Brandbrief - Was sie als Website-Betreiber jetzt wissen müssen...

Aktualisiert: 4. Aug 2020

Die Datenschutzkonferenz (DSK, Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder) hat ihre erste Einschätzung zu den Auswirkungen des EuGH-Urteils über die Unwirksamkeit des „Privacy Shield“-Abkommens veröffentlicht. Sie sehe in diesem Urteil eine Stärkung der Datenschutzgrundrechte der europäischen Bürgerinnen und Bürger. Bei der Einschätzung der DSK handelt es sich um die rechtliche Auffassung der Datenschutzaufsichtsbehörden, jedoch "noch" ohne rechtliche Bindung:

1. Die Übermittlung personenbezogener Daten in die USA auf der Grundlage des Privacy Shield ist unzulässig und muss unverzüglich eingestellt werden. Der EuGH hat das Privacy Shield für ungültig erklärt, weil das durch den EuGH bewertete US-Recht kein Schutzniveau bietet, das dem in der EU im Wesentlichen gleichwertig ist. Das US-Recht, auf das der EuGH Bezug genommen hat, betrifft z. B. die nachrichtendienstlichen Erhebungsbefugnisse nach Section 702 FISA und Executive Order 12 333.

2. Für eine Übermittlung personenbezogener Daten in die USA und andere Drittländer können die bestehenden Standardvertragsklauseln der Europäischen Kommission zwar grundsätzlich weiter genutzt werden. Der EuGH betonte jedoch die Verantwortung des Verantwortlichen und des Empfängers, zu bewerten, ob die Rechte der betroffenen Personen im Drittland ein gleichwertiges Schutzniveau wie in der Union genießen. Nur dann kann entschieden werden, ob die Garantien aus den Standardvertragsklauseln in der Praxis verwirklicht werden können. Wenn das nicht der Fall ist, sollte geprüft werden, welche zusätzlichen Maßnahmen zur Sicherstellung eines dem Schutzniveau in der EU im Wesentlichen gleichwertigen Schutzniveaus ergriffen werden können. Das Recht des Drittlandes darf diese zusätzlichen Schutzmaßnahmen jedoch nicht in einer Weise beeinträchtigen, die ihre tatsächliche Wirkung vereitelt. Nach dem Urteil des EuGH reichen bei Datenübermittlungen in die USA Standardvertragsklauseln ohne zusätzliche Maßnahmen grundsätzlich nicht aus.

3. Die Wertungen des Urteils finden auch auf andere Garantien nach Artikel 46 DSGVO Anwendung wie verbindliche interne Datenschutzvorschriften („binding corporate rules“ – BCR), auf deren Grundlage eine Übermittlung personenbezogener Daten in die USA und andere Drittstaaten erfolgt. Daher müssen auch für Datenübermittlungen auf der Grundlage von BCR ergänzende Maßnahmen vereinbart werden, sofern die Rechte der betroffenen Personen im Drittland nicht ein gleichwertiges Schutzniveau wie in der Union genießen. Auch diese Maßnahmen müssen für die übermittelten Daten ein im Wesentlichen gleichwertiges Datenschutzniveau wie in der EU garantieren können.

4. Die Übermittlung von personenbezogenen Daten aus der EU in die USA und andere Drittstaaten nach Artikel 49 DSGVO ist weiterhin zulässig, sofern die Bedingungen des Artikels 49 DSGVO im Einzelfall erfüllt sind. Zur Anwendung und Auslegung dieser Vorschrift hat der Europäische Datenschutzausschuss Leitlinien veröffentlicht.

5. Verantwortliche, die weiterhin personenbezogene Daten in die USA oder andere Drittländer übermitteln möchten, müssen unverzüglich überprüfen, ob sie dies unter den genannten Bedingungen tun können. Der EuGH hat keine Übergangs- bzw. Schonfrist eingeräumt.

Die Entscheidung, die sie als Verantwortlicher nunmehr treffen müssen:


A) Möglichkeit 1: Kritische Dienste weiter verwenden

Sie verwenden weiterhin die nach dem Privacy-Shield zertifizierten Dienstleister und übermitteln somit auch weiterhin personenbezogene Daten Ihrer Kunden/Seitenbesucher an diese Unternehmen.

Abmahnungen wären in diesem Fall grundsätzlich genauso denkbar und möglich wie Sanktionen durch Datenschutzbehörden. Aufgrund meiner Einschätzung gehe ich derzeit davon aus, dass zumindest in nächster Zeit aller Wahrscheinlichkeit nach kaum Bußgelder oder Abmahnungen erfolgen werden. Gleichwohl kann man die zukünftige Entwicklung nicht mit Sicherheit vorhersehen und als Datenschutzbeauftragter kann und werde ich Ihnen das nicht empfehlen.


Sollten Sie diesem Weg folgen, also einen oder mehrere der oben aufgelisteten kritischen Dienste weiter verwenden wollen, so muss zumindest ihre Datenschutzerklärung aktualisiert werden.


B ) Möglichkeit 2: Kritische Dienste abschalten (Meine offizielle Empfehlung)

Mein Fazit und meine Offizielle Empfehlung für den Betrieb eine geschäftlich genutzten Website an alle Verantwortlichen:

  1. Sollte Ihre Website auf Servern in den USA betrieben werden wechseln Sie umgehend zu einem europäischen Hosting-Anbieter.

  2. Stellen Sie mit sofortiger Wirkung den Betrieb von Facebook Fanpages ein. Am Besten löschen Sie diese und entfernen alle Aufrufe und Referenzen darauf aus Ihrer Website. Sollten Sie Facebook Pixel verwenden gilt dies adäquate. Falls Sie die Fanpage privat weiterbetreiben wollen, entfernen Sie jeglichen Bezug zu Ihrem Unternehemn. Für Details dazu können Sie mich gerne kontaktieren.

  3. Eine Möglichkeit ist und bleibt natürlich die informierte Einwilligung desjenigen, dessen personenbezogene Daten betroffen sind (gemäß Art. 49 Abs. S. 1 a) DSGVO - die sog. Ausnahme im Einzelfall). Die Übermittlung kann auf Basis einer ausdrücklichen und informierten Einwilligung des Betroffenen erfolgen. Der Haken an der Sache: Grundvoraussetzung für eine wirksame Einwilligung ist eine umfassende ordnungsgemäße Vorabinformation des Betroffenen. Hierbei muss der Betroffene über das konkrete Risiko der Datenübermittlung in ein Drittland ohne adäquates Schutzniveau aufgeklärt werden. Diese Information sollte Angaben darüber enthalten, auf welche personenbezogenen Daten und auf welche Verarbeitungsvorgänge und -zwecke sich die Zustimmung bezieht. Ferner bedarf es der Angabe des Empfängers und des Zielortes und eines Hinweises auf die dortigen Verarbeitungsvoraussetzungen. Nur wenn der Betroffene aufgrund einer breiten und umfassenden Informationsgrundlage bewusst in den Transfer seiner personenbezogenen Daten eingewilligt hat, legitimiert seine Einwilligung die entsprechenden Datentransfers. Ein versteckter Hinweis in AGB genügt hierfür nicht.

  4. Suchen Sie möglichst kurzfristig nach europäischen Alternativen für von Ihnen auf Ihrer Website genutzten Tools von Anbietern, die Ihren Geschäftssitz in den USA haben, insbesondere für Tracking und Analyse Tools. Insbesondere Google Maps, Google Analytics, Google Ads etc. und andere US-Tool Hersteller sind betroffen. Sollten Sie Hilfe bei der Suche nach europäischen Alternativen benötigen kontaktieren Sie mich bitte kurzfristig. Addendum: siehe Heise Artikel zum Google Statement bzgö. Standard Vertragsklauseln: https://www.heise.de/news/Google-setzt-auf-Standarddatenschutzklauseln-nach-gekipptem-Privacy-Shield-4862466.html?view=print Hier muss derzeit jeder Verantwortliche sebst entscheiden, inwieweit diese Klauseln für ein ausreichendes Datenschutzniveau seiner Website-Benutzer ausreicht und dies dann ggf. gegenüber der Aufsichtsbehörde nachweisen.

  5. Entfernen Sie alle Social Media Referenzen zu US Unternehmen, wie z.B. Twitter, Instagram, YouTube etc. und/oder suchen Sie auch für diese entsprechende Standard Vertragsklauseln (mit der entsprechenden Risikobehaftung)

  6. Überarbeiten Sie Ihre Datenschutzerklärung; Entfernen Sie alle Absätze, die US Unternehmen betreffen und entfernen Sie insbesondere alle Referenzen zum US Privacy Shield aus der Erklärung. Ergänzen Sie ggf. Ihre Datenschutzerklärung um die Hinweise zu den Standard Vertragsklauseln (s.o.)

  7. Überarbeiten Sie Ihre Cookie-Einstellungen und bitten Sie explizit um eine Einverständniserklärung zur Übertragung von Daten in die USA, solange Sie alle zuvor gemachten Empfehlungen noch nicht vollständig umgesetzt haben und erweitern Sie die Cookie Erklärung in Ihrer Website um diese Einwilligungserklärung.

Wer den sichersten Weg gehen möchte, sollte bis zur Klärung eines zulässigen Datentransfers in die USA davon absehen, die oben aufgelisteten Dienstleister einzusetzen.


Wichtig: Sollten Sie diesen Weg gehen wollen, so müssten Sie

  • sowohl die Verwendung der entsprechenden Online-Dienste einstellen, als auch

  • Ihre Datenschutzerklärung entsprechend neu konfigurieren (= die betroffenen Dienste abwählen)!

Ich werde hier die weitere Entwicklung genau beobachten und Sie informieren, wenn sich weitere - bessere - Lösungsmöglichkeiten abzeichnen sollten.

Beschränkte Reaktionsmöglichkeiten, ein Grund zur Sorge?

Wirklich praxistaugliche Lösungen gibt es für das gegenwärtige Datenschutzproblem somit nicht.


Streng genommen dürfte ein weit überwiegender Großteil der täglichen Transfers von personenbezogenen Daten aus Deutschland an US-Unternehmen bzw. US-Server wegen Verstoßes gegen die DSGVO rechtswidrig sein. Abmahnungen durch Konkurrenten oder Verbraucherschutzverbände wären daher grundsätzlich genauso denkbar und möglich wie Sanktionen durch Datenschutzbehörden.


Ich gehe jedoch davon aus, dass zumindest in nächster Zeit aller Wahrscheinlichkeit nach kaum Bußgelder oder Abmahnungen drohen. Gleichwohl kann man die zukünftige Entwicklung nicht vorhersehen. Wer den sichersten Weg beschreiten möchte, sollte bis zur Klärung eines zulässigen Datentransfers von der Verwendung US-amerikanischer Diensteanbieter absehen (sofern für den Betrieb personenbezogene Daten der Kunden in die USA übermittelt werden).


Ich gehe zudem davon aus, dass sich die EU und die USA zeitnah zusammensetzen werden, um über ein Nachfolgeabkommen zum Privacy-Shield zu verhandeln. Zwar ist noch unklar, wann und mit welchem genauen Inhalt das Nachfolgeabkommen in Kraft treten wird. Bis dahin halte ich allerdings ein Einschreiten durch die Datenschutzbehörden für nicht sehr wahrscheinlich.


Fazit

Das Privacy-Shield-Urteil des EuGH verunsichert viele Website-Betreiber. Unklar ist, auf welcher Rechtsgrundlage nun der Transfer von personenbezogenen Daten an US-Unternehmen bzw. auf US-Server im Rahmen von Cloud-Diensten, Social Networks oder sonstigen webbasierten Diensten stattfinden darf.


Zwar ist streng genommen nun Vieles, was alltäglich an Datentransfers stattfindet, rechtswidrig, doch dürften die Datenschutzbehörden nach derzeitigem Stand weit davon entfernt sein, die von der Politik verschuldete Rechtsunsicherheit auf dem Rücken kleinerer und mittlerer Unternehmen auszutragen.


Dafür spricht auch das recht moderate Vorgehen der Datenschutzbehörden in der Vergangenheit, als das Safe-Harbor-Abkommen durch den EuGH für unzulässig erklärt worden ist.


Wer allerdings den sichersten Weg beschreiten möchte, sollte auf den Datentransfer in die USA verzichten und entsprechend verwendete Dienste vorerst deaktivieren.

Den vollständigen Text des EuGH Urteils finden Sie hier.


Hier eine erste Checkliste für Ihre Entscheidungsfindung:


Prüfen, ob Sie nachfolgende Dienste einsetzen, die sich auf das Privacy-Shield stützen


Nur dann gibt es einen konkreten Handlungsbedarf, wenn einer oder mehrere der nachfolgenden Dienste im Einsatz bzw. in der Datenschutzerklärung geregelt sind:

1. Hosting-Anbieter

  • Ecwid

  • Shopify

  • Squarespace

  • Weebly

  • Wix

2. Content-Delivery-Network durch

  • Cloudfare

  • Fastly

  • Google Cloud

  • Jetpack

  • KeyCDN

  • Stackpath

3. Whatsapp Business

4. Single-Sign-On-Verfahren

  • Facebook Connect

  • Google Sign-In

5. Bei Nutzung von Kundendaten zur Direktwerbung durch

  • ActiveCampaign, LLC

  • Klaviyo

  • Mailchimp

  • SendGrid

  • Shopify Email

  • WhatsApp-Newsletter

6. Datenverarbeitungen zur Bestellabwicklung durch

  • Printful

  • Wix Payments als Paymentdienstleister

7. Social Plugins

  • AddThis

  • AddThis als Shariff-Lösung

  • Facebook

  • Facebook mit "2-Klick"

  • Instagram

  • Instagram als Shariff-Lösung?

  • LinkedIn

  • LinkedIn als Shariff-Lösung

  • Pinterest-Plugins

  • Pinterest-Plugins als Shariff -Lösung

  • Twitter

  • Twitter mit 2-Klick-Lösung

  • Twitter als Shariff-Lösung

8. Verwendung von Videos

  • Vimeo-Videos

  • Youtube-Videos

9. Online-Marketing-Dienstleister

  • Facebook Custom Audience über Pixel-Verfahren

  • Google AdSense

  • Google Ads Conversion-Tracking

  • Google Marketing Platform (ehemals Doubleclick)

10. Webanalysedienste

  • Fullstory

  • Adobe Analytics (Omniture)

  • Google (Universal) Analytics

  • Google (Universal) Analytics OHNE Cookies

  • Jetpack

  • Lucky Orange

  • Netlify Analytics (Netlify Inc.)

  • New Relic

  • Optimizely

  • Squarespace Analytics

11. Retargeting durch

  • Bing Ads (Microsoft Corporation)

  • Bing Ads (Microsoft Corporation) Universal Event Tracking

  • Google Ads Remarketing

  • Pinterest-Retargeting-Pixel

12. Live-Chat-Systeme

  • Chatra (Roger Wilco LLC)

  • Freshchat

  • LuckyOrange

  • Zendesk

13. Sonstige Tools und Anbieter

  • CookiePro als Cookie-Consent-Tool

  • Adobe Fonts (Typekit) als Webfonts

  • Google Web Fonts

  • Google ReCaptcha

  • Google Kundenrezensionen

  • Bing Maps als Online-Kartendienst

  • Google Maps als Online-Kartendienst

  • Shopsync für Shopify

  • Wordfence als Security und Anti-Malware

  • LogRocket bei der Übermittlung von Fehlermeldungen

  • Zoom als Videokonferenz-Tool

  • Microsoft Teams als Videokonferenz-Tool


20 Ansichten0 Kommentare

Aktuelle Beiträge

Alle ansehen