Deine Website ist illegal: Privacy Shield verstößt gegen DSGVO

Privacy Shield EuGH

EuGH zu Privacy Shield: Datenexport in die USA unzulässig – damit ist auch Deine Website rechtswidrig!

von Rechtsanwalt Dr. Ronald Kandelhard, Fachanwalt für Handels- und Gesellschaftsrecht

Der EuGH schaltet das Internet ab – nach dem heutigen Urteil zu Privacy Shield des EuGH darf keine Website, kein Unternehmen mehr US Anbieter verwenden, wenn dabei personenbezogene Daten verarbeitet werden. Das kommt der (juristischen) Abschaltung des Internets gleich, da es kaum eine Website, kaum einen Dienst gibt, bei dem nicht auch wenigstens teilweise Daten auch in die USA übertragen werden. Was ist jetzt zu tun? Hier findest Du die Antworten auf Deine Fragen!

Inhalt:

  1. I. Darf ich denn US-Anbieter verwenden?
  2. II. Na toll, eigentlich, also darf ich vielleicht doch US Anbieter nutzen?
  3. III. Und was heißt das jetzt?
  4. IV. Mein US-Anbieter sitzt aber in Irland – jetzt kann ich doch, oder?
  5. V. Mein Anbieter hat Server in Europa – dann geht es aber doch?
  6. VI. Privacy Shield: Geht jetzt wirklich nichts mehr mit US-Anbietern?
  7. VII. Privacy Shield EuGH: Was kann mir denn jetzt passieren?
  8. VIII. Ok, also schalte ich meine Website jetzt ab?
  9. IX. Und was kann ich realistisch unternehmen?
  10. X. Ergebnis zu Privacy Shield EuGH
  11. XI. [Video] Interview bei der Kontist Stiftung

Die Export von personenbezogenen Daten aus der EU heraus ist in der EU nur erlaubt, wenn der Datenschutz in dem Drittland dem nach der DSGVO gleichwertig ist. Das ist etwa für die Schweiz, Kanada oder Neuseeland festgestellt. Fast unlösbar scheint aber die Frage zu sein:

I. Darf ich denn US-Anbieter verwenden?

In den USA hat Datenschutz nicht den Stellenwert wie in Europa. Der Schutz von Daten ist nach hiesigen Maßstäben unzureichend, wie nicht zuletzt durch Edward Snowden offenbar geworden ist. US-Behörden, insbesondere Geheimdienste, können die personenbezogenen Daten von US-Anbietern heraus verlangen, Rechtsmittel dagegen sind nicht möglich. Es werden ggf. umfangreiche Profile angefertigt. Damit ist die entscheidende Voraussetzung für einen Datenexport in die USA, gleichwertiger Datenschutz, nicht gegeben. Also ist die Antwort: Nein, eigentlich nicht.

II. Na toll, eigentlich, also darf ich vielleicht doch US Anbieter nutzen?

Genau, vielleicht, das ist die Antwort. Genauer gesagt: sogar 2 mal vielleicht! Denn natürlich gibt es ein überragendes Interesse fast aller Internet-Nutzer, US Anbieter zu verwenden. Das Herz des Internets steht nach wie vor in den USA. Die großen Digitalkonzerne Google, Amazon und Facebook sowie viele andere Anbieter stammen aus Nordamerika. Oft hat man fast einen faktischen Zwang, einen US-Anbieter zu verwenden – man denke nur an Online Shopping mit Amazon oder Internet-Suche mit Google. Deshalb hat die EU-Kommission bereits zwei mal versucht, eine Lösung zu finden – ist aber jetzt zum zweiten Mal an dem EuGH gescheitert.

1. Vielleicht: Safe Harbour

Also, der Export außerhalb der EU ist nur zulässig, wenn die EU-Kommission den Datenschutz eines Drittstaates als gleichwertig anerkennt. Um dies zu ermöglichen, erließ die Kommission im Jahr 2000 zunächst die Safe Harbour Entscheidung wonach ein gleichwertiger Schutz gegeben sein sollte. Hiergegen klagte der österreichische Datenschutzaktivist Maximillian Schrems und bekam 2015 von dem EuGH recht. Da gab es das erste mal die Konsequenz, das praktisch alle EU-Websites rechtswidrig waren – aus vielleicht war nein geworden.

2. Vielleicht: EU US Privacy Shield

Also musste schnell eine neue Basis her und sie musste besser sein als Safe Harbour. Dazu versuchte sich die EU an einem zweiseitigen Datenschutzabkommen mit den USA. So richtig tiefes Verständnis für europäische Datenschutzsorgen vermochte die EU Kommission jedoch nicht zu finden, schon gar nicht wirkliche Bereitschaft, US-Datenschutzgesetze zu verbessern (auf Ebene der Bundesstaaten ist das aber inzwischen der Fall, wie der neue California Consumer Privacy Act nach Vorbild der DSGVO beweist).

Daher kam ein echtes Abkommen nicht zustande. Es gab statt dessen eine Art Briefwechsel zwischen der EU und verschiedenen US-Institutionen, in denen diese einige Absichtserklärungen zum Datenschutz abgaben. Zudem wurden mit privacyshield.gov eine Institution und ein Ombudsmann in den USA geschaffen, die dafür sorgen sollten, dass in den USA der Datenschutz sich mirakulös verbessert. Wer jemals diese Aneinanderreihung von Absichtserklärungen gesehen hat, hatte sicher von Anfang an Zweifel, das das wirklich wirksam ist. Von daher wurde bei easyRechtssicher von Anfang an empfohlen, wo immer möglich, mit Alternativen zu arbeiten.

3. Und was ist real (passiert)?

Heute kam es, wie es kommen musste. Ein kleiner Österreicher wollte es erneut nicht glauben und klagte erneut – diesmal gegen Privacy Shield. Und Du ahnst es schon: Wieder rang David den Goliath nieder. Mit Urteil vom heutigen Tage hat der EuGH auch privacy shield für rechtswidrig und damit unwirksam erklärt (inzwischen gibt es den Volltext des Urteils hier). Ganz überraschend befand das Gericht, dass ein paar Briefe keinen Datenschutz ersetzen – ok, so ganz überraschend war es nicht, das haben einige prophezeit, auch ich in unserem  Blogbeitrag zum internationalen Recht.

Hier findest Du jedenfalls die Presseerklärung des EuGH zu dem Urteil vom 16.07.2020: https://twitter.com/EUCourtPress/status/1283668810374021121

III. Und was heißt das jetzt?

Genau bedeutet das juristisch, es gibt keine Entscheidung der Kommission mehr, die anerkennt, dass der Datenschutz in den USA mit dem in Europa gleichwertig ist. Damit darfst auch Du (ohne weitere Voraussetzungen) keine personenbezogenen Daten von EU-Bürgern mehr in die USA exportieren! Das heißt, praktisch jeder US-Dienst in Deinem Business ist nicht mehr zulässig. Google Analytics, Facebook, Instagram, Twitter, LinkedIn, Zoom, MS Office, MS Teams, Mailchimp, Active Campaign, Calendly, YouTube, Vimeo, Google Maps, Amazon Webservices, die Liste lässt sich fast beliebig mit Marktführern im Internet verlängern, sind jedenfalls nicht mehr ohne weiteres zulässig.

IV. Mein US-Anbieter sitzt aber in Irland – jetzt kann ich doch, oder?

Ja, das ist zumindest grundsätzlich ein guter Einwand. Viele US-Internet-Konzerne haben Ihre irischen Tochtergesellschaften nicht nur für die Steuern gegründet (von Apple grade mit Erfolg verteidigt), sondern auch zum Datenverarbeiter in der EU bestimmt. Theoretisch könnte damit ein Export der Daten vermieden sein. Nun ja, aber wirklich auch nur theoretisch. Im Detail hat der EuGH diesen Fall nicht entschieden. Aber glaubst Du, das Dein US-Anbieter von Internet-Leistungen die Daten wirklich in Irland lässt?

Ein gutes Beispiel ist Google mit dem Dienst Google Analytics. Hier ist Anbieter der Leistung und Datenverarbeiter nicht Google USA, sondern Google Irland. (Noch) Erlaubt Google aber in seinen Vertragsbedingungen mit seinen Kunden (Dir als Betreiber der Website), dass die Daten von Google Irland an Google USA übertragen werden. Für diese interne Übertragung über Kontinente verweist Google (noch) auf Privacy Shield. Damit ist dieser Transfer unzulässig und damit per Datum des EuGH Urteils Google Analytics nicht mehr erlaubt. 

Ebenso ist bzw. inzwischen (27.7.2020) war die Rechtslage für Microsoft. Microsoft hat aber bereits begonnen, Hinweise aufzunehmen, dass die interne Datenübertragung von Microsoft Irland an Microsoft USA nicht allein auf Privacy Shield beruht.  

Damit ist klar, allein ein irischer Anbieter reicht nicht. Aber wir werden gleich bei der Betrachtung der Lösungen noch darauf kommen, wie das vielleicht doch funktionieren kann. Dir ist aber erst mal wenig geholfen. Selbst wenn Dein US-Anbieter jetzt in Irland sitzt, heißt das nicht ohne weiteres, dass der Datenexport zulässig wäre.

V. Mein Anbieter hat Server in Europa – dann geht es aber doch?

Bei manchen US-Anbietern konnte man bereits vor dem Urteil des EuGH auswählen, dass die Daten auf Servern in der EU verarbeitet werden. Das allein reicht jedoch nicht aus. Sie dürfen dann eben auch tatsächlich nicht in die USA übertragen werden, zugleich muss gesichert sein, dass das US-Unternehmen nicht von dortigen Behörden ohne weiteres gezwungen kann, Daten heraus zu geben. Ob und wie das gewährleistet ist oder werden kann, wird in Zukunft sicher noch zu diskutieren. Aber auch das ist eine Lösung, die nur auf Anbieterseite realisiert werden kann. Dir hilft das konkret im Moment nicht. 

VI. Privacy Shield: Geht jetzt wirklich nichts mehr mit US-Anbietern?

Ja und – wie sollte es im Recht anders sein – nein. Es gibt immer noch Wege, wie Du trotz dem Aus für das EU US Privacy Shield Abkommen einen US Anbieter noch rechtswirksam verwenden darfst. Dafür müssen wir den Fokus ein wenig aufziehen. Denn eine Anerkennung zum gleichwertigen Datenschutz durch die EU-Kommission ist nur ein Weg, wie ein Datenexport aus der EU heraus zulässig sein kann. Es ist zwar der (bei weitem) einfachste, aber nicht der einzige Weg für einen zulässigen Datenexport. Es gibt noch zwei weitere Lösungen: Du kannst personenbezogen in die USA exportieren,wenn:

1. Du von dem Betroffenen eine Einwilligung in die Weitergabe einholst (unter vorheriger Aufklärung über das unzulängliche Schutzniveau),

2. Du mit dem Anbieter die Standardvertragsklauseln vereinbart hast.

1. Super, ich nehme die Einwilligung und alles ist gut?

Du kannst die Daten Deiner Nutzer und Kunden in die USA exportieren, wenn Du Deinen Nutzer in den Datenexport in die USA einwilligen lässt. Die Einwilligung sichert Deinen rechtssicheren Datenexport auch für die Zukunft ab. Hier bist Du unabhängig davon, was der EuGH, die Kommission oder Trump entscheiden. Aber klar, Du hast Recht, wenn Du jetzt fragst: Wie soll ich denn zu jedem Datenexport vorher eine Einwilligung des Betroffenen einholen? Manchmal ginge das tatsächlich, vor allem etwa für Deinen Newsletter Anbieter. Da das Double-Opt-In ohnehin eine Einwilligung erfordert, kannst Du die Einwilligung zum Datenexport in die USA ohne weiteres gleich mit einholen. Ein Muster für diese Einwilligung findest Du in dem Mitgliederbereich zu unserem Datenschutz Generator. Natürlich hat die Einwilligung aber den Nachteil, dass für sie mehr Text und sogar eine Warnung vor dem Datenexport erforderlich ist. Das kann durchaus zu Lasten der Conversion gehen. Von wirklichem Nutzen ist die Einwilligung daher nicht. Für alle anderen Datenverarbeitungen kannst Du sie vorher nur schwer einholen, zudem müsstest Du sie jetzt erst mal von allen Kontakten nachträglich einholen, damit Du weiter machen darfst mit Deinem US-Anbieter.

2. Was sind denn Standardvertragsklauseln?

Daneben kann auch durch einen Vertrag der Export Deiner Daten in die USA erlaubt werden. Dieser Vertrag muss die Standardvertragsklauseln beinhalten. Sie gehen zurück auf einen Beschluss der EU-Kommission (ABl. L39/5 v. 12.02.2010). Danach kannst Du mit Deinem Anbieter in den USA einen Vertrag nach den Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter abschliessen. Der Text findet sich in dem verlinkten Beschluss und darf nicht wesentlich verändert worden.

Zudem findest Du diesen Vertrag im Mitgliederbereich zu unserem Datenschutz Generator als Muster auf Englisch mit weiteren Ausfüllhinweisen. Der Vertrag muss ausgedruckt und an den Anbieter gesendet werden, der ihn dann unterzeichnet zurück sendet. Erst wenn dieser Vertrag unterzeichnet ist, ist die Weitergabe von Daten an diesen Anbieter zulässig, auch wenn er in einem nicht sicheren Drittland ansässig ist. Inzwischen ist zudem klargestellt, dass die Standardvertragsklauseln auch elektronisch, also in einer dauerhaft speicherbaren Form abgeschlossen werden können. Manche Anbieter bieten die Standardvertragsklauseln sogar auch jetzt noch an. Suche nach „standard contractual clauses„. Vielleicht hast Du Glück und Dein Anbieter bietet diese bereits jetzt oder kurzfristig an.

Ganz unstrittig sind auch die Standardvertragklauseln jedoch nicht. Grundsätzlich hat der EuGH in der EU US Privacy Shield Entscheidung zwar bestätigt, dass die Standardvertragsklauseln weiterhin zulässig sind. Gleichzeitig hat er jedoch die Datenschutzbehörden aufgefordert, jeweils zu prüfen, ob die Standardvertragsklauseln in dem Zielland überhaupt wirken können. Wenn in dem anderen Land tatsächlich kein gleichwertiges Datenschutzniveau besteht und der Empfänger der Daten (z.B. von US-Behörden) gezwungen werden kann, die Daten ohne besonderen Anlass oder Prüfung herauszugeben, hilft eben auch ein Vertrag nicht weiter.

3. Welche Prüfpflichten habe ich bei den Standardvertragsklauseln?

Zudem gibt es für den Verantwortlichen für die Daten (Dich als Betreiber der Website, die Daten von Nutzern sammelt) recht umfangreiche Prüfungspflchten bei Nutzung der Standardvertragsklauseln. Du musst Dich ggf. in Abstimmung mit dem Empfänger der Daten (das US Unternehmen) vergewissern, dass dessen Rechtsordnung auch ermöglicht, den Vertrag mit den Standardvertragsklauseln einzuhalten. Soll heißen: Du musst prüfen, ob das US Unternehmen einem Recht unterliegt, in dem die Daten anlasslos für Überwachung und Profilng heraus verlangt werden. Das war jedoch grade Gegenstand von Snowdens Enthüllungen und vor allem auch des EuGH Urteils. Von daher wird es recht schwer zu argumentieren, die Standardvdertragsklauseln würden Deinen Daten hinreichenden Schutz gewähren.

4. Zwischenergebnis: Standardvertragsklauseln können kleinen Aufschub bewirken

Für die USA ist ein zulässiger Datenexport über die Standardvertragsklauseln daher ebenfalls fraglich. Derzeit gibt es aber kaum einen anderen Ausweg und immerhin gibt es noch  keine Gerichtsentscheidung, die auch diesen Weg für unwirksam erklärt. Von daher sind die Standardvertragsklauseln vielleicht ein erster (unzureichender) Schritt, um die Abmahn- und Bußgeldgefahr für Dich zu senken. 

5. Privacy Shield, gibt es einen Ausweg mit Standardvertragsklauseln und Irland?

Das ist sicher jetzt noch zu früh, aber es könnte ein möglicher Ausweg sein. Wenn Dein US-Unternehmen einen Datenverarbeiter in Irland hat und dieser dann die Daten an seine Muttergesellschaft auf der Basis der Standardvertragsklauseln weiter gibt, könnte das erlaubt sein (ähnliches liesse sich auch mit Corporate Bindung Rules erreichen). Aber das ist letztlich nur ein Ausweg, den nur Dein US-Anbieter selbst gehen kann, Du kannst den nicht beeinflussen. Wenn man gesehen hat, wie langsam oder auch gar nicht die US-Social-Media Anbieter bisher auf Urteile des EuGH reagiert haben, kann man zweifeln, wie schnell und nachhaltig die US Unternehmen jetzt Lösungen anbieten.

Jedenfalls bin ich gespannt, ob es diesmal eine derartige Abwanderung von Kunden von US-Anbietern gibt, dass diese doch reagieren. Genug Juristen, die Lösungen finden können, haben sie sicher. Vielleicht verlagern sie auch öfter Ihre Server tatsächlich ganz in die EU oder finden sonstige Lösungen. Ich bin gespannt!

6.  Interner Datenexport mit Standardvertragsklauseln

In jedem Fall lässt sich bereits jetzt erkennen, dass die US Anbieter, die bereits in Irland oder an sonstigen Orten in der EU Tochterunternehmen haben, als erste Maßnahme die Standardvertragsklauseln nutzen werden. Dann wird zwischen EU-Tocher und US-Mutter einfach ein Vertrag nach den Standardvertragsklauseln geschlossen und auf den ersten Blick scheint der Datenexport wieder möglich. 

7. Sind die Standardvertragsklauseln eine nachhaltige Lösung für mich? 

Gib Dich keiner falschen Sicherheit hin! Die Standardvertragsklauseln sind (s. soeben 3.) vom EuGH ganz klar an die Voraussetzung geknüpft worden, dass genau zu überprüfen ist, ob Zielland die Einhaltung des Vertrages ermöglicht. Das ist für die USA in Anbetracht vor allem des Patriot Act ganz klar zu verneinen (danach sind US Unternehmen in den USA verpflichtet, the richterliche Anordnung Daten – selbst im Ausland gespeicherte Daten – an US Behörden, insbesondere den Geheimdiensten, herauszugeben). Der EuGH hat eigentlich recht klar gemacht, dass eine Übertragung in die USA auch nach den Standardvertragsklauseln nur möglich sein wird, wenn die USA den Datenschutz stärken (oder die EU den DSGVO-Standard senkt). Daher verlass Dich nicht auf die Standardvertragsklauseln, bleibe aufmerksam und bereite Dich mindestens auf andere Lösungen vor. 

Der europäische Datenschutzausschuss (ESDA) hat bereits eine FAQ zu den Folgen veröffentlicht. Hier kommen die europäischen Datenschutzbehörden in Frage 5 sogar zu dem Ergebnis, dass Du verpflichtet bist, es Deiner zuständigen Datenschutzbehörde anzuzeigen, wenn Du Daten auf der Basis der Standardvertragsklauseln in die USA überträgst. Danach die Genehmigung zu bekommen, dürfte derzeitig schwierig bis unmöglich sein. Das gleiche gilt im übrigen nach der Antwort zu Frage 6 auch für Bindung Corporate Rules, mit denen ggf. ebenfalls Daten in die USA übertragen werden könnten. 

VII. Privacy Shield EuGH: Was kann mir denn jetzt passieren?

Die zumindest theoretischen Folgen des Privacy Shield Urteils des EuGH sind erheblich.

1. Kann ich abgemahnt werden?

Du kannst von Deinen Nutzern, Konkurrenten und Abmahnvereinen abgemahnt werden, diese können ggf. sogar auch noch nach Art. 82 DSGVO Schadensersatz verlangen.

2. Kann gegen mich ein Bußgeld verhängt werden?

Weiter kann die Behörde wegen Verstosses gegen die DSGVO ein Bußgeld verhängen. Dazu kommt, dass das DSGVO Bussgeld deutlich teurer geworden ist. 

Die Datenschutzbehörden haben auch bereits erste Reaktionen gezeigt. Wie wichtig hier das Urteil genommen wird, kannst Du daran erkenne, dass kurz nach dem Urteil der europäische Datenschutzausschuss (ESDA) bereits eine FAQ zu den Folgen veröffentlicht hat. 

3. Gibt es denn keine Aufbrauchfrist nach Privacy Shield? 

Rechtlich wirkt das Urteil unmittelbar. Die Entscheidung der Kommission ist ungültig und damit der Datenexport nicht mehr zulässig, wenn nicht eine Einwilligung oder die Standardvertragsklauseln vorliegen. Damit gibt es keine Aufbrauchfrist. Grundsätzlich musst Du jetzt sofort den Datenexport in die USA unterbinden. 

Soweit es die Behörden angeht, werden diese sicher nicht sofort allein wegen Privacy Shield EuGH ein Bußgeld verhängen. Oft wird es erst mal eine Ermahnung und nicht sofort ein Bußgeld geben. Einen wirklichen Anspruch auf Milde hast Du aber nicht. 

VIII. Ok, also schalte ich meine Website jetzt ab?

Nicht  ganz so schnell – aber wenn Du einen wirklich rein juristischen Rat suchst: JA. Nur eine echte Option ist das kaum – erst Recht in Zeiten von Corona, online war noch nie so unverzichtbar wie jetzt. Wenn Du gar nicht warten kannst oder willst, kannst Du Deine Website aber auch ohne US-Anbieter erstellen. Dann hast Du das Problem sofort für Dich gelöst. In VIII. 3. findest Du einige Vorschläge, wie Du z.B. Google Analytics oder Calendly ersetzen kannst, in dem Kommentaren finden sich viele weitere Vorschläge. 

Es ist vor allem die Aufgabe der EU und der USA, jetzt eine neue Regelung zu finden. In Anbetracht der kurz bevorstehenden Wahlen und der Corona Aufgaben lässt sich aber schon jetzt prognostizieren, dass das nicht so einfach sein wird. Nach der Entscheidung zu Safe Harbour gab es eine Übergangszeit von 6 Monaten der Unsicherheit, die könnte diesmal deutlich länger ausfallen.

Und vielleicht sagt sich der eine oder andere Politiker in der EU sogar, dass es politisch gar nicht so verkehrt scheint, wenn europäische Unternehmen gezwungen werden, europäische Unternehmen, die hier tatsächlich Steuern zahlen, zu nutzen. Dann kann ein EU US Abkommen vielleicht noch lange auf sich warten lassen.

IX. Und was kann ich realistisch unternehmen?

Ok, wenn Du meinen rein anwaltlichen Rat nicht befolgen magst (ich befolge ihn zugegeben selbst nicht, wie Du daran erkennst, dass Du diesen Beitrag auf meiner Website liest), kommen wir zu dem, was Du naheliegend unternehmen kannst:

1. Frage nach Standardvertragsklauseln

Klar, das ist der einfachste Weg. Frage Deinen Anbieter nach den Standardvertragsklauseln. Wie gesagt, ein Muster dazu findest Du im Mitgliederbereich zu unserem Datenschutz Generator Muster auf Englisch mit weiteren Ausfüllhinweisen. Das wäre die schnellste und einfachste Lösung.

Zudem werden viele US-Anbieter jetzt den weg über interne Standardvertragsklauseln gehen. Bleibe hier mit easyRechtssicher auf dem Laufenden, im Rahmen unseres Komplettschutzes

Zum Komplett-Schutz

werden wir unsere Kunden immer zeitnah informieren. 

2. Lösche US Anbieter, die Du ohnehin kaum verwendest

Auch für Deine Website gilt, weniger ist mehr. Prüfe noch mal genau, welche Plugins, welche Dienste nutze ich wirklich. Brauche ich die wirklich? Bieten die mir ausreichend Mehrwert? Bei genauer Betrachtung wird die Antwort vielleicht ein Nein sein. Dann ist Löschen eine Lösung. Für Daten, die Du nicht hast, kannst Du weder abgemahnt werden noch ein Bußgeld erhalten.

3. Lass den Nutzer einwilligen – wenn es geht

Generell kannst Du versuchen, den Nutzer in den Datenexport in die USA nach Art. 49 DSGVO einwilligen zu lassen. Abs. 1 lit. a lautet:

Falls weder ein Angemessenheitsbeschluss nach Artikel 45 Absatz 3 vorliegt noch geeignete Garantien nach Artikel 46, ….., bestehen, ist eine Übermittlung oder eine Reihe von Übermittlungen personenbezogener Daten an ein Drittland … nur unter einer der folgenden Bedingungen zulässig:

  1. die betroffene Person hat in die vorgeschlagene Datenübermittlung ausdrücklich eingewilligt, nachdem sie über die für sie bestehenden möglichen Risiken derartiger Datenübermittlungen ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien unterrichtet wurde.

Eine Einwilligung ist in jedem Fall eine – bleibende – Rechtsgrundlage für Deinen Datenexport. Kunden von easyRechtssicher hatten wir bereits 2016 nach dem Ende von Safe Harbour empfohlen, wo immer möglich auch eine Einwilligung einzuholen. 

a) Kann ich eine Einwilligung im Cookie Banner  einholen?  

Theoretisch kannst Du versuchen, dafür den Opt In Cookie Banner nutzbar zu machen. Hier holst Du ohnehin eine Einwilligung Deiner Nutzer z.B. für Werbe und Tracking Tools ein. Theoretisch kannst Du da auch noch aufnehmen, dass der Nutzer auch noch in die Datenweitergabe in die USA einwilligt. 

Art. 49 Abs. 1 lit. a DSGVO zeigt jedoch sofort, ein Text wie 

Bitte willige ein, dass wir auch US-Anbieter nutzen dürfen 

reicht nicht aus. Eine Einwilligung im rechtlichen Sinne muss immer explizit, spezifisch und informiert erfolgen. Explizit läßt sich noch recht einfach mit einem einfachen nicht voreingestellten Opt In Haken umsetzen. Deutlich mehr Aufwand erfordert das spezifisch. Hier musst Du letztlich die Datenübertragungen beschreiben. Je mehr US Dienste Du nutzt, desto mehr Text wird hier aber erforderlich. Noch weiter gehen die Anforderungen an informiert. Du musst nicht nur über die Weitergabe in die USA aufklären, sondern auch über den fehlenden Schutz für die Nutzerdaten der Daten und die spezifischen Risiken, die daraus folgen aufklären. 

Ein solcher Cookie Banner würde mit ziemlicher Sicherheit nur selten akzeptiert werden. Damit wirst Du nicht viele Einwilligungen erhalten. Daher macht ein solcher Versuch auch wenig Sinn, denn für alle, die nicht zustimmen, dürftest Du dann die US-Anbieter eben auch nicht verwenden. 

b) Kann ich eine Einwilligung bei Zwei Klick Lösungen einholen? 

Weiter bietet es sich an, immer da eine Einwilligung für den Datentransfer in die USA vorzusehen, wo Du ohnehin eine spezifische Einwilligung einholst. Das ist vor allem bei allen Zwei Klick Lösungen der Fall. Wenn Du auf Social Share Buttons von US Plattformen, eingebettete Videos von US Anbietern oder US Kartendienste nutzt, ist generell immer eine Art Zwei Klick Lösung erforderlich. Hier könntest Du ebenfalls zusätzlich zu dem Hinweis auf den Datenexport an einen dritten Anbieter den Einwilligungstext anzeigen.

Auch hier lässt sicher aber vermuten, dass dann nur noch wenige dem Zwei Klick Link folgen werden, Aber immerhin bedeutet das nur, das ein spezifischer Link nicht mehr funktioniert, Deine Website insgesamt ist von der verweigerten Einwilligung dann nicht betroffen.

c) Kann ich eine Einwilligung für meinen Newsletter Anbieter einholen?

Am einfachsten wird es wohl sein, die erforderliche aufgeklärte Einwilligung für einen US-Mail-Anbieter wie MailChimp, Active Campaign oder ConvertKit zu erhalten. Der Double Opt In erfordert ohnehin eine gesonderte Einwilligung des Nutzers. In der entsprechenden Mail kannst Du die Zustimmung einholen. Hierfür ist bereits bereits seit 2016 im Mitgliederbereich von easyRechtssicher ein Muster enthalten, verbunden mit der Empfehlung, diese Einwilligung einzuholen. Wer das gemacht hat, kann jetzt seinen US Anbieter weiter verwenden. 

4. Ersetze US-Anbieter, wo es geht

Für viele IUS Dienste gibt es doch einige Alternativen aus Europa oder einem Land mit anerkanntem Datenschutzstandard (wie die Schweiz, Kanada, Neuseeland). So hat easyRechtssicher einige Deutsche und Schweizer Kooperationspartner, die anzusehen sich lohnt:

So gibt es sicher viele zulässige Anbieter, die Du wählen kannst. Schreibe Deine Vorschläge gern in die Kommentare. Hier haben sich auch schon einige weitere Vorschläge angesammelt. 

Tatsächlich gibt es für Berlin bereits eine Stellungnahme der Datenschutzbehörde, in dem diese genau dazu auffordert. Danach haben Berliner Verantwortliche (also auch Du als Betreiber einer Website) umgehend dafür zu sorgen, dass Daten nicht mehr in die USA übertragen werden. 

5. Bleibe auf dem Laufenden

Für Dich kommt es jetzt vor allem darauf an, dass Du auf dem laufenden bleibst, damit Du mögliche Gefahren erkennst und zeitnah Deine Lösung findest. Abonniere hier rechts auf der Seite gern unseren Info-Service, dann informieren wir Dich über neue Rechtsentwicklungen betreffend Deiner Website.

X. Ergebnis zu Privacy Shield EuGH

Vielleicht ist es etwas früh, Deine Website jetzt sofort abzustellen. Dennoch, das Urteil des EuGH zu Privacy Shield erschüttert das Internet durchaus. Fast sicher darfst Du davon ausgehen, dass mittelfristig eine Lösung gefunden wird. Die spannende Frage ist, wann wird das der Fall sein und wie sieht diese aus. Grade bei privacy shield waren von Dir durchaus einige Handlungen erforderlich, um Deine Leistungen rechtssicher erbringen zu können.

Der beste Rat: Sichere Dir einen Partner, der Dich unterrichtet und dafür sorgt, dass Deine Rechtstexte so automatisch wie möglich so rechtssicher wie möglich sind.

Mit dem Datenschutz-Generator von easyRechtssicher halten wir Deine Website automatisch rechtlich aktuell. 

Zum Komplett-Schutz

Dann bleibst Du auf dem Laufenden und wir erledigen dann die Anpassungen, die künftig sicher erforderlich sein werden – automatisch und ohne Mehrkosten! 

XI. Interview bei der Kontist Stiftung

Was das EuGH-Urteil zum Privacy Shield für Selbstständige & Unternehmer bedeutet | #selbstwasmachen

 

 Dr. Ronald Kandelhard, Rechtsanwalt und Mediator, Fachanwalt für Handels- und Gesellschaftsrecht. Ronald war lange Zeit an der Universität, in der Rechtsberatung von Staaten und als Rechtsanwalt tätig. Jetzt entwickelt er mit seinem Startup Paragraf7 automatisierte Lösungen für rechtliche Probleme von Unternehmen.

Mehr über die DSGVO erfährst du hier.

 

68 Kommentare

  1. Pingback: Wie man sparsam mit Cookies umgeht – und trotzdem nicht auf Analytics verzichten muss. | Focal Analytics

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.