Die Auswirkungen des Privacy Shield-Urteils
Als hätten wir alle nicht schon genügend andere bürokratische Hürden in diesem Jahr zu meistern, hat nun auch noch zu allem Verdruss der Europäische Gerichtshof (EuGH) das „EU-US Privacy Shield“ in seinem Urteil vom 16. Juli 2020 gekippt! Das hat zur Folge, dass dem freien Datenaustausch von personenbezogenen Daten zwischen der Europäischen Union und den USA erst einmal ein Riegel vorgesetzt worden ist. Damit sind nun alle Webseitenbetreiber, die direkt oder indirekt über digitale Anbieter personenbezogene Daten in die USA übermittelt haben bzw. noch übermitteln, zum sofortigen Handeln aufgefordert. Alle Google-, Facebook-, Instagram-Tools, um hier nur mal ein paar zu nennen, haben ihren Unternehmenssitz in den USA und transferieren die in der EU generierten personenbezogen Daten dorthin. Nicht mehr zulässig, sagt der EuGH. Und jetzt? Worauf Sie achten müssen, um im Sinne der DSGVO datenschutzkonform zu handeln und Bußgelder zu vermeiden, erfahren Sie im folgenden Beitrag.
Was ist überhaupt das „EU-US Privacy Shield“?
Bei dem EU-US Privacy Shield handelte es sich um einen sogenannten Teilangemessenheitsbeschluss der Europäischen Union. Dieser Teilangemessenheitsbeschluss war bisher rechtlich erforderlich, damit überhaupt personenbezogene Daten aus den EU-Mitgliedsstaaten in die USA übertragen werden konnten. Die Übermittlung solcher Daten in Länder außerhalb der EU, ist nur unter gewissen Auflagen überhaupt zulässig. Denn genau dann, wenn der Verantwortliche (Unternehmer) und der Auftragsverarbeiter (z.B. Google) die in der DSGVO Verordnung niedergelegten Bedingungen einhalten und auch die sonstigen Bestimmungen darin erfüllen können.
Nun haben die Richter des EuGH mit ihrem Beschluss festgelegt, dass das sogenannte „Datenschutzschild“ Privacy Shield mit den USA ungültig ist. Und zwar mit sofortiger Wirkung! Konsequenz: Datentransfers in die USA, welche allein auf Basis dieses Privacy-Shields ausgelegt waren, sind damit unzulässig. Begründet wurde es damit, das in den USA unter anderem Behörden Zugriff auf alle personenbezogenen Daten haben und auch sonst wenige Schutzmechanismen, wie es in der EU vorgeschrieben ist, greifen. Vor allem aber hätten europäische Bürger keine Klagemöglichkeit, falls sie eine missbräuchliche Verarbeitung persönlicher Informationen vermuteten. Aus Sicht der Richter ist damit ein gleichwertiges Schutzniveau, wie es in der DSGVO verankert ist, in den USA nicht gegeben.
Welche unmittelbaren Folgen hat der EuGH-Entscheid für alle Unternehmen?
Nun, eines scheint nach jetzigem Stand sicher zu sein: Die Erarbeitung und der Beschluss eines möglichen Nachfolgeabkommens wird voraussichtlich mehrere Jahre brauchen!
Dies hat nicht zwangsläufig zur Folge, dass der Datenaustausch zwischen Europa und den USA nun gänzlich auf Eis gelegt ist. Denn statt des gekippten Privacy Shield können nun die Standardvertragsklauseln gemäß der Datenschutzgrundverordnung zur Anwendung kommen.
Mit sogenannten Standardvertragsklauseln werden direkte vertragliche Vereinbarungen über die Übertragung von personenbezogenen Daten zwischen Auftraggeber und Datenverarbeiter geschlossen. Allerdings hat der EuGH betont, dass es hier in der Verantwortung des Verantwortlichen (Unternehmer) und des Auftragsverarbeiters (z.B. Youtube) liegt, zu prüfen, ob die Rechte der betroffenen Personen im Drittland, also den USA, ein gleichwertiges Schutzniveau wie in der EU genießen. Im Einzelfall müsse deshalb gegebenenfalls zusätzliche Maßnahmen zur Sicherstellung eines dem in der EU im Wesentlichen gleichwertigen Schutzniveaus getroffen werden. Und dies scheint praktisch kaum möglich und umsetzbar zu sein. Zumal sich der EuGH in seinem Entscheid auf fehlende Einschränkungen der behördlichen Überwachungsprogramme berufen hat.
Im Grunde bleibt hier nur ein rechtssicherer Königsweg bis zum Nachfolgeabkommen mit den USA übrig: Alle Datenübertragungen in die USA stoppen! Wenn dies so leicht möglich wäre…..
Welche Online-Dienste sind von dem Urteil betroffen?
Nachfolgend sind eine Reihe von Online-Anbietern aus den USA aufgeführt, die als Auftragsverarbeiter agieren und nicht selten von europäischen Unternehmen für deren Dienste in Anspruch genommen werden:
- Social Media
Facebook-Connect, Facebook Plugins, Twitter Plugin, Instagram Plugin, Tumblr Plugin, LinkedIn Plugin, Pinterest Plugin - Tracking-Dienste
Google Analytics, WordPress Stats - Ad Networks
Google Ads, Google Adsense, Google Adsense (nicht personalisiert), Google Remarketing, Google Conversion Tracking, Google Doubleclick, Facebook Pixel - Newsletter-Anbieter
MailChimp, ActiveCampaign - Musik-/Videoplattformen
YouTube, Vimeo, SoundCloud, Spotify - Videokonferenz-Tools
Zoom, Skype for Business, GoToMeeting, Microsoft Teams, Google Hangouts, Google Meet - Sonstige Tools
Google Web Fonts, Adobe Fonts, Google Maps, Google reCAPTCHA, Amazon Partnerprogramm
Verwenden Sie mindestens einen der oben aufgelisteten Dienste?
Falls Sie einen der oben genannten Online-Anbieter in Ihrem unternehmerischen Kontext verwenden, sind Sie nach jetzigem Rechtsstand dazu aufgefordert, die Datenverarbeitungsprozesse auf Ihrer Internetseite dahingehend zu untersuchen, ob diese personenbezogene Daten in die USA übermitteln. Sollte dies der Fall sein, ist zwingend der Abschluss einer Standardvertragsklausel erforderlich. Hierzu ist beim entsprechenden Anbieter direkt zu erfragen, ob dieser gegebenenfalls eine eigene Standardvertragsklausel verwendet und auf welcher Basis die Daten in die USA übertragen sowie gesichert werden. Im Zweifel sollte vorübergehend auf den Einsatz der entsprechenden Datenverarbeitungsprozesse verzichtet werden und gegebenenfalls nach alternativen, europäischen Anbietern Ausschau gehalten werden.
Welche konkreten Handlungsmaßnahmen bleiben für Sie als Unternehmer?
Nun, aus den momentanen Gegebenheiten, bleiben Ihnen im Augenblick nur zwei konkrete Möglichkeiten:
1. Möglichkeit: Sie verwenden die kritischen Dienste weiter
Eine Möglichkeit ist, dass Sie die nach dem bisherigen Privacy-Shield zertifizierten Dienstleister weiterhin nutzen und Sie damit die bewusste Entscheidung treffen, dass auch weiterhin personenbezogene Daten Ihrer Kunden bzw. Seitenbesucher unrechtmäßig an diese US-Unternehmen übermitteln werden können.
Diese Entscheidung hätte im schlimmsten Fall zur Folge und würde natürlich das nicht kalkulierbare Risiko beinhalten, dass Abmahnungen mit Bußgeldern bzw. weitreichende Sanktionen durch Datenschutzbehörden gegen Ihr Unternehmen erhoben werden könnten.
Sollten jedoch mit den von Ihnen genutzten Anbietern entsprechende, nachweisbare Standardvertragsklauseln vereinbart worden sein, würde dies nach jetzigem Stand das Risiko von Strafgeldern nicht mindern! Denn wie bereits erwähnt, müsste in diesem Fall zweifelfrei nachgewiesen werden, dass die EU-Datenschutzrichtlinien bei dem Dienstleiter in den USA eingehalten werden können. Und dies scheint nach den momentanen gesetzlichen Regelungen in den USA faktisch nicht realisierbar zu sein.
Also, sollten Sie trotz aller möglichen Folgen diesem Weg gehen wollen, also den einen oder anderen oben aufgelisteten, kritischen Dienst weiter verwenden, so muss zumindest Ihre Datenschutzerklärung um den folgenden Zusatz ergänzt werden:
„Hinweis zur Datenweitergabe in die USA
Auf unserer Webseite sind unter anderen Tools von Unternehmen mit Sitz in den USA eingebunden. Wenn diese Tools aktiv sind, können Ihre personenbezogenen Daten an die US-Server der jeweiligen Unternehmen weitergegeben werden. Wir weisen darauf hin, dass die USA kein sicherer Drittstaat im Sinne des EU-Datenschutzrechts sind. US-Unternehmen sind dazu verpflichtet, personenbezogene Daten an Sicherheitsbehörden herauszugeben, ohne dass Sie als Betroffener hiergegen gerichtlich vorgehen könnten.
Es kann daher nicht ausgeschlossen werden, dass US-Behörden (z.B. Geheimdienste) Ihre auf US-Servern befindlichen Daten zu Überwachungszwecken verarbeiten, auswerten und dauerhaft speichern. Wir haben auf diese Verarbeitungstätigkeiten keinen Einfluss.“
Hinweis: Auch mit diesem Zusatz in der Datenschutzerklärung sind mögliche Sanktionen gegen Ihr Unternehmen nicht vom Tisch! Es wird lediglich darüber informiert, dass personenbezogene Daten in die USA übermittelt werden können und dort nicht im Sinne des EU-Datenschutzrechts gehandhabt werden. Sie als Unternehmer können nach jetzigem Stand haftbar dafür gemacht werden, dass Sie die gesammelten Gästedaten nicht datenschutzkonform sichern können.
2. Möglichkeit: Abschalten aller nicht sicheren Online-Dienste (Empfohlen!)
Wer auf Nummer sicher gehen möchte und nicht Gefahr laufen möchte, mit unkalkulierbaren Strafgeldern belegt zu werden, sollte bis zur Klärung eines zulässigen Datentransfers in die USA strikt davon absehen, weiter entsprechende Dienstleister einzusetzen.
Dies bedeutet in der Umsetzung konkret, alle bisherigen Anbieter nicht weiter zu verwenden und diese auch in der Datenschutzerklärung herauszunehmen. Als Alternative könnten europäische Dienstleister in Betracht gezogen werden, die es nach jetzigem Stand aber kaum gibt und wenn, bei den Kosten um ein vielfaches höher liegen, als die amerikanischen Mitbewerber!
Fazit - Privacy Shield-Urteil
Letztlich bleibt es jedem selbst überlassen, wie er mit dieser speziellen und herausfordernden Thematik umgeht. Sofortiges Handeln ist in jedem Fall gefordert!
Wir werden die weiteren Entwicklungen genau beobachten und Sie informieren, sobald sich weitere, bessere Lösungsmöglichkeiten abzeichnen sollten.
Mehr zur DSGVO und wie wir Ihnen bei der Umsetzung einer rechtssicheren Datenschutzkonformität für Ihr Hotel oder Gastronomiebetrieb unterstützend zur Seite stehen können, erfahren Sie unter DSGVO-Beratung.
Herzlichst,
Jan Schmidt-Gehring
Diskutieren Sie mit!
Hinterlassen Sie hier Ihren Kommentar!
Ihre E-Mail-Adresse wird nicht veröffentlicht, erforderliche Felder sind markiert *. Mit Ihrem Kommentar erklären Sie sich mit den Kommentarrichtlinien und den Datenschutz-Regeln einverstanden.