Weitreichendes Urteil

EuGH erklärt Privacy-Shield-Abkommen für ungültig

Fachlich geprüft von: Rechtsanwältin Annika Haucke Rechtsanwältin Annika Haucke
(173 Bewertungen, 3.55 von 5)

Das Wichtigste in Kürze

  • Der EU-US Privacy Shield wurde vom EuGH für ungültig erklärt, da das Schutzniveau bei der Datenübertragung in die USA nicht dem in der EU gleichwertig war.
  • Mit der Einigung auf einen neuen Datenschutzrahmen (Data Privacy Framework, kurz DPF) am 10. Juli 2023 ist die Übertragung von Daten in die USA wieder zulässig.
  • Wollen Sie sich über die Rechtslage vor dem DPF informieren, finden Sie zahlreiche Informationen in diesem Artikel.

Worum geht's?

Die Vereinbarung für den Datenaustausch zwischen Europa und den USA ist vom höchsten EU-Gericht gekippt worden. Informationen über europäische Verbraucher seien auf US-Servern nicht vor dem Zugriff dortiger Behörden und Geheimdienste geschützt, so die Richter. Die Entscheidung betrifft amerikanische IT-Konzerne wie Facebook oder Google, aber auch zahlreiche Hoster, Tracking- und Newsletteranbieter.

 

AUFGPASST

Dieser Artikel gibt die Rechtslage vor dem Data Privacy Framework wieder. Dieser ist als Nachfolger des EU-US Privacy Shields am 10. Juli 2023 in Kraft getreten. Informationen hierzu finden Sie in unserem Artikel "Privacy Shield 2.0: Datentransfer in die USA". 

1. Was ist der Hintergrund des Rechtsstreits?

Mit seiner Klage gegen die Facebook Ireland Ltd. hat der Österreicher Max Schrems nun nach dem Safe Harbour abkommen bereits die zweite Vereinbarung zwischen EU und USA zu Fall gebracht. Begonnen hat alles mit einer Beschwerde bei der irischen Aufsichtsbehörde DPC. Sie ist für die Europa-Zentrale des sozialen Mediums in Dublin zuständig. Die Daten europäischer Facebook-Nutzer werden aber großenteils nicht hier verarbeitet, sondern auf Server in den Vereinigten Staaten überspielt.

WUSSTEN SIE'S?

Eigentlich hatte der damalige Jura-Student ein Verbot dieser Praxis erreichen wollen. Denn seiner Auffassung nach waren seine personenbezogenen Daten durch US-Recht nicht ausreichend geschützt. 

Daran ändere auch das sogenannte Safe-Harbour-Abkommen nichts, dessen Unterzeichner ein „angemessenes Schutzniveau“ garantiert hatten.

2015 gab der Europäische Gerichtshof Schrems Recht und erklärte die Safe-Harbour-Vereinbarung für ungültig. Facebook allerdings transferierte weiterhin Daten in die USA. Grundlage waren nun sogenannte Standardvertragsklauseln sowie das Nachfolge-Abkommen zu Safe Harbour: Privacy Shield. Weil auch damit europäische Daten nicht vor dem Zugriff der US-Geheimdienste geschützt seien, klagte Schrems erneut.

2. Kein ausreichender Datenschutz in USA

Die Luxemburger Richter stellten nun fest, dass auch der sogenannte „Datenschutzschild“ Privacy Shield ungültig ist. Bei der Übertragung von Daten europäischer Verbraucher in ein Drittland müsse ein Schutzniveau gewahrt werden, das dem der DSGVO entspreche. Davon könne auf Grundlage der US-Gesetzgebung nicht ausgegangen werden.

Beispielsweise seien die dortigen Überwachungsprogramme nicht auf das zwingend erforderliche Maß beschränkt. Vor allem aber hätten Europäer keine Klagemöglichkeit, falls sie eine missbräuchliche Verarbeitung persönlicher Informationen vermuteten.

3. Was bedeutet das Urteil in der Praxis?

Das Urteil des EuGH bedeutet eigentlich, dass jetzt erst einmal keine Nutzerdaten aus der EU mehr in die USA übertragen und dort verarbeitet werden dürfen. Was das aus für unzählige Tools und Dienste bedeuten würde, die aktuell auf deutschen und europäischen Webseiten genutzt werden. Was defacto (mal wieder) das Ende des Internet wie wir es kennen bedeutet würde.

Mittelfristig müssen alle Unternehmen eine Bestandsaufnahme der genutzten Anbieter vornehmen. Die Datenschutzbehörden können sonst Bußgelder wegen der unberechtigten Übertragung von Nutzerdaten in die USA verhängen.

Sören Siebert
Sören SiebertRechtsanwalt

4. Welche Dienste sind konkret betroffen?

Die ganze Reichweite des Urteils wird sich erst in den nächsten Wochen und Monaten zeigen. Für eine schnelle Überprüfung, welche Dienste vom Wegfall des Privacy Shield betroffen sein können finden Sie hier einen ersten Überblick über die am häufigsten eingesetzten US-Anbieter und Plattformen:

CDN

  • Cloudflare

Social Media

  • Facebook-Connect
  • Facebook Plugins
  • X (ehemals Twitter) Plugin
  • Instagram Plugin
  • Tumblr Plugin
  • LinkedIn Plugin
  • Pinterest Plugin

Tracking-Dienste

  • Google Analytics
  • WordPress Stats

Ad Networks

  • Google Ads
  • Google Adsense
  • Google Adsense (nicht personalisiert)
  • Google Remarketing
  • Google Conversion Tracking
  • Google Doubleclick
  • Facebook Pixel

Newsletter-Anbieter

  • MailChimp
  • MailChimp mit deaktivierter Erfolgsmessung
  • ActiveCampaign

Musik-/Videoplattformen

  • YouTube
  • YouTube mit erweitertem Datenschutz
  • Vimeo
  • Vimeo ohne Tracking
  • SoundCloud
  • Spotify

Videokonferenz-Tools

  • Zoom
  • Skype for Business
  • GoToMeeting
  • Microsoft Teams
  • Google Hangouts
  • Google Meet

Sonstige Tools

  • Google Web Fonts
  • Adobe Fonts
  • Google Maps
  • Google reCAPTCHA
  • Amazon Partnerprogramm

5. Welche konkreten Lösungen gibt es?

Die EU-Standard-Vertragsklausel

Die so genannten EU-Standardvertragsklauseln können nach Ansicht der Luxemburger Richter eine gültige Grundlage für den Transfer bilden. Unter einer Voraussetzung allerdings: Bei der Übermittlung personenbezogener Daten muss das vom Unionsrecht verlangte Schutzniveau eingehalten werden. Ob das aufgrund der US-Gesetze überhaupt möglich ist, müssen die jeweiligen Unternehmen in den USA sicherzustellen.

Unternehmen können hier einen Vertrag über die Übertragung personenbezogener Daten abschließen. Dafür hat die EU einen Standard-Vertrag entwickelt.

Die Folge:
Der Datenaustausch z.B. in die USA ist wieder erlaubt

Vorteil:
Es müssen keine individuellen Verträge erarbeitet werden.

Nachteil:
Es gibt wenig Raum für individuelle Regelungen

Binding Corporate Rules

Binding Corporate Rules, abgekürzt BCRs, sind verbindliche interne Datenschutz-Regelungen der Unternehmen, die nach Vorgabe der EU und der europäischen Datenschützer entwickelt wurde. Wenn Unternehmen diese internen Regelungen von der Datenschutzbehörde des Ursprungslandes genehmigen lässt, ist der Datenaustausch z.B. in die USA ist wieder erlaubt.

Vorteil:
Individueller als die EU-Standartvertragsklausel

Nachteil:
Müssen von der Datenschutzbehörde des Ursprungslandes genehmigt werden

Branchenspezifischer Verhaltenskodex (Code of Conduct)

Die DSGVO erlaubt branchenspezifische Verhaltensregeln für den Datenschutz
Diese müssen durch die Datenschutzbehörden der EU genehmigt werden
Unternehmen aus Drittländern (etwa den USA) müssen sich diesen Regeln unterwerfen.

Einwilligung etwa über Consent Tools?

In diesem Zusammenhang sind diese Datenübertragungen durch Einwilligungen etwa über ein Cookie-/ Consent-Banner kaum praktisch umsetzbar. Es gibt dabei folgende Probleme:

  • Rechtlich (fehlendes Datenschutzniveau in den USA, es ist unklar, ob man eine Einwilligung bei Grundrechtsverletzungen erteilen kann)
  • Technisch: der Text wäre extrem lang
  • Marketing: Die opt-in-Raten wären minimal
  • Praktisch: es müssten alle Datenübertragungen, Empfänger und Zwecke der Verarbeitung dargestellt werden

6. Checkliste: Was Sie jetzt konkret tun sollten

Checkliste
Zunächst einmal: Nicht in Panik verfallen. Nutzen Sie die nächsten Tage und Wochen für folgende Schritte:
  • Erstellen Sie eine Liste mit Softwareanbieter und Dienstleister aus den USA, die Sie nutzen.

  • Analysieren Sie, ob hier personenbezogene Daten der Nutzer an diese Unternehmen übermittelt werden.

  • Prüfen Sie, ob ihr Anbieter eine Regelung für Kunden aus der EU treffen wird oder schreiben Sie die Anbieter an und fragen nach, welche Lösungen das Unternehmen treffen wird (Einwilligung, EU-Standard-Vertragsklausel, Datenspeicherung ausschließlich auf EU-Servern...)

  • Prüfen Sie, ob in Ihrer Datenschutzerklärung die Datenübertragung bei bestimmten Unternehmen auf das Privacy Shield Abkommen gestützt war.

  • Passen Sie die Formulierungen in Ihrer Datenschutzerklärung an.

Übersicht der Dienste mit EU-Standard-Vertragsklauseln (SCC) oder BCR

Wir haben eine Übersicht jener Dienste und Tools für Sie zusammengestellt, die bereits EU-Standard-Vertragsklauseln (kurz SCC) oder sogenannte Binding Corporate Rules (kurz BCR) haben:

Cloudflare Ja, haben SCC unter: https://www.cloudflare.com/privacypolicy/
Google Cloud CDN Ja, haben SCC unter: https://cloud.google.com/security/compliance/eu-mcc
Facebook Connect Ja, haben SCC unter: https://www.facebook.com/policy.php
Facebook Plugin Ja, haben SCC unter: https://www.facebook.com/policy.php
X (ehemals Twitter) Plugin Ja, haben SCC unter: https://help.twitter.com/de/rules-and-policies/global-operations-and-data-transfer ;
https://gdpr.twitter.com/en/controller-to-controller-transfers.html
Instagram Plugin Ja, haben SCC unter: https://help.instagram.com/519522125107875
LinkedIn Plugin Ja, haben SCC unter: https://www.linkedin.com/help/linkedin/answer/62538/datenubertragung-aus-der-eu-dem-ewr-und-der-schweiz?lang=de
LinkedIn Insight Tag Ja, haben SCC unter: https://de.linkedin.com/legal/l/dpa
Google Analytics Ja, haben SCC unter: https://privacy.google.com/businesses/controllerterms/mccs/
Google Ads Ja, haben SCC unter:

https://support.google.com/analytics/answer/3379636?hl=de ; https://policies.google.com/privacy/frameworks

Google Adsense Ja, haben SCC unter: https://support.google.com/adsense/answer/9336650?hl=de

Google Adsense (nicht personalisiert)

Ja, haben SCC unter: https://support.google.com/adsense/answer/9336650?hl=de
MailChimp Ja, haben SCC unter: https://mailchimp.com/eu-us-data-transfer-statement/
ActiveCampaign Ja, haben SCC unter: https://www.activecampaign.com/legal/scc
Vimeo Ja, haben SCC unter: https://vimeo.com/privacy (Verweis auf Legitimate Business Reasons)
Vimeo ohne Tracking Ja, haben SCC unter: Ja, haben SCC unter: https://vimeo.com/privacy (Verweis auf Legitimate Business Reasons)
Adobe Fonts Ja, haben SCC unter: https://www.adobe.com/de/privacy/policy.html
Zendesk Ja, haben BCR unter: https://www.zendesk.de/blog/update-privacy-shield-invalidation-european-court-justice/
Stripe Ja, haben SCC unter:

https://stripe.com/de/guides/general-data-protection-regulation ; https://stripe.com/de/privacy

PayPal Ja, haben SCC unter: https://www.paypal.com/de/webapps/mpp/ua/pocpsa-full
Zoom Ja, haben SCC unter: https://zoom.us/de-de/privacy.html

Die Übersicht wird fortlaufend ergänzt und aktualisiert (Stand: 04.03.2021).

7.  Ihre Datenschutzerklärung jetzt aktualisieren

Kostenlos Datenschutzerklärung neu erstellen

Wir haben unseren kostenlosen Generator für Datenschutzerklärungen überarbeitet. Sie können hier kostenlos eine neue Datenschutzerklärung für Ihre Webseite erstellen, die das aktuelle EuGH-Urteil umsetzt. 

Jetzt Datenschutzerklärung erstellen

Erstellen Sie jetzt eine rechtssichere Datenschutzerklärung mit dem eRecht24 Datenschutz Generator

  • Einfache Integration in Ihre Website
  • Anwaltlich geprüfter Generator
  • Für Sie kostenfrei in wenigen Schritten
Jetzt Datenschutzerklärung erstellen

Datenschutzerklärung schnell aktualisieren

eRecht24 Premium Nutzer können eine aktuelle Datenschutzerklärung erstellen oder Ihre bestehenden Datenschutzerklärungen mit 2 Klicks aktualisieren, egal welche Anbieter und Tools Sie nutzen. 

Jetzt Premium Tarife ansehen

Mit eRecht24 Premium Datenschutzerklärung aktualisieren

Gehen Sie dazu in den Projekt Manager, öffenen die jeweilige Datenschutzerklärung und klicken rechts auf den Button “Änderung abschließen”.

Jetzt Premium Tarife ansehen

8. Exklusives Live-Webinar zum Ende von Privacy Shield

Das Thema „Privacy Shield und die Folgen” ist sehr komplex. Es betrifft aber fast jeden Seitenbetreiber, Unternehmer sowie Webdesigner und Agenturen gleichermaßen.

Deshalb haben wir dazu im September 2020 ein eRecht24 Premium Live-Webinar mit Rechtsanwalt Sören Siebert mit dem Thema „Das Privacy-Shield-Abkommen ist ungültig: Was genau bedeutet das für Webseitenbetreiber, Agenturen und Webdesigner?“ durchgeführt.

Die Aufzeichnung dieses Webinars sowie die Teilnahme an allen weiteren Live-Webinaren ist für eRecht24 Premium Nutzer inklusive.

Zu eRecht24 Premium

 

 

 

Rechtsanwalt Sören Siebert
Sören Siebert
Rechtsanwalt und Gründer von eRecht24

Rechtsanwalt Sören Siebert ist Gründer von eRecht24 und Inhaber der Kanzlei Siebert Lexow. Mit 20 Jahren Erfahrung im Internetrecht, Datenschutz und ECommerce sowie mit mehr als 10.000 veröffentlichten Beiträgen und Artikeln weist Rechtsanwalt Sören Siebert nicht nur hervorragende Fach-Expertise vor, sondern hat auch das richtige Gespür für seine Leser, Mandanten, Kunden und Partner, wenn es um rechtssichere Lösungen im Online-Marketing und B2B / B2C Dienstleistungen sowie Online-Shops geht. Neben den zahlreichen Beiträgen auf eRecht24.de hat Sören Siebert u.a. auch diverse Ebooks und Ratgeber zum Thema Internetrecht publiziert und weiß ganz genau, worauf es Unternehmern, Agenturen und Webdesignern im täglichen Business mit Kunden ankommt: Komplexe rechtliche Vorgaben leicht verständlich und mit praktischer Handlungsanleitung für rechtssichere Webseiten umsetzen.

Rechtsanwältin Annika Haucke
Annika Haucke
Rechtsanwältin

Annika Haucke ist Rechtsanwältin und Journalistin (Freie Journalistenschule). Als Fachredakteurin von eRecht24 bereitet sie Beiträge verständlich auf und gibt praxisnahe Handlungsempfehlungen. Rechtsanwältin Haucke ist auf Medienrecht spezialisiert und hat darüber hinaus mehrjährige redaktionelle Erfahrung in weiteren Rechtsgebieten, z.B. Steuer-und Medizinrecht. Seit 2013 veröffentlichte sie eine Vielzahl von Artikeln und Ratgebern, u. a. bei Stiftung Warentest, Tagesspiegel Background und Computerwoche.

Anonym26
Gibt es hier zu einen aktuellen Stand der Lage. Also wird verhandelt?Wie weit ist man mit den Verhandlungen?Gibt es evtl. schon Licht am Ende des Tunnels?Ist im Sinne aller beteiligten. Hängen immerhin eine Menge Arbeitsplätze und Umsatz davon ab.
9
Jan Guhl
Hallo zusammen,der Bericht ist meines Erachtens nach immer noch gut und gibt Kunden und Interessenten einen guten ersten Überblick über die aktuelle Misere.Ich möchte jedoch bei dieser Gelegenheit noch auf eine Kleinigkeit hinweisen, die in diesem Zusammenhang nicht unterinteressan t ist, da wir Deutsche möglicherwei se geneigt sind, schnell und pauschal Dinge zu verteufeln, die in Wirklichkeit, oder wie vorliegend bei non-Cloud-Gebrauch, auch weiterhin gut nutzbar sein können.Unter "Video-Konferenz Tools" ist pauschal "Skype for Business" genannt.Jitsi hingegen fehlt. Jitsi kann als Cloud oder aber auch on-Premise Variante bezogen werden.Skype for Business in der Version 2015 ist eine on-Premise Lösung und damit in den aller meisten Fällen auch compliant, sofern es in europäischen Rechenzentren betrieben wird.Nicht compliant ist nach hiesiger Auffassung hingegen der hybrid Ansatz, also z.B. Anrufbeantworte r in Exchange Online und damit automatisch ab Version "Skype for Business Server 2019", sofern datenschutzrele vante Informationen wie beispielsweise Audio-Nachrichten hinterlassen werden.Auch nicht compliant ist die Version "Skype for Business Online", die ab Juli 2021 durch Microsoft eingestellt wird.
3
verstehen
Was Sie schreiben ist leider falsch. JA die EU-Standardvertrag sklauseln sind gültig, ABER EBEN NICHT MIT DEN USA. Kein Vertrag der Welt führt dazu das EU-Grundrechte dort durchgesetzt werden können und das wird vermutlich auch auf die "Five Eyes“ (USA, Großbritannie n, Kanada, Australien und Neuseeland) zutreffen. Deren Clouddienste ebenfalls nicht genutzt werden können, da deren Geheimdienstver träge natürlich die gegenseitige Offenlegung von alle Informationen vorsehen. Oder anders formuliert, in England kann man nicht durchsetzen das seine Daten nicht in die USA oder andere abwandern.
10
Tobi
Ist das Urteil auch für Inhaber einer Unternehmens-Fanpage auf Facebook relevant? Bei der Auflistung der Dienste wird dies explizit nicht genannt.Wenn nein, warum sind Fanpages hier nicht betroffen?
8
Michael Schulz
Hallo, was bedeutet das bei der Nutzung vom Google TAG Manager? Dieser arbeitet zwar ohne Cookies (erfasst also keine Personenbezogen en Daten), übermittelt aber die Ergebnisse (Kicks, Scrolltiefe usw.) an Google Analytics. Muss dieser jetzt auch im Cookie-Melder gelistet und mit der Opt-In Option hinterlegt werden?
7
Stefan
Was ist denn mit Slack? Ist das nicht ähnlich wie Teams zu sehen?
6
Martin
Wir haben 2018 einen AVV mit Mailchimp und auch Google abgeschlossen. Ich dachte immer Privacy Shield ist nur für US Unternehmen relevant, welche keinen entsprechenden AVV anbieten.Warum stehen jetzt Mailchimp und Google Analytics mit auf der Liste? Sind die AVV mit Unternehmen in den USA alle hinfällig? Dann müssten wir ja einige Leitungen kappen.Vielen Dank schon mal
6
Garcia
Das ist jeden Tag mehr kompliziert und verrückt. Mir es egal ob die FBI oder die NASA oder ein andere bekommen meine email oder meine IP... Ist es wirklich so wichtig? Ich denke was wichtig ist, ist das die Leute kennt mehr über wie Internet funktioniert und das die müssen nicht auf irgendwelche website die Daten geben.
-2
Julia
Bedeutet das, dass Facebook-Seiten eigentlich gar keine gültige Rechtsgrundlage mehr haben und im Grund illegal sind?
6
Rechtsanwalt Sören Siebert
Stimmt, Xing gehört nicht in diese Liste. Wir haben das korrigiert.
4

Ich möchte mit eRecht24 chatten!
Datenschutzhinweis: Ihre Daten und Ihre Chateingaben werden in unserem Chat-Tool Brevo verarbeitet, sobald Sie zustimmen, den Chat mit uns zu beginnen. Sie können Ihre Zustimmung jederzeit zurücknehmen. Details hierzu entnehmen Sie unserer Datenschutzerklärung.
eRecht24 - Unsere praktischen Tools und hilfreichen Tutorials

mitgliederbereich teaser

Exklusiv für unsere Mitglieder

Alles was Webseitenbetreiber, Agenturen und Selbständige wirklich brauchen: Tools, Wissen, Musterverträge, Erstberatung und Live-Webinare.

Mehr Informationen

dsgvo teaser

Jetzt eRecht24 Premium Affiliate werden

Als eRecht24 Premium Affiliate Partner empfehlen Sie eine Lösung, mit der bereits mehr als 370.000 Webseiten erfolgreich rechtlich abgesichert wurden und erhalten dafür eine 25% Lifetime Provision!

Jetzt Affiliate werden

webinar teaser

Online Schulung mit RA Siebert

Die 7 häufigsten Abmahnfallen auf Webseiten und wie Sie diese einfach und ohne teuren Anwalt vermeiden. So haben Abmahner keine Chance!

Mehr Details