Drücke „Enter”, um zum Inhalt zu springen.
Auf dieser Webseite sind externe Links mit dem Symbol gekennzeichnet. Datenschutzhinweise

Privacy Shield ungültig: Webseiten besonders betroffen

· Ein Beitrag von IT Logic
Privacy Shield ungültig

Kategorien: Datenschutz und Recht

Am 16. Juli 2020 entschied der Europäische Gerichtshof (EuGH), dass der Privacy Shield, der insbesondere den Datenaustausch von Daten in Drittländer absichern sollte, ungültig ist. Vor allem amerikanische Datenschutzregeln entsprächen nicht dem Schutzniveau der DSGVO.

Was war geschehen?

Der Datenschutz-Aktivist Maximilian Schrems reichte eine Klage ein, weil er die Rechte an seinen eigenen Daten als gefährdet ansah. Er ist u.a. Facebook-Nutzer und sieht ein Problem mit dem Datenschutzniveau in den Vereinigen Staaten. Deshalb wird das Urteil auch als Schrems-II-Urteil bezeichnet.

Der EuGH klärte die Fragen von Herrn Schrems nun und kam zu dem an sich wenig überraschenden Schluss, dass der Privacy Shield ungültig sei. Der Privacy Shield sollte sicherstellen, dass Daten europäischer Bürger in den USA genauso sicher sind wie in Europa. Dass dies nicht der Fall ist, war anzunehmen.

Überraschend ist allerdings, dass der EuHh zugleich feststellte, dass die Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern gültig sind. Jedoch hat dies praktisch keine Vorteile für Google & Co., die Daten in Amerika halten und ausbeuten. Denn in Amerika hat von Gesetz wegen der Geheimdienst Zugriff auf Daten von amerikanischen Unternehmen. Dieses Gesetz heißt in den USA Cloud Act. Da dies mit der DSGVO nicht vereinbar ist, helfen auch Standardvertragsklauseln amerikanisch geführter Unternehmen in Europa nicht weiter, sie sind also ungültig bzw. müssten demnächst offiziell als ungültig erklärt werden.

Ein weiterer Grund, warum Standardvertragsklauseln von amerikanischen Unternehmen mit Sitz in Europa (oft in Irland) ungültig sind, hat der BvD thematisiert: Gemäß der sogenannten Artikel-29-Datenschutzgruppe können Standardvertragsklauseln nicht zwischen zwei juristischen Personen eines Unternehmensverbunds geschlossen werden.

Die Konsequenzen

Der Privacy Shield schützt nun keinen Datentransfer aus der EU ins europäische Ausland. Insbesondere amerikanische Firmen sind somit nicht mehr durch das Privacy Shield legitimiert. Vor allem amerikanische Internetkonzerne sind betroffen, und somit auch alle Nutzer von Lösungen der folgenden Anbieter (Auswahl):

  • Google
  • YouTube
  • Vimeo
  • Facebook (mit WhatsApp und Instagram)
  • Apple
  • Microsoft
  • Zoom
  • Adobe
  • Fonts.com (Fast Fonts)
  • OpenStreetMap (über OpenStreetMap Foundation mit Sitz in UK – nach Brexit problematisch)
  • MapBox (stellt OpenStreetMap bereit)

Sofern diese Anbieter Daten in Amerika oder einem anderen unsicheren Drittland verarbeiten, ist eine Gewährleistung der Datenschutzgrundverordnung gemäß EuGh-Urteil in der Rechtssache C-311/18 nicht mehr durch das Privacy Shield gegeben.

Im Zentrum wird also die Frage stehen, ob es neben dem vom jeweiligen deutschen Unternehmen gewählten Dienstleister nicht auch zumutbare Alternativangebote ohne Transferproblematik gibt. Wenn ein Unternehmen uns nicht davon überzeugen kann, dass der von ihm genutzte Dienstleister mit Transferproblematik kurz- und mittelfristig unersetzlich ist durch einen zumutbaren Dienstleister ohne Transferproblematik, dann wird der Datentransfer vom LfDI Baden-Württemberg untersagt werden

Quelle: LfDI Baden-Württemberg, https://www.baden-wuerttemberg.datenschutz.de/verunsicherung-nach-schrems-ii-urteil-lfdi-baden-wuerttemberg-bietet-hilfestellung-an/

Jeder, der auf Dienste der o.g. Unternehmen zurückgreift und damit Daten von anderen Personen weiterleitet, handelt demnach zunächst entgegen der Datenschutzgrundverordnung. Das eben genannte Zitat zeigt, dass Aufsichtsbehörden Sanktionen verhängen werden. Unabhängig davon ist eine Abmahnung unserer Ansicht nach immer erfolgversprechend, weil es für einen Rechtsbruch keine Rolle spielt, ob etwas als alternativlos angesehen wird oder nicht.

Insbesondere Apple hatte ja im Juli 2020 feststellen lassen, dass eine Steuernachzahlung von 13 Milliarden für die irische Tochtergesellschaft u.a. deshalb nicht fällig seien, weil Apple sein Kerngeschäft samt Wertschöpfung in den USA betreibt. In Irland sei nur eine Vertriebsorganisation tätig.

Die Pressemitteilung des Europäischen Gerichtshofs enthält auf der vorletzten Seite die wichtige Aussagen.

Für Google wird es ungemütlich

Google versucht sich aktuell unter Bezug auf Standardvertragsklauseln aus der verantwortung zu stehlen. Dies wird nicht gelingen. Der Eiropäische Datenschutzausschuss, EDSA, hat eine eigene Stelle eingerichtet, um die Beschwerden gegen Webseiten, die Google- und Facebook-Tools einsetzen, besser kanalisieren zu können.

Jeder, der Datenschutz ernst nimmt, sollte sich von Google Tools ohne Einwilligung vollständig distanzieren. Ausreden gibt es jedenfalls keine mehr. Stattdessen gibt es zahlreiche Alternativen. Viele Tools, wie Google Maps, haben übrigens keinen spürbaren Nutzen oder können durch bessere Möglichkeiten als eine eingebettete Kartenansicht abgelöst werden.

Nicht nur Tools amerikanischer Anbieter betroffen

Auch Tools von Anbieter aus anderen Ländern als den USA sind nicht mehr DSGVO-konform nutzbar, sofern für da jeweilige Land, in dem der Anbieter sitzt, kein Angemessenheitsbeschluss existiert. Der Angemessenheitsbeschluss ist ein Beschluss der Europäischen Kommission gemäß Artikel 45 DSGVO. Er besagt für einzelne Länder, dass diese ein angemessenes Datenschutzniveau besitzen. Für Amerika gilt dieser Beschluss nicht, weil Amerika kein Datenschutzniveau besitzt, welchen den europäischen Ansprüchen genügt.

Für folgende Länder existiert ein Angemessenheitsbeschluss:

  • Andorra
  • Argentinien
  • Kanada
  • Färöer-Inseln
  • Guernsey
  • Israel
  • Isle of Man
  • Japan
  • Jersey
  • Neuseeland
  • Schweiz
  • Uruguay

Tools von Anbietern aus anderen Ländern sind also ebenso fragwürdig bzw. wahrscheinlich nicht ohne Einwilligung nutzbar wie die von Google & Co. Betroffen ist auch Großbritannien nach dem Brexit, sofern dann kein Angemessenheitsbeschluss vorliegt.

Auf der Webseite des Hessischen Datenschutzbeauftragten sind weitere Erläuterungen zum Angemessenheitsbeschluss zu finden.

Wie geht es weiter?

Offensichtlich haben die USA eine andere Mentalität als Europa als Einheit. Daran wird sich auch in Zukunft nicht viel ändern. Somit erscheint es ausgesprochen unwahrscheinlich, dass demnächst (also in den nächsten Jahren) in den USA ein Datenschutzniveau herrschen wird, welches geeignet wäre, die Vorgaben der DSGVO zu erfüllen.

Wie sich jeder denken kann, vertragen sich Geheimdienste mit Datenschutzgesetzen nicht so gut. Die Begriffe Geheimdienst und Datenschutz könnte man als gegenteilige Begriffe auffassen. Solange es also in den USA Geheimdienstgesetze wie FISA 702, die Executive Order 12333 oder den Cloud Act gibt, ist es faktisch nicht möglich, die Vorgaben der DSGVO einzuhalten. Sollte die Europäische Kommission dennoch auf die Idee kommen, ein Privacy Shield 2.0 Abkommen zwischen Europa und den USA einzuführen, wäre es nur eine Frage weniger Jahre, bis auch dieses durch einen Gerichtsentscheid des EuGH gekippt werden würde.

Ein besonderes Recht, das die DSGVO betroffenen Personen bietet, ist das Auskunftsrecht. Jede Person kann nachfragen, was mit ihren personenbezogenen Daten passiert ist bzw. passieren soll. Geheimdienste tun sich etwas schwer damit, zuzugeben, dass sie jemanden ausspioniert haben oder ausspionieren wollen. Spionage ist eben das Gegenteil von Auskunft. Insofern werden die USA wohl in den nächsten Jahrzehnten ein unsicheres Drittland bleiben. Unsicheres Drittland heißen alle Länder außerhalb der EU, für die kein Angemessenheitsbeschluss der EU vorliegt. Somit scheiden Firmen wie Google für alle aus, die Plugins auf Ihrer Webseite oder in Ihrer App nutzen wollen und die Wert auf hohe Rechtssicherheit legen.

Fazit

Wer auf seiner Webseite Tools wie Google Analytics, Facebook Connect (Facebook Pixel), YouTube Videos, Adobe Analytics o.ä. einsetzt, verstößt nach unserer Auffassung damit eindeutig gegen die Datenschutzgrundverordnung. Erst eine vorherige, informierte, freiwillige, aktive und separat erklärte Einwilligung von Nutzern könnte dieses Problem vermeiden.

Allerdings kann eine solche Einwilligung meist nicht eingeholt werden, da die Erklärung über die Datenerhebungen von Google & Co. nahezu unmöglich sein dürfte. Zudem ist die technische Realisierung von Einwilligungsabfragen für Tracking, Cookies und Datentransfers kompliziert und führt nicht selten zu mehr rechtlichen Problemen als ohne Einwilligungsabfrage. Die Gründe für das Problem mit Cookie Bannern können Sie in unserer Untersuchung hierzu nachlesen.

Wird auf einer Webseite keine Einwilligung abgefragt, kann dies unangenehme Folgen haben:

Abmahnung Google Analytics
Abmahnung einer Privatperson gegen Google Analytics

Die Einwilligung sollte nur als letztes Mittel verwendet werden, wenn keine andere Rechtsgrundlage verfügbar ist (was allerdings meist der Fall ist, wenn es um Marketing-Aktivitäten geht). Einwilligungspflichtige Datenverarbeitungen haben nicht nur mit Cookies zu tun. Wie Vertreter von Datenschutzbehörden bestätigen, sind fehlerfreie Einwilligungsabfragen (“Cookie Popups”) aber ausgesprochen selten anzutreffen. Damit sollte man sie möglichst vermeiden.

Auch wer Videokonferenzprodukte wie Microsoft Teams oder Zoom einsetzt, muss sicherstellen, dass keine Daten aus der europäischen Union abwandern. Hierzu bedürfte es der Garantie durch Microsoft oder Zoom, bevor diese Tools anderen Teilnehmern zugänglich gemacht werden. Außer, man möchte mit Einwilligungen arbeiten, für die aber wiederum das Wissen fehlt, welche Daten beispielsweise Microsoft wie und wo verarbeitet.

Sind Sie Verantwortlicher für eine Webseite, prüfen Sie diese jetzt online, um zu sehen, ob Probleme mit dem ungültigen Privacy Shield entstehen könnten.

Privacy Check für Webseiten

Eine atrtaktive Lösung zur Absicherung von Webseiten ist der Volkstarif. Der Volkstarif ist gut und günstig und ermöglicht beliebig viele Scans einer Webseite. Jeder Scan produziert einen Datenschutzbericht. In diesem Bericht sind Lösungsmöglichkeiten genannt, um Probleme mit dem Privacy Shield Wegfall zu vermeiden.

Zum Volkstarif

Das könnte Sie auch interessieren:
Künstliche Intelligenz: Eine Chance für den Datenschutz
Google Fonts: Schreiben wegen Datenschutzverstoß erhalten. Was tun?
Google Analytics Webinar: Das sollten Datenschutzberater über das Tracking-Tool wissen
Consent Tools für Webseiten im großen Praxistest: Big Fail
Web Tracking: Wann einwilligungspflichtig?
Seminar in Frankfurt: Datenschutz auf Webseiten, unter Mitwirkung der Hessischen Datenschutzaufsicht
Schlagworte zu diesem Artikel: