Die Vereinbarung für den Datenaustausch zwischen Europa und den USA ist vom höchsten EU-Gericht gekippt worden. Informationen über europäische Verbraucher seien auf US-Servern nicht vor dem Zugriff dortiger Behörden und Geheimdienste geschützt, so die Richter. Die Entscheidung betrifft amerikanische IT-Konzerne wie Facebook oder Google, aber auch zahlreiche Hoster, Tracking- und Newsletteranbieter.
Inhaltsverzeichnis
- Was ist der Hintergrund des Rechtsstreits?
- Datenschutz in den USA unzureichend
- Was bedeutet das Urteil in der Praxis?
- Welche Dienste sind konkret betroffen?
- Welche konkreten Lösungen gibt es?
- Checkliste: Was Sie jetzt konkret tun sollten
- Ihre Datenschutzerklärung jetzt aktualisieren
- Exklusives Live Webinar zum Ende von Privacy Shield
1. Was ist der Hintergrund des Rechtsstreits?
Mit seiner Klage gegen die Facebook Ireland Ltd. hat der Österreicher Max Schrems nun nach dem Safe Harbour abkommen bereits die zweite Vereinbarung zwischen EU und USA zu Fall gebracht. Begonnen hat alles mit einer Beschwerde bei der irischen Aufsichtsbehörde DPC. Sie ist für die Europa-Zentrale des sozialen Mediums in Dublin zuständig. Die Daten europäischer Facebook-Nutzer werden aber großenteils nicht hier verarbeitet, sondern auf Server in den Vereinigten Staaten überspielt.
Eigentlich hatte der damalige Jura-Student ein Verbot dieser Praxis erreichen wollen. Denn seiner Auffassung nach waren seine personenbezogenen Daten durch US-Recht nicht ausreichend geschützt. Daran ändere auch das sogenannte Safe-Harbour-Abkommen nichts, dessen Unterzeichner ein „angemessenes Schutzniveau“ garantiert hatten.
2015 gab der Europäische Gerichtshof Schrems Recht und erklärte die Safe-Harbour-Vereinbarung für ungültig. Facebook allerdings transferierte weiterhin Daten in die USA. Grundlage waren nun sogenannte Standardvertrags-Klauseln sowie das Nachfolge-Abkommen zu Safe Harbour: Privacy Shield. Weil auch damit europäische Daten nicht vor dem Zugriff der US-Geheimdienste geschützt seien, klagte Schrems erneut.
2. Kein ausreichender Datenschutz in USA
Die Luxemburger Richter stellten nun fest, dass auch der sogenannte „Datenschutzschild“ Privacy Shield ungültig ist. Bei der Übertragung von Daten europäischer Verbraucher in ein Drittland müsse ein Schutzniveau gewahrt werden, das dem der DSGVO entspreche. Davon könne auf Grundlage der US-Gesetzgebung nicht ausgegangen werden.
Beispielsweise seien die dortigen Überwachungsprogramme nicht auf das zwingend erforderliche Maß beschränkt. Vor allem aber hätten Europäer keine Klagemöglichkeit, falls sie eine missbräuchliche Verarbeitung persönlicher Informationen vermuteten.
3. Was bedeutet das Urteil in der Praxis?
Das Urteil des EuGH bedeutet eigentlich, dass jetzt erst einmal keine Nutzerdaten aus der EU mehr in die USA übertragen und dort verarbeitet werden dürfen. Was das aus für unzählige Tools und Dienste bedeuten würde, die aktuell auf deutschen und europäischen Webseiten genutzt werden. Was defacto (mal wieder) das Ende des Internet wie wir es kennen bedeutet würde.
Mittelfristig müssen alle Unternehmen eine Bestandsaufnahme der genutzten Anbieter vornehmen. Die Datenschutzbehörden können sonst Bußgelder wegen der unberechtigten Übertragung von Nutzerdaten in die USA verhängen.
4. Welche Dienste sind konkret betroffen?
Die ganze Reichweite des Urteils wird sich erst in den nächsten Wochen und Monaten zeigen. Für eine schnelle Überprüfung, welche Dienste vom Wegfall des Privacy Shield betroffen sein können finden Sie hier einen ersten Überblick über die am häufigsten eingesetzten US-Anbieter und Plattformen:
CDN
- Cloudflare
Social Media
- Facebook-Connect
- Facebook Plugins
- Twitter Plugin
- Instagram Plugin
- Tumblr Plugin
- LinkedIn Plugin
- Pinterest Plugin
Tracking-Dienste
- Google Analytics
- WordPress Stats
Ad Networks
- Google Ads
- Google Adsense
- Google Adsense (nicht personalisiert)
- Google Remarketing
- Google Conversion Tracking
- Google Doubleclick
- Facebook Pixel
Newsletter-Anbieter
- MailChimp
- MailChimp mit deaktivierter Erfolgsmessung
- ActiveCampaign
Musik-/Videoplattformen
- YouTube
- YouTube mit erweitertem Datenschutz
- Vimeo
- Vimeo ohne Tracking
- SoundCloud
- Spotify
Videokonferenz-Tools
- Zoom
- Skype for Business
- GoToMeeting
- Microsoft Teams
- Google Hangouts
- Google Meet
Sonstige Tools
- Google Web Fonts
- Adobe Fonts
- Google Maps
- Google reCAPTCHA
- Amazon Partnerprogramm
5. Welche konkreten Lösungen gibt es?
Die EU-Standard-Vertragsklausel
Die so genannten EU-Standardvertragsklauseln können nach Ansicht der Luxemburger Richter eine gültige Grundlage für den Transfer bilden. Unter einer Voraussetzung allerdings: Bei der Übermittlung personenbezogener Daten muss das vom Unionsrecht verlangte Schutzniveau eingehalten werden. Ob das aufgrund der US-Gesetze überhaupt möglich ist, müssen die jeweiligen Unternehmen in den USA sicherzustellen.
Unternehmen können hier einen Vertrag über die Übertragung personenbezogener Daten abschließen. Dafür hat die EU einen Standard-Vertrag entwickelt.
Die Folge:
Der Datenaustausch z.B. in die USA ist wieder erlaubt
Vorteil:
Es müssen keine individuellen Verträge erarbeitet werden.
Nachteil:
Es gibt wenig Raum für individuelle Regelungen
Binding Corporate Rules
Binding Corporate Rules, abgekürzt BCRs, sind verbindliche interne Datenschutz-Regelungen der Unternehmen, die nach Vorgabe der EU und der europäischen Datenschützer entwickelt wurde. Wenn Unternehmen diese internen Regelungen von der Datenschutzbehörde des Ursprungslandes genehmigen lässt, ist der Datenaustausch z.B. in die USA ist wieder erlaubt.
Vorteil:
Individueller als die EU-Standartvertragsklausel
Nachteil:
Müssen von der Datenschutzbehörde des Ursprungslandes genehmigt werden
Branchenspezifischer Verhaltenskodex (Code of Conduct)
Die DSGVO erlaubt branchenspezifische Verhaltensregeln für den Datenschutz
Diese müssen durch die Datenschutzbehörden der EU genehmigt werden
Unternehmen aus Drittländern (etwa den USA) müssen sich diesen Regeln unterwerfen.
Einwilligung etwa über Consent Tools?
In diesem Zusammenhang sind diese Datenübertragungen durch Einwilligungen etwa über ein Cookie-/ Consent-Banner kaum praktisch umsetzbar. Es gibt dabei folgende Probleme:
- Rechtlich (fehlendes Datenschutzniveau in den USA, es ist unklar, ob man eine Einwilligung bei Grundrechtsverletzungen erteilen kann)
- Technisch: der Text wäre extrem lang
- Marketing: Die opt-in-Raten wären minimal
- Praktisch: es müssten alle Datenübertragungen, Empfänger und Zwecke der Verarbeitung dargestellt werden
6. Checkliste: Was Sie jetzt konkret tun sollten
Zunächst einmal: Nicht in Panik verfallen. Nutzen Sie die nächstenTag und Wochen für folgende Schritte:
- Erstellen Sie eine Liste mit Softwareanbieter und Dienstleister aus den USA, die Sie nutzen.
- Analysieren Sie, ob hier personenbezogene Daten der Nutzer an diese Unternehmen übermittelt werden.
- Prüfen Sie, ob ihr Anbieter eine Regelung für Kunden aus der EU treffen wird oder schreiben Sie die Anbieter an und fragen nach, welche Lösungen das Unternehmen treffen wird (Einwilligung, EU-Standard-Vertragsklausel, Datenspeicherung ausschließlich auf EU-Servern...)
- Prüfen Sie, ob in Ihrer Datenschutzerklärung die Datenübertragung bei bestimmten Unternehmen auf das Privacy Shield Abkommen gestützt war.
- Passen Sie die Formulierungen in Ihrer Datenschutzerklärung an.
7. Ihre Datenschutzerklärung jetzt aktualisieren
Kostenlos Datenschutzerklärung neu erstellen
Wir haben unseren kostenlosen Generator für Datenschutzerklärungen überarbeitet. Sie können hier kostenlos eine neue Datenschutzerklärung für Ihre Webseite erstellen, die das aktuelle EuGH-Urteil umsetzt.
Datenschutzerklärung schnell aktualisieren
eRecht24 Premium Nutzer können eine aktuelle Datenschutzerklärung erstellen oder Ihre bestehenden Datenschutzerklärungen mit 2 Klicks aktualisieren, egal welche Anbieter und Tools Sie nutzen.
Gehen Sie dazu in den Projekt Manager, öffenen die jeweilige Datenschutzerklärung und klicken rechts auf den Button “Änderung abschließen”.
8. Exklusives Live Webinar zum Ende von Privacy Shield
Das Thema „Privacy Shield und die Folgen” ist sehr komplex. Es betrifft aber fast jeden Seitenbetreiber, Unternehmer sowie Webdesigner und Agenturen gleichermaßen.
Deshalb haben wir am 02.09.2020 ein Live Webinar mit Rechtsanwalt Sören Siebert mit dem Thema „Das Privacy-Shield-Abkommen ist ungültig: Was genau bedeutet das für Webseitenbetreiber, Agenturen und Webdesigner?“ durchgeführt.
Die Aufzeichnung dieses Webinars sowie die Teilnahme an allen weiteren Live-Webinaren ist für eRecht24 Premium Nutzer inklusive.
Zu eRecht24 Premium
Wenn nein, warum sind Fanpages hier nicht betroffen?
Warum stehen jetzt Mailchimp und Google Analytics mit auf der Liste? Sind die AVV mit Unternehmen in den USA alle hinfällig? Dann müssten wir ja einige Leitungen kappen.
Vielen Dank schon mal
Wenn ich z.B. Google Maps eingebunden habe, die Nutzung aber nur mit aktiver Einwilligung des Nutzers per Cookie Opt-in möglich ist, sollte das doch okay sein, oder? Das wäre doch die gewünschte DSGVO-Entsprechung.
"Bei der Übertragung von Daten europäischer Verbraucher in ein Drittland müsse ein Schutzniveau gewahrt werden, das dem der DSGVO entspreche." (aus dem obigen Text)
klingt ja als könnten deutsche AWS Datencenter problemlos sein, zumindest solange man keine Cloudfront Distributionen oder ähnliche globale Replika nutzt, hmm..
ADMIN info: Interessant, emojis scheinen nicht zu funktionieren, es kommt aber leider keinerlei Hinweis, das oder weshalb das Kommentar nicht geposted werden konnte, erst die Console gab aufschluss..so als Info falls ein Admin hier mitliest
Hier wird leider immer nur von Unternehmen gesprochen.
Doch inwiefern betrifft das jetzt Privatpersonen? Darf ich die oben genannten Dienste oder Software/ Hardware großer Anbieter wie Google, Microsoft und Apple überhaupt noch nutzen?
Muss ich vor dem Klick auf den Link darauf hinweisen, dass dies ein Service von Heroku ist, die meines Wissens in den USA sitzen? ;-)
Mit diesem Tool geht das sehr leicht: https://google-webfonts-helper.herokuapp.com/fonts