Carl Christian Müller, LL.M.
Fachanwalt für Urheber- und Medienrecht

EuGH kippt das Privacy-Shield-Abkommen

Der EuGH erklärte kürzlich das Abkommen zum Transfer personenbezogener Daten der EU mit den USA für ungültig. Wir erklären Ihnen im Folgenden welche Auswirkungen diese Entscheidung auf Ihr Unternehmen hat und was Sie tun müssen, um Dienste von Facebook, Google und Co weiterhin nutzen zu können.

 

"Der EuGH hat mit dem “Privacy-Shield” die Hauptgrundlage für Datentransfers zwischen der EU und den USA am 16.07.2020 für unwirksam erklärt. Bei der Übertragung von Daten europäischer Verbraucher in die USA sei das Schutzniveau der DSGVO nicht gewahrt. Diese Entscheidung hat weitreichende Auswirkungen auf die Praxis, die sie als Unternehmer kennen müssen, um die richtigen Schritte einleiten zu können.
Carl Christian Müller, LL.M.
Fachanwalt für Urheber- und Medienrecht
Zertifizierter Datenschutzbeauftragter (TÜV Nord)

EuGH-Urteil zum Privacy-Shield

Der Europäische Gerichtshof hat in seinem Urteil vom 16.07.2020 eine der wichtigsten Rechtsgrundlagen für den Transfer personenbezogener Daten europäischer Verbraucher in die USA für unwirksam erklärt, da das Schutzniveau der DSGVO beim Transfer in die USA nicht gewährleistet sei (AZ: C-362/14).

Insbesondere die weitreichenden Befugnisse von US-Sicherheitsbehörden sowie die möglichen Datenzugriffe bei elektronischen Kommunikationsdiensten bei Nicht-US-Bürgern ohne gerichtlichen Beschluss seien nicht mit der europäischen DSGVO in Einklang zu bringen.

Auch die häufig verwendeten Standardschutzklauseln sind nur als Grundlage für Datentransfers in die USA zulässig, wenn ein wirksames Datenschutzniveau gewährleistet ist, was bei den meisten US-Dienstleistern nach Meinung des EuGH eben nicht der Fall ist.

Wie Sie Dienste wie Google Analytics / Ads oder den Facebook-Like-Button trotzdem weiter auf Ihren Seiten nutzen können, ohne ein hohes Bußgeld zu riskieren, zeigen wir Ihnen im folgenden Beitrag.

 

EuGH kippt "Privacy-Shield"-Abkommen - Auswirkungen auf die Praxis

Die DSGVO verbietet die Verarbeitung personenbezogener Daten außerhalb der EU, wenn in dem jeweiligen Drittland kein angemessener Datenschutz gewährleistet erden kann (Art. 44 - 49 DSGVO). Bisher war für die USA ein angemessenes Datenschutzniveau festgestellt, sofern sich das jeweilige US-Unternehmen an die Regeln des sogenannten "Privacy-Shield"-Abkommens gehalten hat. Um dies nachzuweisen, Konten sich US-Unternehmen zertifizieren lassen, was fast alle Internet-Diensteanbieter, wie Google, Facebook, Twitter & Co.auchgetan haben. Da das "Privacy-Shield"-Abkommen nun vom EuGH für unwirksam erklärt wurde, sind diese Zertifikate nichts mehr wert.

Was war das Privacy-Shield?

Das EU-US Privacy-Shield ist ein Abkommen zwischen den USA und der EU. Idee des Abkommens war es, den Datentransfer von der EU in die USA zu vereinfachen. Da das Datenschutz-Niveau in den USA niedriger ist als in der EU dürfen grundsätzlich keine personenbezogenen Daten von der EU ins die USA transferiert werden. Um hier einen praktikable Lösung zu finden, konnten US-Dienstleister wie Facebook, Google, Apple, Microsoft und Yahoo sich nach den Regeln des Privacy-Shield zertifizieren lassen und damit garantieren, ein gleichwertiges Schutzniveau wie in der EU für die Datenverarbeitung einzuhalten. Der EuGH sah dies jedoch nicht als ausreichend an, da die US-Unternehmen nach den gesetzlichen Bestimmungen der USA Daten von Nicht US-Bürgern vorbehaltlos an US-Behörden und Geheimdienste weitergeben müssen - gleich ob sie sich nach dem US Privacy-Shield zertifiziert haben oder nicht. Daher hat der EuGH das Abkommen nun für ungültig erklärt.

Safe-Harbor

Bereits der Vorgänger des Privacy-Shields, das Safe Harbor-Abkommen, wurde im Oktober 2015 durch ein Urteil es EuGH für ungültig erklärt, da es unter anderem keine ausreichenden Rechtsschutzmöglichkeiten für EU-Bürger in den USA gab.

Warum ist das Urteil für Ihr Unternehmen relevant?

Das Urteil ist relevant für alle Unternehmen, die personenbezogene Daten in die USA übermitteln. Das ist bereits dann der Fall, wenn Sie eine Internetseite, eine Präsenz bei einem Social-Media-Anbieter wie Facebook, Instragm oder Twitter haben oder Ihre Daten in einer Cloud verwalten und der Anbieter diese Daten in die USA überträgt. Da das Privacy-Shield-Abkommen nun nicht mehr existiert, stellt sich die sehr gute Frage, auf Basis welcher Rechtsgrundlage Sie diesen Datentransfer noch vornehmen dürfen. Bei einem Verstoß gegen die DSGVO muss mit einem immensen Bußgeld (bis zu 4% des Umsatzes eines Unternehmens) gerechnet werden.

Daneben besteht die Gefahr, dass Nutzer oder Kunden Sie abmahnen und Schadensersatz verlangen. Auch sind Abmahnungen von Mitbewerben oder Verbraucherschutzorganisationen möglich, wobei noch nicht abschließend geklärt ist, ob das Wettbewerbsrecht tatsächlich eine taugliche Rechtsgrundlage für die Abmahnung von Datenschutzverstößen ist.

Machen Sie Ihren Online-Auftritt DSGVO-konform!

  • In wenigen Minuten erstellt.
  • Von Anwälten entwickelt.
  • Hoher Individualisierungsgrad.

Handlungsmöglichkeiten

Es gibt verschiedene Handlungsmöglichkeiten, bei deren Durchsetzung wir Ihnen gerne zur Seite stehen.

US-Dienstleister datenschutzrechtlich überprüfen

Sie können Ihrem US-Dienstleister einen vorbereiteten Fragenkatalog auf Englisch schicken, in dem dieser diverse Fragen zu seinem jeweiligen Datenschutzniveau beantworten muss. Zwar werden die meisten US-Unternehmen nicht sofort antworten oder die Auswertung der Fragen zum Datenschutzniveau fällt negativ aus. Insbesondere Anbieter wie Apple, Google oder Microsoft müssen Geheimdiensten einen Zugriff auf Daten Ihrer europäischen Nutzer erlauben, was einen immensen Eingriff in die Privatspähre dieser User bedeutet und vom EuGH misbilligt wird.

Der positive Effekt dieser Lösung ist jedoch, dass Sie gegenüber der jeweiligen Behörde nachweisen können, dass Sie auf die Unwirksamkeit des Privacy-Shields reagiert haben. Wir erstellen ein vorausgefülltes Formular gerne für Sie.

Einholung einer informierten Einwilligung ist problematisch

Die Einholung einer vorherigen, informierten Einwilligung Ihrer Nutzer ist hingegen riskant, da dann weiterhin das fehlenden Datenschutzniveau bemängelt werden kann. Ob ein EU-Bürger überhaupt in eine Verletzung des Kernbereichs seiner Grundrechte einwilligen kann, darf zumindest angezweifelt werden.

Wenn Sie sich trotz Restrisikos für diese Variante entscheiden, können Sie die Einwilligung beispielsweise mit einer sogenannten “Consent Management Platform (CMP)” einholen. Diese Software ermöglicht es, die Privatsphäre-Präferenzen einer Webseite in Bezug auf jeden einzelnen Dienst, der in deiner Webseite implementiert ist, abzufragen und zu dokumentieren.

Verzicht auf das Nutzen von US-Dienstleistern

Einige US-Anbieter (z.B. Microsoft und AWS) bieten die Möglichkeit Daten auf EU-Servern zu speichern. Dokumentieren Sie in jedem Fall Ihre Suche nach Alternativen für die jeweiligen Behörden und achten Sie dabei zusätzlich auch auf den Sitz möglicher Subunternehmer.

Anpassung der Datenschutzerklärung

In jedem Fall müssen Sie etwaige Hinweise auf das Privacy-Shield-Abkommen in Ihrer Datenschutzerklärung löschen. In unserem kostenlosen Datenschutzgenerator haben wir aktuell keine Verweise auf das Privacy-Shield mehr, d. h. alle neu generierten Datenschutzerklärungen haben schon keinen Passus mehr zum Privacy Shield. Wenn Sie unseren Generator für die Erstellung Ihrer Erklärung genutzt haben, können Sie diese auch kostenlos hier updaten.

Nutzen der neuen Google Standarddatenschutzklauseln

Google kündigte an am 12. August 2020 zu Standarddatenschutzklauseln zu wechseln, durch die der Datentransfer entsprechend der DSGVO legitimiert werden kann. Bei Googles Clouddiensten seien diese bereits eingesetzt. Zweifelhaft ist jedoch deren Rechtskonformität, da solche Standardklauseln laut EuGH im Einzelfall auf das jeweilige Datenschutzniveau hin zu überprüfen sind und die bisherigen Schutzklauseln von Google und anderen amerikanischen Kommunikationsdienstleistern unzureichend waren.

Die Datenschutzkonferenz (DSK) äußerte sich in einer Mitteilung zum EuGH-Urteil dahingehend, dass es eben nicht ausreicht eine Standarddatenschutzklausel nur förmlich aufzunehmen, um das Datenschutzniveau sicherzustellen. Kritisiert wurden vom EuGH die weitgehenden Zugriffsbefugnisse US-amerikanischer Behörden bzw. Nachrichtendienste, an denen allein die Nutzung einer Standarddatenschutzklausel nichts ändert.

Machen Sie Ihren Online-Auftritt DSGVO-konform!

  • In wenigen Minuten erstellt.
  • Von Anwälten entwickelt.
  • Hoher Individualisierungsgrad.

Fazit: Vermeiden Sie hohe Bußgelder indem Sie Ihren US-Dienstleister aktiv anschreiben

Langfristig kann das Thema Datenaustausch mit US-Unternehmen nur politisch gelöst werden. Die US-Regierung und die EU-Kommission haben Gespräche über eine Neuregelung für die transatlantische Datenübermittlung bereits aufgenommen.

Bis dahin setzen Sie sich durch Nichtstun aber dem Risiko hoher Bußgelder aus. Durch das aktive Anschreiben Ihres US-Dienstleisters können Sie den Behörden demonstrieren, dass Sie auf die Ungültigkeit des Privacy-Shields reagiert haben.

Die Datenschutzbehörden werden zukünftig auch Handlungsempfehlungen herausgeben. Bis dahin sollten Sie zusätzlich prüfen inwieweit ihr Unternehmen auch ohne Daten mit konkretem Personenbezug auskommt, ob Sie zu einem innereuropäischen Anbieter wechseln können oder ob Sie für die Datenverarbeitung eine vorherige, informierte Einwilligung Ihrer Nutzer einholen können. Davon raten wir jedoch ab, da der EuGH durch sein Urteil klar gestellt, dass es durch die weitreichenden Datenschutzverstöße der US-Firmen zu einem Eingriff in den Kernbereich der Grundrechte der Nutzer kommt und diese für solche Verletzungen wahrscheinlich gar keine Einwilligung geben können.

Auf unserer Webseite informieren wir Sie über kommende Rechtsänderungen und wir erstellen Ihnen gerne einen ausgearbeiteten Fragenkatalog, den Sie an die US-Dienstleister senden können.

Sie haben noch Fragen zum weiteren Vorgehen im Zusammenhang mit dem Privacy Shield? Schreiben Sie uns!

1. Übermitteln Sie uns die Adresse Ihrer Internetseite.

2. Einer unserer spezialisierten Rechtsanwälte schaut sich Ihre Frage an, prüft die Rechtslage und ruft Sie zurück. Er bespricht mit Ihnen die umzusetzenden Maßnahmen - garantiert kostenfrei.

3. Im Anschluss erhalten Sie eine E-Mail mit allen relevanten Informationen. Sie können dann in Ruhe überlegen, ob Sie den weiteren Weg mit uns gehen wollen.

Das könnte Sie auch interessieren

Datenschutzgrundverordnung - Webseitenbetreiber müssen handeln

Die bereits im Mai 2016 in Kraft getretene Datenschutzgrundverordnung (DSGVO) gilt mit dem Stichtag ab dem 25. Mai 2018 in der gesamten EU. Sie betrifft alle Unternehmen, die personenbezogenen Daten von Mitarbeitern oder Kunden verarbeiten. Weil die Änderungen verpflichtend sind, müssen Unternehmer und Webseitenbetreiber umfangreiche Änderungen vornehmen.

Mehr

Google Tools DSGVO-konform einsetzen

Unternehmer, Online-Händler und Webseitenbetreiber müssen mit dem 25.05.2018 bei der der Verwendung von Google-Tools wie Google AdWords oder Google Analytics die Vorgaben der DSGVO umsetzen. Hier gehen wir darauf ein, was es für Webseitenbetreiber und Online-Shops bei der Verwendung der gängigsten Google-Programme in Bezug auf die DSGVO zu beachten gibt.

Mehr

 

Brauchen wir einen Datenschutzbeauftragten?

Auch vor der DSGVO bestand für viele Betriebe bereits die Verpflichtung, einen Datenschutzbeauftragten zu benennen. Für Kleinbetriebe hat der Deutsche Gesetzgeber nun Entlassungen beschlossen. Demnach soll ein Datenschutzbeauftragter erst ab einer Betriebsgröße von 20 Mitarbeitern Pflicht werden. 

Mehr

 

 

Zeugnis

Dies ist ein Typoblindtext. An ihm kann man sehen, ob alle Buchstaben da sind und wie sie aussehen. Manchmal benutzt man Worte wie Hamburgefonts, Rafgenduks oder Handgloves, um Schriften zu testen. Manchmal Sätze, die alle Buchstaben des Alphabets enthalten - man nennt diese Sätze »Pangrams«.

Mehr