EuGH erklärt Privacy Shield für unwirksam – Internationaler Datentransfer kommt ins Schleudern
Was bedeutet das? Webseitenbetreiber vor einer unsicheren Zukunft?
Wenn Sie Dienste US-amerikanischer Unternehmen nutzen, dann kann das für Sie einschneidende Folgen haben. Der Europäische Gerichtshof hat am 16.07.2020 das Privacy Shield für unwirksam erklärt, was viele unvorbereitet trifft, obwohl damit zu rechnen war. Vor allem Webseitenbetreiber, die mit US-amerikanischen Unternehmen zusammenarbeiten, sind betroffen.
Die Rechtsgrundlagen der DSGVO betreffen die Datenverarbeitung an sich. Sollten Sie Datenverarbeitungen nicht in der EU, sondern im Ausland tätigen, benötigen Sie hierfür die zusätzliche Rechtsgrundlage für Übermittlungen personenbezogener Daten in Drittländer, die Sie in den Art. 44 ff. DSGVO finden.
Jetzt zum Tragen kommen die sogenannten Angemessenheitsbeschlüsse der Europäischen Kommission. Somit muss das Drittland einen angemessenen Datenschutz offerieren, sonst darf man keine Daten übermitteln.
Wir sind zuversichtlich, dass sich die europäischen Datenschutzbehörden, wie schon als das Safe-Harbor-Abkommen für unwirksam erklärt wurde, konstruktiv an der Lösungsfindung beteiligen werden.
Sprecher SAP
Was ist das Privacy Shield?
Hierbei handelt es sich um einen solchen Angemessenheitsbeschluss der Europäischen Kommission und betrifft die Datenübermittlung in die USA. Kurz nach Aufhebung des Safe Harbor Abkommens hat der EuGH im Juli 2016 das Privacy Shield beschlossen. Amerikanische Unternehmen benötigten eine Zertifizierung, in der bestätigt wurde, dass ein gewisses Datenschutzniveau für Daten aus der EU eingehalten wird.
Jetzt ist diese Regelung unwirksam. Das Urteil begründet sich vor allem darin, dass Daten von europäischen Bürgern, die wohl nur in einem öffentlichen Verzeichnis erscheinen mussten, nicht genügend vor US-Geheimdiensten und sonstigen Überwachungsstellen geschützt sind.
Das Urteil ist dramatisch. Wir haben aktuell einen transatlantischen Datengraben. Juristen müssen schnell an neue Verträge gehen. Wir fragen uns aber, was in denen überhaupt stehen soll, damit die Daten als absolut NSA-sicher gelten.
Victoria Beckhöfer, Datenschutz-Expertin ECONSOR
Dramatisch? Ja!
Dieses Urteil betrifft wohl fast jede Webseite. Denn wer hat nicht mindestens ein US-Unternehmen eingebunden? Falls der Dienst nicht nur über eine europäische Tochtergesellschaft erbracht wird, sonder auch über eine amerikanische Muttergesellschaft, man denke nur an Google oder Facebook, dann werden hier personenbezogene Daten in die USA übermittelt. Das betrifft also Google Dienste wie z. B. Google Analytics, Mailchimp, fast alle Social Media-Kanäle, Cloud-Dienste und viele Online-Shop-Lösungen.
Welche Alternativen bieten sich Webseitenbetreibern an?
Wir als Internetagentur empfehlen Ihnen, sich jetzt auf alternative Rechtsgrundlagen zu berufen, wenn Sie Daten übermitteln möchten. Das heißt, eine ausdrückliche Einwilligung der Nutzer wäre möglich. Hierbei müssen Sie die Nutzer aber ganz genau vor deren Einwilligung über die Risiken der Datenübermittlung informieren.
Wenn das US-Unternehmen anbietet, den Dienst über einen europäischen Server zu leisten, dann sollten Sie dem zustimmen. Setzen Sie für die ausdrückliche Einwilligung Ihrer Nutzer für die Datenübermittlung der personenbezogenen Daten Cookies mit einer Checkbox ein. Hier können Sie Ihre Cookies mit Opt-in setzen, denn der Webseitenbesucher muss die Checkbox aktiv anklicken. Problem hierbei ist nun, dass der Dienst nicht gewährt werden darf, wenn keine Einwilligung vorliegt.
Binden Sie weiterhin Ihre Google Fonts unbedingt lokal auf Ihrer Webseite ein und passen Sie Ihre Datenschutzerklärung dementsprechend an. Wie praxistauglich das ist, wird sich noch zeigen.
Hier erfahren Sie, was generell in eine Datenschutzerklärung kommt.
Was bringt die Zukunft?
Der transatlantische Datenaustausch ist bedeutend. Und wir denken, dass schnell eine neue Regelung gefunden werden muss, die den Datenschutz für europäische Bürger in den USA aufgreift, was ja prinzipiell nicht schlecht ist. Trotzdem bleibt die Situation unsicher, denn die Datenschutzbehörden sind nicht kompromissbereit, was das Datenschutzniveau anbelangt. Erste Stimmen werden laut, die bereits übermittelte Daten z. B. wieder aus internationalen Clouds nach Europa zurückholen möchten.
Eine digitale Eigenständigkeit für Europa auszurufen geht an der Realität von Unternehmen und einem globalisierten E-Commerce vorbei. Auch die aktuelle technische Grundstruktur des WWW wird hier auf den Kopf gestellt. Natürlich kann man US-Produkte durch europäische Anbieter ersetzen – aber Google oder Microsoft austauschen und wir nutzen alle ein europäisches Smartphone? Wir sind gespannt auf eine neue Regelung. Ob es ein weiteres „Go” für den transatlantischen Datenverkehr gibt, und vor allem, wie das aussehen soll, bleibt noch unsicher. Betroffen sind hier vor allem KMU, die nicht so schnell und versiert reagieren können und auch vor allem die IT-Branche.
Beitrag kommentieren
Wir freuen uns auf Ihr Feedback!