Doch ganz so einfach, wie es sich viele Unternehmen vorstellen, ist es in der Praxis dann doch nicht. Unabhängig davon ob ein Unternehmen die Datenübermittlung in ein Drittland auf den Angemessenheitsbeschluss stützt, bleiben es der Verantwortliche für die Daten, da diese in dem jeweiligen Unternehmen erhoben, verarbeitet und weitergegeben wurden. Folglich liegt es grundsätzlich auch in der Verantwortung des Unternehmens sicherzustellen, dass die Daten bei den genutzten Dienstleistern gemäß den Grundsätzen der DSGVO verarbeitet werden. Dass diese Überprüfungen sich bei großen Konzernen wie z.B. Google oder Facebook schwierig bis gar unmöglich gestalten, muss an dieser Stelle nicht weiter erläutert werden. Dies ist (auch weiterhin!) das Risiko, das jedes Unternehmen trägt, wenn es Daten in einen Drittstaat überträgt. Der Angemessenheitsbeschluss kann zwar grundsätzlich dazu in der Lage sein, gegenüber einer Datenschutzbehörde eine bessere Argumentationsgrundlage zu bieten, ein Restrisiko verbleibt für den Verantwortlichen allerdings immer und ist nur durch den Umstieg auf EU-Alternativen aufzulösen.
Um die Argumentation bzw. Betrachtungsweise der Datenschutzbehörden einmal nachzuvollziehen, kann das jüngste Urteil der schwedischen Datenschutzbehörde IMY zu Google Analystics als Beispiel dienen. Aufgrund von Beschwerden der Datenschutz-Organisation noyb („none of your buisness“) untersuchte die IMY bei vier schwedischen Unternehmen die Verwendung von Google Analytics auf der jeweiligen Unternehmenswebsite. Zu den betroffenen Unternehmen gehörten Tele 2, der schwedische Onlinehändler CDON, die Supermarktkette Coop sowie die Zeitung Dagens Industrie.
Dabei wurde das Unternehmen Tele 2 mit einem Bußgeld von 12 Millionen Schwedischen Kronen und CDON mit einem Bußgeld von 300.000 Schwedischen Kronen belegt. Dies entspricht je nach aktuellem Umrechnungskurs ungefähr 1.017.156 Euro (Tele 2) und 25.428 Euro (CDON). Für die Unternehmen Coop und Dagens Industrie ging die Kontaktaufnahme durch die Behörde noch einigermaßen glimpflich aus, da diese lediglich angewiesen wurden ihren Einsatz von Google Analytics datenschutzkonform zu gestalten. Die Behörde verwies dabei insbesondere auf Art. 58 Abs. 2 lit. d DSGVO (Befugnisse der Aufsichtsbehörden).
Alle vier Unternehmen hatten gemeinsam, dass die Übermittlung personenbezogener Daten an Google Analytics in die USA auf den Standardvertragsklauseln gestützt wurde. Die Datenschutzbehörde kritisierte trotz der Vertragsdokumente, dass keine weiterführenden und ausreichenden technischen Schutzmaßnahmen implementiert wurden, die einen Zugriff auf die personenbezogenen Daten durch US-Geheimdienste hätten verhindern können. Laut der IMY ist dies aufgrund des Schrems II-Urteils nötig.
Tatsächlich ist die schwedische IMY in Hinblick auf die Bußgeldhöhe die erste Datenschutzbehörde, die ein Millionenbußgeld aufgrund der Nutzung von Google Analytics verhängt. Hinsichtlich der Argumentation ist sich die IMY allerdings mit vielen Datenschutzbehörden einig, die allesamt der Ansicht sind, dass die Nutzung von Google Analytics gegen die DSGVO verstößt. Zwar könnte die Problematik des Drittlandtransfers zum aktuellen Zeitpunkt durch den Angemessenheitsbeschluss der EU-Kommission als „entschärft“ betrachtet werden. Allerdings wird seitens der Datenschutzbehörden weiterhin kritisiert, dass die Verarbeitung der Daten bei Google noch immer zu intransparent ist.
Zu empfehlen ist nach wie vor die Nutzung eines EU-Anbieters oder zumindest die Vornahme datenschutzfreundlicher Grundeinstellungen bei Google, insbesondere da aktuell nicht abschließend geklärt ist, ob der Konzern die Anforderungen des DPF überhaupt erfüllt.