Das Safe Harbor Urteil des EuGH: Die Folgen und Auswirkungen für Internet-Unternehmer

(20 Bewertungen, 3.80 von 5)

eRecht24 hat bereits mehrfach über das brisante Safe-Harbor-Urteil des Europäischen Gerichtshofes zum internationalen Datenschutzrecht berichtet. Sicher ist nun, dass der Umgang mit Kundendaten für eine Vielzahl deutscher Internet-Unternehmen weitaus problematischer wird. Unklar ist aber, wie betroffene Unternehmen im Einzelfall reagieren sollen. Rechtsanwalt Alex Goldberg hat die Konsequenzen der Entscheidung untersucht und erklärt exklusiv für e-Recht24-Leser, womit man jetzt zu rechnen hat und was getan werden muss.

Anzeige

Bin ich betroffen?

Die wichtigste Frage ist, ob das eigene Unternehmen von dem Safe-Harbor-Urteil betroffen sein könnte. Besonders wenn man nur auf dem deutschen und europäischen Markt tätig ist, neigt man schnell dazu, die Relevanz der Entscheidung für das eigene Internet-Portal oder den eigenen Online-Shop herunterzuspielen: „Wir haben doch mit den USA nichts zu tun. Warum sollten wir uns darüber Gedanken machen?“

Doch der Schein trügt! In Zeiten von Billig-Webhosting und Cloud-Computing ist der Weg der Datenübertragung immer schwieriger nachzuvollziehen. Wissen Sie, wo genau Ihre Kundendaten gespeichert werden? Oder anders gefragt: Sind Sie sicher, dass die von Ihnen erhobenen und verarbeiteten Kundendaten die Landesgrenzen nicht verlassen?

Um günstige Preise anbieten zu können, lagern viele Webhosting- und Clouddienste-Anbieter Ihre Server in Drittländer aus, ohne dass Sie überhaupt wissen, wo die Daten im Einzelnen liegen. Um den genauen Speicherort der Daten zu erfahren, muss man schon tiefer graben: So gibt der größte Cloud-Anbieter DropBox lediglich in seinem Hilfebereich zu erkennen:

„Alle von Dropbox online gespeicherten Dateien befinden sich verschlüsselt und sicher auf Speicherservern. Die Speicherserver werden von einem Managed Services-Anbieter bereitgestellt und unsere Infrastruktur befindet sich in Datenzentren in den USA.“
https://help.dropbox.com/de-de/accounts-billing/security

Das Gleiche gilt für viele deutsche und europäische Webhosting-Anbieter. Eine Vielzahl von Servern, auf denen Ihre Inhalte gespeichert und verarbeitet werden, befinden sich in US-Rechenzentren. Mindestens genauso problematisch ist die Verwendung von Wordpress-Plugins und anderen Tools oder Widgets. Ob Newsletter-Versand oder Tracking-Tools – Die Daten Ihrer Kunden werden oftmals auf Rechnern in den USA gespeichert und verarbeitet.

Grundsätzlich gilt also: Jeder, der personenbezogene Daten im Internet erhebt, speichert und verarbeitet, könnte von der Safe-Harbor-Entscheidung betroffen sein.

Es besteht somit akuter Handlungsbedarf für alle Internet-Unternehmer!

Anzeige

Zur Verdeutlichung ein kleines Beispiel:

Sie betreiben ein Internetportal und verwenden Wordpress als Grundlage. Hierfür haben Sie eine Reihe von Plugins installiert, um Ihren Nutzern ein Kontaktformular, einen Newsletter und andere Dienste bieten zu können. Außerdem haben Sie ein Bewertungs-Tool, ein SEO-Tool und ein Analyse-Tool eingebunden.

Auch wenn Sie sich sicher sind, dass Ihr Portal auf einem deutschen Server liegt, erfolgt im Hintergrund ein Datenaustausch mit einer Vielzahl von Servern in Drittländern: Facebook, twitter, Google Analytics und viele weitere Dienste, die millionenfach auf Webseiten eingebunden sind, speichern die Nutzerdaten ausserhalb Europas.

Was hat sich geändert?

Der sichere Hafen des Datenschutzes ist Geschichte. Die Übermittlung sensibler Daten auf US-Server ist von einem Tag auf den anderen zu einem großen Problem geworden. Jeder Transfer personenbezogener Daten unterfällt nun den nationalen datenschutzrechtlichen Vorgaben.

Wenn die von Ihnen erhobenen Daten in irgendeiner Art und Weise mit den USA in Berührung kommen, sollten Sie Ihre Allgemeinen Geschäftsbedingungen, Datenschutzerklärungen und Übermittlungsprozesse dringend anwaltlich prüfen und überarbeiten lassen. Eine sorglose Verwendung der üblichen Rechtstexte kann erhebliche Risiken bergen.

Was kann passieren?

Wenn Sie den Strom Ihrer sensiblen Daten nicht im Hinblick auf die Safe-Harbor-Entscheidung anpassen, drohen vor allem finanzielle Gefahren:

Verstöße gegen das Datenschutzrecht können mit hohen Bußgeldern bis zu 50.000,00 EUR geahndet werden. Außerdem können Sie von Mitbewerbern oder Wettbewerbsverbänden kostenpflichtig abgemahnt werden. Die Gerichts- und Rechtsanwaltskosten können hier schnell mehrere Tausend Euro erreichen.

Viele Unternehmen und Anwaltskanzleien haben in den letzten Jahren wettbewerbsrechtliche Abmahnungen als Geschäftsmodell für sich entdeckt. Oftmals werden Internetseiten von Konkurrenten durchgehend überwacht und kleinste Verstöße kostenpflichtig abgemahnt. Abmahnsichere Rechtstexte und vor allem Datenschutzvorgaben sind vor dem Hintergrund der Safe-Harbor-Entscheidung unbedingt notwendig.

Was kann ich tun?

Das Safe-Harbor-Urteil hat zwar die Grundlagen des internationalen Datenaustauschs signifikant verändert, allerdings gibt es immer noch praktikable Wege, die Datenübertragung rechtssicher zu gestalten und den länderübergreifenden Datentransfer legal abzuwickeln:

1. Ausnahmen nach dem Bundesdatenschutzgesetz

Die Datenübermittlung in Drittländer ist weiterhin möglich, wenn diese "zur Erfüllung eines Vertrages oder zur Durchführung vorvertraglicher Maßnahmen" erforderlich ist. Voraussetzung hierfür ist ein Vertragsverhältnis zwischen dem Anbieter und dem Nutzer. Wenn die Abwicklung des Vertrages ohne die Übertragung von Daten in Drittländer nicht möglich ist, darf der  Datentransfer grundsätzlich erfolgen. Ähnliches gilt für eine Datenübertragung, die im Interesse des Betroffen erfolgt. Ob diese Ausnahme auch bei Ihnen greift, sollten Sie zeitnah anwaltlich prüfen lassen.

2. Einwilligung des Nutzers

Eine weitere Möglichkeit ist die Einholung einer individuellen Einwilligung des Nutzers zur Datenübertragung. Individuell bedeutet dabei, dass der Nutzer explizit seine Einwilligung erteilen muss. Sie muss frei von Zwang erfolgen jederzeit widerrufbar sein. Eine entsprechende Klausel in den AGB reicht dafür allerdings nicht aus. Lassen Sie sich für die praktische Umsetzung dieser Ausnahme anwaltlich beraten.

3. Weitere Ausnahmen

Die EU-Kommission hat zudem sog. Standardvertragsklauseln für die Datenübertragung in Drittländer festgelegt. Um einen legalen Datenaustausch mit Drittländern zu gewährleisten, können diese Klausel in unveränderter Form verwendet werden. Zudem gibt es insbesondere für Konzerne die Möglichkeit, durch verbindliche interne Regelungen eine rechtssichere Grundlage für den Datentransfer zu schaffen.

Fazit:

Jeder, der im Internet personenbezogene Daten erhebt, speichert und verarbeitet ist grundsätzlich von der Safe-Harbor-Entscheidung des EuGH betroffen. Um teure Bußgelder und Abmahnungen zu vermeiden, sollten die aktuellen Rechtstexte und Übermittlungsprozesse entsprechend anwaltlich geprüft und gegebenenfalls überarbeitet werden.

Autor:

Rechtsanwalt Alex Goldberg
Web: https://www.kanzlei-siebert.de/

Anzeige
Rechtsanwalt Sören Siebert
Es gibt neben Safe Harbor noch andere Wege:1. EU-Standardvertrag sklauseln2. Binding Corporate Rules mit Genehmigung der Datenschutzbehörden3. Server innerhalb der EU 4. hoffen auf den Safe Harbor NachfolgerWie Google das bei welchem der zahlreichen Dienste aktuell genau macht wird aber sicher schwer rauszufinden sein.
3
Simon P.
Hallo!Ich hätte eine Frage zur (datenschutzkon formen) Nutzung von Google Analytics (inkl. aktivierter IP-Maskierung"):Im Google Vertrag steht unter 4.7: "Kundendaten werden von Google erfasst und gespeichert. Die Speicherung erfolgt nach der IP-Maskierung.Die von Ihnen aktivierte IP-Maskierung erfolgt stets und erfolgt in der Regel auf Servern innerhalb von Mitgliedstaaten der Europäischen Union oder in anderen Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum . Google ist an die US Safe Harbor-Grundsätze zum Schutz der Privatsphäregebunden . Für weitere Informationen über die Safe Harbor-Vereinbarung und Googles Registrierung besuchen Sie bitte die Website des US-Handelsminister iums."Kann die ADV mit Google somit noch abgeschlossen werden und reicht der Wortlaut "erfolgt stets und erfolgt in der Regel auf Servern innerhalb von Mitgliedstaaten der Europäischen Union oder in anderen Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum " aus?DankeSimon
2

Diese Beiträge könnten Sie ebenfalls interessieren:
Weiterlesen...
Facebook und Fanpages: Wer ist für den Datenschutz verantwortlich?
Weiterlesen...
Das Copyright der Gulaschsuppe: Bildrechte bei Facebook, Instagram & Co.
Weiterlesen...
Impressumspflicht: 7 wichtige Fragen zum Impressum für Webseiten
Weiterlesen...
PayPal: Käuferschutz wird auf 180 Tage verlängert, Händler haben das Nachsehen
Weiterlesen...
Abstand und Abstandvergehen
Weiterlesen...
Neue Widerrufsbelehrung 2010: Was Shopbetreiber und eBay-Händler wissen müssen
Weiterlesen...
Abmahnfalle Facebook: Was Sie tun können, um nicht wegen geteilter Vorschaubilder abgemahnt zu werden
Weiterlesen...
PayPal: Wie schützen Sie sich vor Betrügern?
Weiterlesen...
Weitreichendes Urteil: EuGH erklärt Privacy-Shield-Abkommen für ungültig
Weiterlesen...
Der Disclaimer: Ein modernes Märchen?
Anzeige DSGVO

Der eRecht24 Newsletter

Immer bestens informiert

Bleiben Sie mit unseren regelmäßigen und kostenlosen Updates zum Internetrecht auf dem neuesten Stand. Infos, Urteile, Checklisten, Sonderangebote.

Hinweis: Sie können den Newsletter von eRecht24  jederzeit und kostenfrei abbestellen. Ihre Daten werden nur zum Versand des Newsletters genutzt. Wir geben Ihre Daten nicht weiter. Mehr Informationen zum Umgang mit Nutzer-Daten finden Sie in unserer Datenschutz-Erklärung.

loading...
Jetzt Premium-Mitglied werden

Ab Heute gestalten Sie Ihre Website ohne Angst vor Abmahnwellen und ohne teuren Anwalt abmahnsicher.

Alle Videos, Live-Webinare, E-Books, Tools und zahlreiche Rabatte.

Jetzt Mitglied werden

Mehr Informationen zu eRecht24 Premium

Impressum-Generator

Keine Chance für Abmahner

Erstellen Sie kostenlos ein rechtssicheres Impressum für Ihre Website.

Jetzt Kostenlos Impressum generieren

Rechtsberatung vom Anwalt

Haben Sie ein konkretes rechtliches Problem? Dann wenden Sie sich bitte einen Anwalt. Auf unseren Seiten finden Sie zahlreiche allgemeine Informationen zum Internetrecht. Fundierte Rechtsberatung im Einzelfall kann allerdings nur ein spezialisierter Rechtsanwalt leisten.

SSL-Zertifikate

Steigern Sie das Vertrauen Ihrer Kunden. Für Betreiber von Onlineshops und kommerziellen Webseiten unabdingbar:

SSL-Verschlüsselung, SSL-Zertifikate und Trust-Logos

IT-Recht endlich verständlich

Autor Sören SiebertSören Siebert ist Rechtsanwalt mit Kanzleien in Berlin und Potsdam.

Er berät Unternehmer, Shops und Seitenbetreiber in allen Fragen des Rechts der neuen Medien.
www.kanzlei-siebert.de

Als Betreiber von eRecht24 ist er seit mehr als 15 Jahren auch als Internet-Unternehmer tätig. Deshalb finden Sie auf eRecht24 Tipps und Tricks eines spezialisierten Rechtsanwalts, aber verständlich und praxisnah erklärt.

SSL-Zertifikate, Code-Signing, S/MIMESuchmaschienoptimierung & OnlinemarketingRechtliche OnlineShop-Prüfung
Anzeige
eRecht24 - Unsere praktischen Tools und hilfreichen Tutorials

mitgliederbereich teaser

Exklusiv für unsere Mitglieder

Alles was Webseitenbetreiber, Agenturen und Selbständige wirklich brauchen: Tools, Wissen, Musterverträge, Erstberatung und Live-Webinare.

Mehr Informationen

dsgvo teaser

DSGVO Schnellstarter-Paket

Das Datenschutzrecht hat sich 2018 vollständig geändert. Haben Sie die DSGVO umgesetzt? Sichern Sie jetzt Ihre Webseite ab.

Jetzt absichern

webinar teaser

Online Schulung mit RA Siebert

Die 7 häufigsten Abmahnfallen auf Webseiten und wie Sie diese einfach und ohne teuren Anwalt vermeiden. So haben Abmahner keine Chance!

Mehr Details