleichwertig ist. Wo dies nicht der Fall ist, sind zusätzliche Garantien erforderlich, und lässt sich kein angemessener Schutz erreichen, sollte die Übermittlung nicht erfolgen. Kurz gesagt verlagerte das Urteil die Last auf die übermittelnde Partei, zu prüfen und zu dokumentieren, dass die Daten geschützt bleiben, wo immer sie landen.
Für ein Datenschutzteam bedeutet das eine Einzelfallprüfung der Übermittlung personenbezogener Daten, die die EU verlassen, statt der pauschalen Annahme, eine unterzeichnete Klausel erledige die Sache. Das ist die Form der Pflicht, die Schrems II hinterlassen hat, und es ist der Grund, warum "wohin gehen unsere Frequenzdaten eigentlich" zu einer Frage wurde, die Handelsteams ihren Analytik-Anbietern zu stellen begannen.
Warum es Anbieter von Handelsanalytik trifft
Handelsanalytik wird in dem Moment zu einem Übermittlungsproblem, in dem die beteiligten Daten personenbezogene Daten sind und die Verarbeitung eine Grenze überschreitet. Zwei gängige Frequenzmethoden bringen personenbezogene Daten ins Spiel. Kamerabasierte Zähler zeichnen Bilder von Personen auf, die personenbezogene Daten sind, sobald eine Person darin identifizierbar ist. WLAN- und Geräte-Tracking-Zähler erfassen MAC-Adressen oder andere Gerätekennungen, die Aufsichtsbehörden seit langem als personenbezogene Daten behandeln, weil sich damit ein Gerät und über dieses eine Person herausgreifen lässt.
Nun kommt die Cloud hinzu. Werden jenes Videomaterial oder jene Gerätekennungen auf einer Infrastruktur außerhalb der EU verarbeitet oder gespeichert, oder durch einen Anbieter, dessen Muttergesellschaft den Zugriffsgesetzen eines anderen Landes unterliegt, so wurden die Daten in dem Sinne in ein Drittland übermittelt, um den es Schrems II geht. Der Händler als Verantwortlicher ist derjenige, der nachweisen können muss, dass diese Übermittlung rechtmäßig ist: der richtige Mechanismus vorhanden, das Bestimmungsland geprüft, Garantien ergänzt, wo die Prüfung es verlangt. Das beruhigende "das ist alles in der Cloud" eines Anbieters ist keine Antwort auf diese Frage. Oft ist es ihr Anfang.
Deshalb ist der Übermittlungsaspekt von der Frage des Speicherorts zu unterscheiden. Sie können Daten innerhalb der EU hosten und dennoch ein Übermittlungsproblem haben, wenn eine Muttergesellschaft außerhalb der EU zum Zugriff gezwungen werden kann. Und Sie können auf dem Papier eine saubere Übermittlungslage haben, die in dem Moment zusammenbricht, in dem jemand die Überwachungsgesetze des Bestimmungslandes tatsächlich liest. Der einzige Weg, das Problem zuverlässig zu verkleinern, besteht darin, die Menge personenbezogener Daten zu reduzieren, die überhaupt übermittelt werden kann.
Datenresidenz versus Datenübermittlung: zwei verschiedene Fragen
Diese beiden Begriffe werden austauschbar verwendet, und ihre Vermengung führt zu echten Fehlern. Datenresidenz betrifft, wo Daten physisch liegen: in welchem Land die Rechenzentren sie im Ruhezustand halten. Datenübermittlung betrifft das Bewegen von Daten aus einer Rechtsordnung in eine andere, und entscheidend ist, wer sie erreichen kann, nicht nur, wo die Festplatte steht.
Sie können die Residenz erfüllen und dennoch bei der Übermittlung scheitern. Ein in Frankfurt gespeicherter Datensatz ist in der EU ansässig, doch wenn der betreibende Anbieter den rechtmäßigen Zugriffsbefugnissen einer ausländischen Regierung unterliegt, ist die Möglichkeit, dass diese Daten von außerhalb der EU erreicht werden, ungeachtet des physischen Standorts ein übermittlungsrechtliches Thema. Schrems II ist im Kern ein Übermittlungsurteil, kein Residenzurteil. Es geht um den Schutz, den personenbezogene Daten erhalten, sobald auf sie unter der Rechtsordnung eines anderen Landes zugegriffen werden kann, gleichgültig wo die Bytes ruhen.
Für die Residenzseite des Paares, die behandelt, wo Frequenzdaten gehostet und gespeichert werden, siehe Datenresidenz für die Handelsanalytik. Die beiden Fragen getrennt zu halten ist das, was einem Handelsteam erlaubt, auf jede eine klare Antwort zu geben statt auf beide eine verworrene. Für die parallele Frage in den Vereinigten Staaten, wie das dortige einzelstaatliche Datenschutzrecht die Handelsanalytik behandelt, siehe US-Datenschutzrecht und Handelsanalytik.
Wie Zählung ohne personenbezogene Daten die Übermittlungsrisiko-Rechnung verändert
Jede bisher erörterte Garantie ist eine Art, personenbezogene Daten während ihrer Bewegung zu schützen. Es gibt einen grundlegenderen Schritt: von vornherein keine personenbezogenen Daten zu erfassen. Erzeugt die Frequenzmessung keine personenbezogenen Daten, greifen die von Schrems II bekräftigten Übermittlungsbeschränkungen nicht in gleicher Weise, denn diese Beschränkungen regeln speziell die Übermittlung personenbezogener Daten.
Ariadne misst dies mit Hybrid Fusion, der patentierten kamerafreien Methode. Time-of-Flight-Tiefensensorik zählt an den Eingängen jeden Besucher und erfasst Geometrie statt Bilder, während die patentierte Signalerfassung die Bewegung im Innenraum verfolgt und die Signale erkennt, die ein Telefon aussendet, selbst im Flugmodus, und diese Bewegung auf etwa einen Meter genau auflöst. Der Sensor streamt beide Datenströme an Ariadne, wo Hybrid Fusion sie zu einer Trajektorie pro Besuch zusammenführt und Zählwerte, Verweildauer und Wege berechnet. Die Datenströme tragen keine Identifikatoren: keine MAC-Adresse, keine Geräte-ID, keine biometrischen Daten, und es ist keine Kamera beteiligt. Identifikatoren werden nur gespeichert, wenn ein Besucher ausdrücklich zustimmt, was die Methode datenschutzfreundlich und außerhalb des biometrischen Bereichs hält.
An der Übermittlungsfrage gemessen zählt das an der Wurzel, nicht auf der Ebene der Garantien. Die verarbeiteten Daten sind eine Zählung, eine Verweildauer und eine Wegform, von denen keine jemanden identifiziert. Es ist nicht so, dass Ariadne personenbezogene Daten sorgfältig über Grenzen bewegt; es ist so, dass die Zählung selbst keine personenbezogenen Daten sind, sodass die übermittlungsrechtliche Frage, die der Händler sonst durcharbeiten müsste, für die Zählung gar nicht erst entsteht. Das ist nicht dasselbe wie personenbezogene Daten zu erfassen und sie anschließend zu behandeln, und es ist keine Behauptung, dass Ariadne die Identität nachträglich entfernt. Es wird von vornherein keine Identität erfasst, also gibt es nichts Personenbezogenes, das auf seinem Weg über eine Grenze zu schützen wäre.
Es gibt eine ehrliche Ausnahme, die getrennt zu halten ist. Aktiviert eine Installation eine optionale identifizierte Funktion, etwa ein Gäste-WLAN-Login, das ein Besucher freiwillig ausfüllt, so verarbeitet diese Funktion personenbezogene Daten und sollte für sich beurteilt werden, einschließlich jeder Übermittlung, die sie berührt. Die anonyme Zählung und die Opt-in-Funktion sind unterschiedliche Datenflüsse und sollten als solche behandelt werden. Warum eine Gerätekennung überhaupt ein personenbezogenes Datum ist, was den Kern der gesamten Übermittlungssorge bildet, behandelt warum Gerätekennungen personenbezogene Daten sind, und die zugrunde liegende Sensorik ist eine nicht-biometrische Wahl, erklärt in nicht-biometrische Zählung.
Eine praktische Checkliste zur Beurteilung der Übermittlungslage eines Anbieters
Wenn ein Handelsteam einen Analytik-Anbieter unter Schrems-II-Gesichtspunkten prüft, sind die nützlichen Fragen konkret. Dies sind allgemeine Prüfungshinweise, keine rechtliche Vorlage; Ihre DSB oder Rechtsberatung sollte die endgültige Beurteilung für Ihr Filialnetz gestalten.
- Erfasst die Methode überhaupt personenbezogene Daten? Erfasst sie keine Bilder, keine Gerätekennungen und keine biometrischen Daten, schrumpft die Übermittlungsfrage dramatisch, noch bevor überhaupt ein Mechanismus erörtert wird.
- Wo und durch wen werden die Daten verarbeitet und gespeichert? Fragen Sie nach den tatsächlichen Verarbeitungsorten und Unterauftragsverarbeitern, nicht nach einem Marketingsatz über "die Cloud".
- Kann eine Stelle außerhalb der EU zum Zugriff auf die Daten gezwungen werden? Eine Muttergesellschaft oder ein Unterauftragsverarbeiter außerhalb der EU kann eine Übermittlungssorge auslösen, selbst wenn die Speicherung innerhalb der EU liegt.
- Auf welchen Übermittlungsmechanismus wird sich gestützt, wo personenbezogene Daten die EU verlassen, und wurde eine Prüfung des Bestimmungslandes durchgeführt? Ein unterzeichneter Klauselsatz ist ein Ausgangspunkt, nicht das Ziel.
- Sind optionale identifizierte Funktionen (Gäste-WLAN, Treueprogramm-Verknüpfungen) als eigene Datenflüsse mit eigener Übermittlungslage dokumentiert?
Die erste Frage ist die, die am meisten verändert. Ein Anbieter, dessen Methode keine personenbezogenen Daten erzeugt, gibt Ihnen eine weitaus kürzere Prüfung als einer, dessen Methode von Videomaterial oder Gerätekennungen abhängt, denn ein Großteil der Übermittlungsmaschinerie greift erst, sobald personenbezogene Daten vorhanden sind.
FAQ
Was ist Schrems II in einfachen Worten?
Schrems II ist ein Urteil des Gerichtshofs der Europäischen Union aus dem Jahr 2020 (Rechtssache C-311/18), das den EU-US-Datenschutzschild für ungültig erklärte und Organisationen dazu verpflichtete, im Einzelfall zu prüfen, ob personenbezogene Daten aus der EU angemessen geschützt bleiben, wenn sie in ein Land außerhalb der EU übermittelt werden. Es verlagerte die Beweislast auf die übermittelnde Partei.
Gilt Schrems II für Frequenz- und People-Counting-Daten?
Es gilt immer dann, wenn diese Daten personenbezogene Daten sind und außerhalb der EU übermittelt werden. Videomaterial und Gerätekennungen sind personenbezogene Daten, sodass ihre Verlagerung auf eine Infrastruktur außerhalb der EU die Übermittlungsfrage aufwirft. Eine Zählmethode, die keine personenbezogenen Daten erfasst, bringt von vornherein keine personenbezogenen Daten in die Übermittlung ein.
Ist Datenresidenz dasselbe wie eine Übermittlungsbeschränkung?
Nein. Residenz betrifft, wo Daten physisch liegen; Übermittlung betrifft die Bewegung von Daten in eine andere Rechtsordnung und wer dort auf sie zugreifen kann. Sie können Daten innerhalb der EU hosten und dennoch eine Übermittlungssorge haben, wenn eine Stelle außerhalb der EU zum Zugriff gezwungen werden kann. Schrems II ist im Kern ein Übermittlungsurteil.
Wie verringert kamerafreie Zählung die Schrems-II-Exposition?
Sie erfasst keine personenbezogenen Daten: keine Kamerabilder, standardmäßig keine MAC-Adresse und keine biometrischen Daten. Da die von Schrems II bekräftigten Übermittlungsbeschränkungen die Übermittlung personenbezogener Daten regeln und die Zählung keine personenbezogenen Daten sind, entsteht diese konkrete Frage für die Zählung selbst nicht. Optionale Opt-in-Funktionen, die personenbezogene Daten verarbeiten, sollten gesondert beurteilt werden.
Müssen wir dennoch unsere DSB einbinden?
Ja. Dies sind allgemeine Informationen, keine Rechtsberatung. Ihre Datenschutzbeauftragte oder Rechtsberatung sollte Ihre konkreten Übermittlungen, Mechanismen und etwaige Opt-in-Funktionen für Ihre eigene Installation beurteilen, bevor Sie sich auf eine hier beschriebene Position stützen.

---



