Worum geht's?
Die Vereinbarung für den Datenaustausch zwischen Europa und den USA ist vom höchsten EU-Gericht gekippt worden. Informationen über europäische Verbraucher seien auf US-Servern nicht vor dem Zugriff dortiger Behörden und Geheimdienste geschützt, so die Richter. Die Entscheidung betrifft amerikanische IT-Konzerne wie Facebook oder Google, aber auch zahlreiche Hoster, Tracking- und Newsletteranbieter.
AUFGEPASST
Dieser Artikel gibt die Rechtslage vor dem Data Privacy Framework wieder. Dieser ist als Nachfolger des EU-US Privacy Shields am 10. Juli 2023 in Kraft getreten. Informationen hierzu finden Sie in unserem Artikel "Privacy Shield 2.0: Datentransfer in die USA".
1. Was ist der Hintergrund des Rechtsstreits?
Mit seiner Klage gegen die Facebook Ireland Ltd. hat der Österreicher Max Schrems nun nach dem Safe Harbour abkommen bereits die zweite Vereinbarung zwischen EU und USA zu Fall gebracht. Begonnen hat alles mit einer Beschwerde bei der irischen Aufsichtsbehörde DPC. Sie ist für die Europa-Zentrale des sozialen Mediums in Dublin zuständig. Die Daten europäischer Facebook-Nutzer werden aber großenteils nicht hier verarbeitet, sondern auf Server in den Vereinigten Staaten überspielt.
WUSSTEN SIE'S?
Eigentlich hatte der damalige Jura-Student ein Verbot dieser Praxis erreichen wollen. Denn seiner Auffassung nach waren seine personenbezogenen Daten durch US-Recht nicht ausreichend geschützt.
Daran ändere auch das sogenannte Safe-Harbour-Abkommen nichts, dessen Unterzeichner ein „angemessenes Schutzniveau“ garantiert hatten.
2015 gab der Europäische Gerichtshof Schrems Recht und erklärte die Safe-Harbour-Vereinbarung für ungültig. Facebook allerdings transferierte weiterhin Daten in die USA. Grundlage waren nun sogenannte Standardvertragsklauseln sowie das Nachfolge-Abkommen zu Safe Harbour: Privacy Shield. Weil auch damit europäische Daten nicht vor dem Zugriff der US-Geheimdienste geschützt seien, klagte Schrems erneut.
2. Kein ausreichender Datenschutz in USA
Die Luxemburger Richter stellten nun fest, dass auch der sogenannte „Datenschutzschild“ Privacy Shield ungültig ist. Bei der Übertragung von Daten europäischer Verbraucher in ein Drittland müsse ein Schutzniveau gewahrt werden, das dem der DSGVO entspreche. Davon könne auf Grundlage der US-Gesetzgebung nicht ausgegangen werden.
Beispielsweise seien die dortigen Überwachungsprogramme nicht auf das zwingend erforderliche Maß beschränkt. Vor allem aber hätten Europäer keine Klagemöglichkeit, falls sie eine missbräuchliche Verarbeitung persönlicher Informationen vermuteten.
3. Was bedeutet das Urteil in der Praxis?
Das Urteil des EuGH bedeutet eigentlich, dass jetzt erst einmal keine Nutzerdaten aus der EU mehr in die USA übertragen und dort verarbeitet werden dürfen. Was das aus für unzählige Tools und Dienste bedeuten würde, die aktuell auf deutschen und europäischen Webseiten genutzt werden. Was defacto (mal wieder) das Ende des Internet wie wir es kennen bedeutet würde.
Mittelfristig müssen alle Unternehmen eine Bestandsaufnahme der genutzten Anbieter vornehmen. Die Datenschutzbehörden können sonst Bußgelder wegen der unberechtigten Übertragung von Nutzerdaten in die USA verhängen.
4. Welche Dienste sind konkret betroffen?
Die ganze Reichweite des Urteils wird sich erst in den nächsten Wochen und Monaten zeigen. Für eine schnelle Überprüfung, welche Dienste vom Wegfall des Privacy Shield betroffen sein können finden Sie hier einen ersten Überblick über die am häufigsten eingesetzten US-Anbieter und Plattformen:
CDN
- Cloudflare
Social Media
- Facebook-Connect
- Facebook Plugins
- X (ehemals Twitter) Plugin
- Instagram Plugin
- Tumblr Plugin
- LinkedIn Plugin
- Pinterest Plugin
Tracking-Dienste
- Google Analytics
- WordPress Stats
Ad Networks
- Google Ads
- Google Adsense
- Google Adsense (nicht personalisiert)
- Google Remarketing
- Google Conversion Tracking
- Google Doubleclick
- Facebook Pixel
Newsletter-Anbieter
- MailChimp
- MailChimp mit deaktivierter Erfolgsmessung
- ActiveCampaign
Musik-/Videoplattformen
- YouTube
- YouTube mit erweitertem Datenschutz
- Vimeo
- Vimeo ohne Tracking
- SoundCloud
- Spotify
Videokonferenz-Tools
- Zoom
- Skype for Business
- GoToMeeting
- Microsoft Teams
- Google Hangouts
- Google Meet
Sonstige Tools
- Google Web Fonts
- Adobe Fonts
- Google Maps
- Google reCAPTCHA
- Amazon Partnerprogramm
5. Welche konkreten Lösungen gibt es?
Die EU-Standard-Vertragsklausel
Die so genannten EU-Standardvertragsklauseln können nach Ansicht der Luxemburger Richter eine gültige Grundlage für den Transfer bilden. Unter einer Voraussetzung allerdings: Bei der Übermittlung personenbezogener Daten muss das vom Unionsrecht verlangte Schutzniveau eingehalten werden. Ob das aufgrund der US-Gesetze überhaupt möglich ist, müssen die jeweiligen Unternehmen in den USA sicherzustellen.
Unternehmen können hier einen Vertrag über die Übertragung personenbezogener Daten abschließen. Dafür hat die EU einen Standard-Vertrag entwickelt.
Die Folge:
Der Datenaustausch z.B. in die USA ist wieder erlaubt
Vorteil:
Es müssen keine individuellen Verträge erarbeitet werden.
Nachteil:
Es gibt wenig Raum für individuelle Regelungen
Binding Corporate Rules
Binding Corporate Rules, abgekürzt BCRs, sind verbindliche interne Datenschutz-Regelungen der Unternehmen, die nach Vorgabe der EU und der europäischen Datenschützer entwickelt wurde. Wenn Unternehmen diese internen Regelungen von der Datenschutzbehörde des Ursprungslandes genehmigen lässt, ist der Datenaustausch z.B. in die USA ist wieder erlaubt.
Vorteil:
Individueller als die EU-Standartvertragsklausel
Nachteil:
Müssen von der Datenschutzbehörde des Ursprungslandes genehmigt werden
Branchenspezifischer Verhaltenskodex (Code of Conduct)
Die DSGVO erlaubt branchenspezifische Verhaltensregeln für den Datenschutz
Diese müssen durch die Datenschutzbehörden der EU genehmigt werden
Unternehmen aus Drittländern (etwa den USA) müssen sich diesen Regeln unterwerfen.
Einwilligung etwa über Consent Tools?
In diesem Zusammenhang sind diese Datenübertragungen durch Einwilligungen etwa über ein Cookie-/ Consent-Banner kaum praktisch umsetzbar. Es gibt dabei folgende Probleme:
- Rechtlich (fehlendes Datenschutzniveau in den USA, es ist unklar, ob man eine Einwilligung bei Grundrechtsverletzungen erteilen kann)
- Technisch: der Text wäre extrem lang
- Marketing: Die opt-in-Raten wären minimal
- Praktisch: es müssten alle Datenübertragungen, Empfänger und Zwecke der Verarbeitung dargestellt werden
6. Checkliste: Was Sie jetzt konkret tun sollten
-
Erstellen Sie eine Liste mit Softwareanbieter und Dienstleister aus den USA, die Sie nutzen.
-
Analysieren Sie, ob hier personenbezogene Daten der Nutzer an diese Unternehmen übermittelt werden.
-
Prüfen Sie, ob ihr Anbieter eine Regelung für Kunden aus der EU treffen wird oder schreiben Sie die Anbieter an und fragen nach, welche Lösungen das Unternehmen treffen wird (Einwilligung, EU-Standard-Vertragsklausel, Datenspeicherung ausschließlich auf EU-Servern...)
-
Prüfen Sie, ob in Ihrer Datenschutzerklärung die Datenübertragung bei bestimmten Unternehmen auf das Privacy Shield Abkommen gestützt war.
-
Passen Sie die Formulierungen in Ihrer Datenschutzerklärung an.
Übersicht der Dienste mit EU-Standard-Vertragsklauseln (SCC) oder BCR
Wir haben eine Übersicht jener Dienste und Tools für Sie zusammengestellt, die bereits EU-Standard-Vertragsklauseln (kurz SCC) oder sogenannte Binding Corporate Rules (kurz BCR) haben:
Die Übersicht wird fortlaufend ergänzt und aktualisiert (Stand: 04.03.2021).
7. Ihre Datenschutzerklärung jetzt aktualisieren
Kostenlos Datenschutzerklärung neu erstellen
Wir haben unseren kostenlosen Generator für Datenschutzerklärungen überarbeitet. Sie können hier kostenlos eine neue Datenschutzerklärung für Ihre Webseite erstellen, die das aktuelle EuGH-Urteil umsetzt.
Erstellen Sie jetzt eine rechtssichere Datenschutzerklärung mit dem eRecht24 Datenschutz Generator
- Einfache Integration in Ihre Website
- Anwaltlich geprüfter Generator
- Für Sie kostenfrei in wenigen Schritten
Datenschutzerklärung schnell aktualisieren
eRecht24 Premium Nutzer können eine aktuelle Datenschutzerklärung erstellen oder Ihre bestehenden Datenschutzerklärungen mit 2 Klicks aktualisieren, egal welche Anbieter und Tools Sie nutzen.
8. Exklusives Live-Webinar zum Ende von Privacy Shield
Das Thema „Privacy Shield und die Folgen” ist sehr komplex. Es betrifft aber fast jeden Seitenbetreiber, Unternehmer sowie Webdesigner und Agenturen gleichermaßen.
Deshalb haben wir dazu im September 2020 ein eRecht24 Premium Live-Webinar mit Rechtsanwalt Sören Siebert mit dem Thema „Das Privacy-Shield-Abkommen ist ungültig: Was genau bedeutet das für Webseitenbetreiber, Agenturen und Webdesigner?“ durchgeführt.
Die Aufzeichnung dieses Webinars sowie die Teilnahme an allen weiteren Live-Webinaren ist für eRecht24 Premium Nutzer inklusive.
Zu eRecht24 Premium
- Zurück zur Übersicht: "Datenschutz"
- Recht auf informationelle Selbstbestimmung (Grundgesetz)
- BDSG-neu
- Kopplungsverbot
- ePrivacy Verordnung
- TMG
- TDDDG (ehemals TTDSG)
- EU-US Data Privacy Framework
- Hinweisgeberschutzgesetz
- Digital Service Act - EU-Gesetz über digitale Inhalte
- Digitale Dienste Gesetz (DDG)
- Data Governance Act (DGA)