Die Vereinbarung für den Datenaustausch zwischen Europa und den USA ist vom höchsten EU-Gericht gekippt worden. Informationen über europäische Verbraucher seien auf US-Servern nicht vor dem Zugriff dortiger Behörden und Geheimdienste geschützt, so die Richter. Die Entscheidung betrifft amerikanische IT-Konzerne wie Facebook oder Google, aber auch zahlreiche Hoster, Tracking- und Newsletteranbieter.
Inhaltsverzeichnis
- Was ist der Hintergrund des Rechtsstreits?
- Datenschutz in den USA unzureichend
- Was bedeutet das Urteil in der Praxis?
- Welche Dienste sind konkret betroffen?
- Checkliste: Was Sie jetzt konkret tun sollten
- Ihre Datenschutzerklärung jetzt aktualisieren
1. Was ist der Hintergrund des Rechtsstreits?
Mit seiner Klage gegen die Facebook Ireland Ltd. hat der Österreicher Max Schrems nun nach dem Safe Harbour abkommen bereits die zweite Vereinbarung zwischen EU und USA zu Fall gebracht. Begonnen hat alles mit einer Beschwerde bei der irischen Aufsichtsbehörde DPC. Sie ist für die Europa-Zentrale des sozialen Mediums in Dublin zuständig. Die Daten europäischer Facebook-Nutzer werden aber großenteils nicht hier verarbeitet, sondern auf Server in den Vereinigten Staaten überspielt.
Eigentlich hatte der damalige Jura-Student ein Verbot dieser Praxis erreichen wollen. Denn seiner Auffassung nach waren seine personenbezogenen Daten durch US-Recht nicht ausreichend geschützt. Daran ändere auch das sogenannte Safe-Harbour-Abkommen nichts, dessen Unterzeichner ein „angemessenes Schutzniveau“ garantiert hatten.
2015 gab der Europäische Gerichtshof Schrems Recht und erklärte die Safe-Harbour-Vereinbarung für ungültig. Facebook allerdings transferierte weiterhin Daten in die USA. Grundlage waren nun sogenannte Standardvertrags-Klauseln sowie das Nachfolge-Abkommen zu Safe Harbour: Privacy Shield. Weil auch damit europäische Daten nicht vor dem Zugriff der US-Geheimdienste geschützt seien, klagte Schrems erneut.
2. Kein ausreichender Datenschutz in USA
Die Luxemburger Richter stellten nun fest, dass auch der sogenannte „Datenschutzschild“ Privacy Shield ungültig ist. Bei der Übertragung von Daten europäischer Verbraucher in ein Drittland müsse ein Schutzniveau gewahrt werden, das dem der DSGVO entspreche. Davon könne auf Grundlage der US-Gesetzgebung nicht ausgegangen werden.
Beispielsweise seien die dortigen Überwachungsprogramme nicht auf das zwingend erforderliche Maß beschränkt. Vor allem aber hätten Europäer keine Klagemöglichkeit, falls sie eine missbräuchliche Verarbeitung persönlicher Informationen vermuteten.
3. Was bedeutet das Urteil in der Praxis?
Das Urteil des EuGH bedeutet nicht, dass nun grundsätzlich keine europäischen Daten mehr in den USA verarbeitet werden dürfen. Die so genannten EU-Standardvertragsklauseln können nach Ansicht der Luxemburger Richter eine gültige Grundlage für den Transfer bilden. Unter einer Voraussetzung allerdings: Bei der Übermittlung personenbezogener Daten muss das vom Unionsrecht verlangte Schutzniveau eingehalten werden. Ob das aufgrund der US-Gesetze überhaupt möglich ist, müssen die jeweiligen unternehmen in den USA sicherzustellen.
Eine andere Möglichkeit wäre, die Nutzer jeweils in die Übertragung ihrer Daten in die USA einwilligen zu lassen. Hier muss man aber wohl abwarten, wie sich die jeweiligen US-Unternehmen in den nächsten Tagen und Wochen positionieren.
Mittelfristig müssen alle Unternehmen eine Bestandsaufnahme der genutzten Anbieter vornehmen. Die Datenschutzbehörden können sonst Bußgelder wegen der unberechtigten Übertragung von Nutzerdaten in die USA verhängen.
4. Welche Dienste sind konkret betroffen?
Die ganze Reichweite des Urteils wird sich erst in den nächsten Wochen und Monaten zeigen. Für eine schnelle Überprüfung, welche Dienste vom Wegfall des Privacy Shield betroffen sein können finden Sie hier einen ersten Überblick über die am häufigsten eingesetzten US-Anbieter und Plattformen:
CDN
- Cloudflare
Social Media
- Facebook-Connect
- Facebook Plugins
- Twitter Plugin
- Instagram Plugin
- Tumblr Plugin
- LinkedIn Plugin
- Pinterest Plugin
Tracking-Dienste
- Google Analytics
- WordPress Stats
Ad Networks
- Google Ads
- Google Adsense
- Google Adsense (nicht personalisiert)
- Google Remarketing
- Google Conversion Tracking
- Google Doubleclick
- Facebook Pixel
Newsletter-Anbieter
- MailChimp
- MailChimp mit deaktivierter Erfolgsmessung
- ActiveCampaign
Musik-/Videoplattformen
- YouTube
- YouTube mit erweitertem Datenschutz
- Vimeo
- Vimeo ohne Tracking
- SoundCloud
- Spotify
Videokonferenz-Tools
- Zoom
- Skype for Business
- GoToMeeting
- Microsoft Teams
- Google Hangouts
- Google Meet
Sonstige Tools
- Google Web Fonts
- Adobe Fonts
- Google Maps
- Google reCAPTCHA
- Amazon Partnerprogramm
5. Checkliste: Was Sie jetzt konkret tun sollten
Zunächst einmal: Nicht in Panik verfallen. Nutzen Sie die nächstenTag und Wochen für folgende Schritte:
- Erstellen Sie eine Liste mit Softwareanbieter und Dienstleister aus den USA, die Sie nutzen.
- Analysieren Sie, ob hier personenbezogene Daten der Nutzer an diese Unternehmen übermittelt werden.
- Prüfen Sie, ob ihr Anbieter eine Regelung für Kunden aus der EU treffen wird oder schreiben Sie die Anbieter an und fragen nach, welche Lösungen das Unternehmen treffen wird (Einwilligung, EU-Standard-Vertragsklausel, Datenspeicherung ausschließlich auf EU-Servern...)
- Prüfen Sie, ob in Ihrer Datenschutzerklärung die Datenübertragung bei bestimmten Unternehmen auf das Privacy Shield Abkommen gestützt war.
- Passen Sie die Formulierungen in Ihrer Datenschutzerklärung an.
6. Ihre Datenschutzerklärung jetzt aktualisieren
Kostenlos Datenschutzerklärung neu erstellen
Wir haben unseren kostenlosen Generator für Datenschutzerklärungen überarbeitet. Sie können hier kostenlos eine neue Datenschutzerklärung für Ihre Webseite erstellen, die das aktuelle EuGH-Urteil umsetzt.
Datenschutzerklärung schnell aktualisieren
eRecht24 Premium Nutzer können eine aktuelle Datenschutzerklärung erstellen oder Ihre bestehenden Datenschutzerklärungen mit 2 Klicks aktualisieren, egal welche Anbieter und Tools Sie nutzen.
Gehen Sie dazu in den Projekt Manager, öffenen die jeweilige Datenschutzerklärung und klicken rechts auf den Button “Änderung abschließen”.
Wenn nein, warum sind Fanpages hier nicht betroffen?
Warum stehen jetzt Mailchimp und Google Analytics mit auf der Liste? Sind die AVV mit Unternehmen in den USA alle hinfällig? Dann müssten wir ja einige Leitungen kappen.
Vielen Dank schon mal
Wenn ich z.B. Google Maps eingebunden habe, die Nutzung aber nur mit aktiver Einwilligung des Nutzers per Cookie Opt-in möglich ist, sollte das doch okay sein, oder? Das wäre doch die gewünschte DSGVO-Entsprechung.
"Bei der Übertragung von Daten europäischer Verbraucher in ein Drittland müsse ein Schutzniveau gewahrt werden, das dem der DSGVO entspreche." (aus dem obigen Text)
klingt ja als könnten deutsche AWS Datencenter problemlos sein, zumindest solange man keine Cloudfront Distributionen oder ähnliche globale Replika nutzt, hmm..
ADMIN info: Interessant, emojis scheinen nicht zu funktionieren, es kommt aber leider keinerlei Hinweis, das oder weshalb das Kommentar nicht geposted werden konnte, erst die Console gab aufschluss..so als Info falls ein Admin hier mitliest
Hier wird leider immer nur von Unternehmen gesprochen.
Doch inwiefern betrifft das jetzt Privatpersonen? Darf ich die oben genannten Dienste oder Software/ Hardware großer Anbieter wie Google, Microsoft und Apple überhaupt noch nutzen?
Muss ich vor dem Klick auf den Link darauf hinweisen, dass dies ein Service von Heroku ist, die meines Wissens in den USA sitzen? ;-)
Mit diesem Tool geht das sehr leicht: https://google-webfonts-helper.herokuapp.com/fonts