Privacy Shield ungültig: Webseiten besonders betroffen

Am 16. Juli 2020 entschied der Europäische Gerichtshof (EuGh), dass der Privacy Shield, der insbesondere den Datenaustausch von Daten in Drittländer absichern sollte, ungültig ist. Vor allem amerikanische Datenschutzregeln entsprächen nicht dem Schutzniveau der DSGVO.

Was war geschehen?

Der Datenschutz-Aktivist Maximilian Schrems reichte eine Klage ein, weil er die Rechte an seinen eigenen Daten als gefährdet ansah. Er ist u.a. Facebook-Nutzer und sieht ein Problem mit dem Datenschutzniveau in de Vereinigen Staaten.

Der EuGh klärte die Fragen von Herrn Schrems nun und kam zu dem an sich wenig überraschenden Schluss, dass der Privacy Shield ungültig sei. Der Privacy Shield sollte sicherstellen, dass Daten europäischer Bürger in den USA genauso sicher sind wie in Europa. Dass dies nicht der Fall ist, war anzunehmen.

Überraschend ist allerdings, dass der EuGh zugleich feststellte, dass die Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern gültig sind.

Die Konsequenzen

Der Privacy Shield schützt nun keinen Datentransfer aus der EU ins europäische Ausland. Insbesondere amerikanische Firmen sind somit nicht mehr durch das Privacy Shield legitimiert. Vor allem amerikanische Internetkonzerne sind betroffen, und somit auch alle Nutzer von Lösungen der folgenden Anbieter:

  • Google (mit YouTube)
  • Facebook (mit WhatsApp und Instagram)
  • Apple
  • Microsoft
  • Zoom
  • Adobe

Sofern diese Anbieter Daten in Amerika verarbeiten, ist eine Gewährleistung der Datenschutzgrundverordnung gemäß EuGh-Urteil in der Rechtssache C-311/18 nicht mehr durch das Privacy Shield gegeben.

Jeder, der auf Dienste der o.g. Unternehmen zurückgreift und damit Daten von anderen Personen weiterleitet, handelt demnach zunächst entgegen der Datenschutzgrundverordnung.

Insbesondere Apple hatte ja im Juli 2020 feststellen lassen, dass eine Steuernachzahlung von 13 Milliarden für die irische Tochtergesellschaft u.a. deshalb nicht fällig seien, weil Apple sein Kerngeschäft samt Wertschöpfung in den USA betreibt. In Irland sei nur eine Vertriebsorganisation tätig.

Die Pressemitteilung des Europäischen Gerichtshofs enthält auf der vorletzten Seite die wichtige Aussagen.

Fazit

Wer auf seiner Webseite Tools wie Google Analytics, Facebook Connect (Facebook Pixel), YouTube Videos, Adobe Analytics o.ä. einsetzt, verstößt nach unserer Auffassung damit eindeutig gegen die Datenschutzgrundverordnung. Erst eine vorherige, informierte, freiwillige, aktive und separat erklärte Einwilligung von Nutzern könnte dieses Problem vermeiden.

Allerdings kann eine solche Einwilligung meist nicht eingeholt werden, da die Erklärung über die Datenerhebungen von Google & Co. nahezu unmöglich sein dürfte. Zudem ist die technische Realisierung von Einwilligungsabfragen für Tracking, Cookies und Datentransfers kompliziert und führt nicht selten zu mehr rechtlichen Problemen als ohne Einwilligungsabfrage. Die Gründe für das Problem mit Cookie Bannern können Sie in unserer Untersuchung hierzu nachlesen.

Wird auf einer Webseite keine Einwilligung abgefragt, kann dies unangenehme Folgen haben:

Abmahnung Google Analytics
Abm,ahnung einer Privatperson gegen Google Analytics

Auch wer Videokonferenzprodukte wie Microsoft Teams oder Zoom einsetzt, muss sicherstellen, dass keine Daten aus der europäischen Union abwandern. Hierzu bedürfte es der Garantie durch Microsoft oder Zoom, bevor diese Tools anderen Teilnehmern zugänglich gemacht werden. Außer, man möchte mit Einwilligungen arbeiten, für die aber wiederum das Wissen fehlt, welche Daten beispielsweise Microsoft wie und wo verarbeitet.

Sind Sie Verantwortlicher für eine Webseite, prüfen Sie diese jetzt online, um zu sehen, ob Probleme mit dem ungültigen Privacy Shield entstehen könnten.

Eine atrtaktive Lösung zur Absicherung von Webseiten ist der Volkstarif. Der Volkstarif ist gut und günstig und ermöglicht beliebig viele Scans einer Webseite. Jeder Scan produziert einen Datenschutzbericht. In diesem Bericht sind Lösungsmöglichkeiten genannt, um Probleme mit dem Privacy Shield Wegfall zu vermeiden.

Der Volkstarif wird von der SIMIS Initiative – Sicherheit mit System – deren Mitglied wir sind, angeboten.

2020-08-04T09:33:51+02:00