Weitreichendes Urteil: EuGH erklärt Privacy-Shield-Abkommen für ungültig

Inhaltsverzeichnis

1. Was ist der Hintergrund des Rechtsstreits?
2. Datenschutz in den USA unzureichend
3. Was bedeutet das Urteil in der Praxis?
4. Welche Dienste sind konkret betroffen?
5. Checkliste: Was Sie jetzt konkret tun sollten
6. Ihre Datenschutzerklärung jetzt aktualisieren

1. Was ist der Hintergrund des Rechtsstreits?

Mit seiner Klage gegen die Facebook Ireland Ltd. hat der Österreicher Max Schrems nun nach dem Safe Harbour abkommen bereits die zweite Vereinbarung zwischen EU und USA zu Fall gebracht. Begonnen hat alles mit einer Beschwerde bei der irischen Aufsichtsbehörde DPC. Sie ist für die Europa-Zentrale des sozialen Mediums in Dublin zuständig. Die Daten europäischer Facebook-Nutzer werden aber großenteils nicht hier verarbeitet, sondern auf Server in den Vereinigten Staaten überspielt.

Eigentlich hatte der damalige Jura-Student ein Verbot dieser Praxis erreichen wollen. Denn seiner Auffassung nach waren seine personenbezogenen Daten durch US-Recht nicht ausreichend geschützt. Daran ändere auch das sogenannte Safe-Harbour-Abkommen nichts, dessen Unterzeichner ein „angemessenes Schutzniveau“ garantiert hatten.

2015 gab der Europäische Gerichtshof Schrems Recht und erklärte die Safe-Harbour-Vereinbarung für ungültig. Facebook allerdings transferierte weiterhin Daten in die USA. Grundlage waren nun sogenannte Standardvertrags-Klauseln sowie das Nachfolge-Abkommen zu Safe Harbour: Privacy Shield. Weil auch damit europäische Daten nicht vor dem Zugriff der US-Geheimdienste geschützt seien, klagte Schrems erneut.

2. Kein ausreichender Datenschutz in USA

Die Luxemburger Richter stellten nun fest, dass auch der sogenannte „Datenschutzschild“ Privacy Shield ungültig ist. Bei der Übertragung von Daten europäischer Verbraucher in ein Drittland müsse ein Schutzniveau gewahrt werden, das dem der DSGVO entspreche. Davon könne auf Grundlage der US-Gesetzgebung nicht ausgegangen werden.

Beispielsweise seien die dortigen Überwachungsprogramme nicht auf das zwingend erforderliche Maß beschränkt. Vor allem aber hätten Europäer keine Klagemöglichkeit, falls sie eine missbräuchliche Verarbeitung persönlicher Informationen vermuteten.

3. Was bedeutet das Urteil in der Praxis?

Das Urteil des EuGH bedeutet nicht, dass nun grundsätzlich keine europäischen Daten mehr in den USA verarbeitet werden dürfen. Die so genannten EU-Standardvertragsklauseln können nach Ansicht der Luxemburger Richter eine gültige Grundlage für den Transfer bilden. Unter einer Voraussetzung allerdings: Bei der Übermittlung personenbezogener Daten muss das vom Unionsrecht verlangte Schutzniveau eingehalten werden. Ob das aufgrund der US-Gesetze überhaupt möglich ist, müssen die jeweiligen unternehmen in den USA sicherzustellen.

Eine andere Möglichkeit wäre, die Nutzer jeweils in die Übertragung ihrer Daten in die USA einwilligen zu lassen. Hier muss man aber wohl abwarten, wie sich die jeweiligen US-Unternehmen in den nächsten Tagen und Wochen positionieren.

Mittelfristig müssen alle Unternehmen eine Bestandsaufnahme der genutzten Anbieter vornehmen. Die Datenschutzbehörden können sonst Bußgelder wegen der unberechtigten Übertragung von Nutzerdaten in die USA verhängen.

Sören SiebertRechtsanwalt

4. Welche Dienste sind konkret betroffen?

Die ganze Reichweite des Urteils wird sich erst in den nächsten Wochen und Monaten zeigen. Für eine schnelle Überprüfung, welche Dienste vom Wegfall des Privacy Shield betroffen sein können finden Sie hier einen ersten Überblick über die am häufigsten eingesetzten US-Anbieter und Plattformen:

CDN

• Cloudflare

Social Media

• Facebook-Connect
• Facebook Plugins
• Twitter Plugin
• Instagram Plugin
• Tumblr Plugin
• LinkedIn Plugin
• Pinterest Plugin

Tracking-Dienste

• Google Analytics
• WordPress Stats

Ad Networks

• Google Ads
• Google Adsense
• Google Adsense (nicht personalisiert)
• Google Remarketing
• Google Conversion Tracking
• Google Doubleclick
• Facebook Pixel

Newsletter-Anbieter

• MailChimp
• MailChimp mit deaktivierter Erfolgsmessung
• ActiveCampaign

Musik-/Videoplattformen

• YouTube
• YouTube mit erweitertem Datenschutz
• Vimeo
• Vimeo ohne Tracking
• SoundCloud
• Spotify

Videokonferenz-Tools

• Zoom
• Skype for Business
• GoToMeeting
• Microsoft Teams
• Google Hangouts
• Google Meet

Sonstige Tools

• Google Web Fonts
• Adobe Fonts
• Google Maps
• Google reCAPTCHA
• Amazon Partnerprogramm

5. Checkliste: Was Sie jetzt konkret tun sollten

Zunächst einmal: Nicht in Panik verfallen. Nutzen Sie die nächstenTag und Wochen für folgende Schritte:

• Erstellen Sie eine Liste mit Softwareanbieter und Dienstleister aus den USA, die Sie nutzen.
• Analysieren Sie, ob hier personenbezogene Daten der Nutzer an diese Unternehmen übermittelt werden.
• Prüfen Sie, ob ihr Anbieter eine Regelung für Kunden aus der EU treffen wird oder schreiben Sie die Anbieter an und fragen nach, welche Lösungen das Unternehmen treffen wird (Einwilligung, EU-Standard-Vertragsklausel, Datenspeicherung ausschließlich auf EU-Servern...)
• Prüfen Sie, ob in Ihrer Datenschutzerklärung die Datenübertragung bei bestimmten Unternehmen auf das Privacy Shield Abkommen gestützt war.
• Passen Sie die Formulierungen in Ihrer Datenschutzerklärung an.

6. Ihre Datenschutzerklärung jetzt aktualisieren

Kostenlos Datenschutzerklärung neu erstellen

Wir haben unseren kostenlosen Generator für Datenschutzerklärungen überarbeitet. Sie können hier kostenlos eine neue Datenschutzerklärung für Ihre Webseite erstellen, die das aktuelle EuGH-Urteil umsetzt. 

Datenschutzerklärung schnell aktualisieren

eRecht24 Premium Nutzer können eine aktuelle Datenschutzerklärung erstellen oder Ihre bestehenden Datenschutzerklärungen mit 2 Klicks aktualisieren, egal welche Anbieter und Tools Sie nutzen. 

Gehen Sie dazu in den Projekt Manager, öffenen die jeweilige Datenschutzerklärung und klicken rechts auf den Button “Änderung abschließen”.