Privacy Shield ungültig: Webseiten besonders betroffen

Am 16. Juli 2020 entschied der Europäische Gerichtshof (EuGH), dass der Privacy Shield, der insbesondere den Datenaustausch von Daten in Drittländer absichern sollte, ungültig ist. Vor allem amerikanische Datenschutzregeln entsprächen nicht dem Schutzniveau der DSGVO.

Was war geschehen?

Der Datenschutz-Aktivist Maximilian Schrems reichte eine Klage ein, weil er die Rechte an seinen eigenen Daten als gefährdet ansah. Er ist u.a. Facebook-Nutzer und sieht ein Problem mit dem Datenschutzniveau in den Vereinigen Staaten. Deshalb wird das Urteil auch als Schrems-II-Urteil bezeichnet.

Der EuGH klärte die Fragen von Herrn Schrems nun und kam zu dem an sich wenig überraschenden Schluss, dass der Privacy Shield ungültig sei. Der Privacy Shield sollte sicherstellen, dass Daten europäischer Bürger in den USA genauso sicher sind wie in Europa. Dass dies nicht der Fall ist, war anzunehmen.

Überraschend ist allerdings, dass der EuHh zugleich feststellte, dass die Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern gültig sind. Jedoch hat dies praktisch keine Vorteile für Google & Co., die Daten in Amerika halten und ausbeuten. Denn in Amerika hat von Gesetz wegen der Geheimdienst Zugriff auf Daten von amerikanischen Unternehmen. Dieses Gesetz heißt in den USA Cloud Act. Da dies mit der DSGVO nicht vereinbar ist, helfen auch Standardvertragsklauseln amerikanisch geführter Unternehmen in Europa nicht weiter, sie sind also ungültig bzw. müssten demnächst offiziell als ungültig erklärt werden.

Ein weiterer Grund, warum Standardvertragsklauseln von amerikanischen Unternehmen mit Sitz in Europa (oft in Irland) ungültig sind, hat der BvD thematisiert: Gemäß der sogenannten Artikel-29-Datenschutzgruppe können Standardvertragsklauseln nicht zwischen zwei juristischen Personen eines Unternehmensverbunds geschlossen werden.

Die Konsequenzen

Der Privacy Shield schützt nun keinen Datentransfer aus der EU ins europäische Ausland. Insbesondere amerikanische Firmen sind somit nicht mehr durch das Privacy Shield legitimiert. Vor allem amerikanische Internetkonzerne sind betroffen, und somit auch alle Nutzer von Lösungen der folgenden Anbieter (Auswahl):

  • Google
  • YouTube
  • Vimeo
  • Facebook (mit WhatsApp und Instagram)
  • Apple
  • Microsoft
  • Zoom
  • Adobe
  • Fonts.com (Fast Fonts)
  • OpenStreetMap (über OpenStreetMap Foundation mit Sitz in UK – nach Brexit problematisch)
  • MapBox (stellt OpenStreetMap bereit)

Sofern diese Anbieter Daten in Amerika oder einem anderen unsicheren Drittland verarbeiten, ist eine Gewährleistung der Datenschutzgrundverordnung gemäß EuGh-Urteil in der Rechtssache C-311/18 nicht mehr durch das Privacy Shield gegeben.

Im Zentrum wird also die Frage stehen, ob es neben dem vom jeweiligen deutschen Unternehmen gewählten Dienstleister nicht auch zumutbare Alternativangebote ohne Transferproblematik gibt. Wenn ein Unternehmen uns nicht davon überzeugen kann, dass der von ihm genutzte Dienstleister mit Transferproblematik kurz- und mittelfristig unersetzlich ist durch einen zumutbaren Dienstleister ohne Transferproblematik, dann wird der Datentransfer vom LfDI Baden-Württemberg untersagt werden

Quelle: LfDI Baden-Württemberg, https://www.baden-wuerttemberg.datenschutz.de/verunsicherung-nach-schrems-ii-urteil-lfdi-baden-wuerttemberg-bietet-hilfestellung-an/

Jeder, der auf Dienste der o.g. Unternehmen zurückgreift und damit Daten von anderen Personen weiterleitet, handelt demnach zunächst entgegen der Datenschutzgrundverordnung. Das eben genannte Zitat zeigt, dass Aufsichtsbehörden Sanktionen verhängen werden. Unabhängig davon ist eine Abmahnung unserer Ansicht nach immer erfolgversprechend, weil es für einen Rechtsbruch keine Rolle spielt, ob etwas als alternativlos angesehen wird oder nicht.

Insbesondere Apple hatte ja im Juli 2020 feststellen lassen, dass eine Steuernachzahlung von 13 Milliarden für die irische Tochtergesellschaft u.a. deshalb nicht fällig seien, weil Apple sein Kerngeschäft samt Wertschöpfung in den USA betreibt. In Irland sei nur eine Vertriebsorganisation tätig.

Die Pressemitteilung des Europäischen Gerichtshofs enthält auf der vorletzten Seite die wichtige Aussagen.

Für Google wird es ungemütlich

Google versucht sich aktuell unter Bezug auf Standardvertragsklauseln aus der verantwortung zu stehlen. Dies wird nicht gelingen. Der Eiropäische Datenschutzausschuss, EDSA, hat eine eigene Stelle eingerichtet, um die Beschwerden gegen Webseiten, die Google- und Facebook-Tools einsetzen, besser kanalisieren zu können.

Jeder, der Datenschutz ernst nimmt, sollte sich von Google Tools ohne Einwilligung vollständig distanzieren. Ausreden gibt es jedenfalls keine mehr. Stattdessen gibt es zahlreiche Alternativen. Viele Tools, wie Google Maps, haben übrigens keinen spürbaren Nutzen oder können durch bessere Möglichkeiten als eine eingebettete Kartenansicht abgelöst werden.

Nicht nur Tools amerikanischer Anbieter betroffen

Auch Tools von Anbieter aus anderen Ländern als den USA sind nicht mehr DSGVO-konform nutzbar, sofern für da jeweilige Land, in dem der Anbieter sitzt, kein Angemessenheitsbeschluss existiert. Der Angemessenheitsbeschluss ist ein Beschluss der Europäischen Kommission gemäß Artikel 45 DSGVO. Er besagt für einzelne Länder, dass diese ein angemessenes Datenschutzniveau besitzen. Für Amerika gilt dieser Beschluss nicht, weil Amerika kein Datenschutzniveau besitzt, welchen den europäischen Ansprüchen genügt.

Für folgende Länder existiert ein Angemessenheitsbeschluss:

  • Andorra
  • Argentinien
  • Kanada
  • Färöer-Inseln
  • Guernsey
  • Israel
  • Isle of Man
  • Japan
  • Jersey
  • Neuseeland
  • Schweiz
  • Uruguay

Tools von Anbietern aus anderen Ländern sind also ebenso fragwürdig bzw. wahrscheinlich nicht ohne Einwilligung nutzbar wie die von Google & Co. Betroffen ist auch Großbritannien nach dem Brexit, sofern dann kein Angemessenheitsbeschluss vorliegt.

Auf der Webseite des Hessischen Datenschutzbeauftragten sind weitere Erläuterungen zum Angemessenheitsbeschluss zu finden.

Fazit

Wer auf seiner Webseite Tools wie Google Analytics, Facebook Connect (Facebook Pixel), YouTube Videos, Adobe Analytics o.ä. einsetzt, verstößt nach unserer Auffassung damit eindeutig gegen die Datenschutzgrundverordnung. Erst eine vorherige, informierte, freiwillige, aktive und separat erklärte Einwilligung von Nutzern könnte dieses Problem vermeiden.

Allerdings kann eine solche Einwilligung meist nicht eingeholt werden, da die Erklärung über die Datenerhebungen von Google & Co. nahezu unmöglich sein dürfte. Zudem ist die technische Realisierung von Einwilligungsabfragen für Tracking, Cookies und Datentransfers kompliziert und führt nicht selten zu mehr rechtlichen Problemen als ohne Einwilligungsabfrage. Die Gründe für das Problem mit Cookie Bannern können Sie in unserer Untersuchung hierzu nachlesen.

Wird auf einer Webseite keine Einwilligung abgefragt, kann dies unangenehme Folgen haben:

Abmahnung Google Analytics
Abm,ahnung einer Privatperson gegen Google Analytics

Auch wer Videokonferenzprodukte wie Microsoft Teams oder Zoom einsetzt, muss sicherstellen, dass keine Daten aus der europäischen Union abwandern. Hierzu bedürfte es der Garantie durch Microsoft oder Zoom, bevor diese Tools anderen Teilnehmern zugänglich gemacht werden. Außer, man möchte mit Einwilligungen arbeiten, für die aber wiederum das Wissen fehlt, welche Daten beispielsweise Microsoft wie und wo verarbeitet.

Sind Sie Verantwortlicher für eine Webseite, prüfen Sie diese jetzt online, um zu sehen, ob Probleme mit dem ungültigen Privacy Shield entstehen könnten.

Eine atrtaktive Lösung zur Absicherung von Webseiten ist der Volkstarif. Der Volkstarif ist gut und günstig und ermöglicht beliebig viele Scans einer Webseite. Jeder Scan produziert einen Datenschutzbericht. In diesem Bericht sind Lösungsmöglichkeiten genannt, um Probleme mit dem Privacy Shield Wegfall zu vermeiden.

Der Volkstarif wird von der SIMIS Initiative – Sicherheit mit System – deren Mitglied wir sind, angeboten.

2020-09-16T16:50:57+02:00