Deine Website ist illegal: Privacy Shield verstößt gegen DSGVO

Privacy Shield EuGH

EuGH zu Privacy Shield: Datenexport in die USA unzulässig – damit ist auch Deine Website rechtswidrig!

von Rechtsanwalt Dr. Ronald Kandelhard, Fachanwalt für Handels- und Gesellschaftsrecht

Der EuGH schaltet das Internet ab – nach dem heutigen Urteil zu Privacy Shield des EuGH darf keine Website, kein Unternehmen mehr US Anbieter verwenden, wenn dabei personenbezogene Daten verarbeitet werden. Das kommt der (juristischen) Abschaltung des Internets gleich, da es kaum eine Website, kaum einen Dienst gibt, bei dem nicht auch wenigstens teilweise Daten auch in die USA übertragen werden. Was ist jetzt zu tun? Hier findest Du die Antworten auf Deine Fragen!

Inhalt:

  1. I. Darf ich denn US-Anbieter verwenden?
  2. II. Na toll, eigentlich, also darf ich vielleicht doch US Anbieter nutzen?
  3. III. Und was heißt das jetzt?
  4. IV. Mein US-Anbieter sitzt aber in Irland – jetzt kann ich doch, oder?
  5. V. Mein Anbieter hat Server in Europa – dann geht es aber doch?
  6. VI. Privacy Shield: Geht jetzt wirklich nichts mehr mit US-Anbietern?
  7. VII. Privacy Shield EuGH: Was kann mir denn jetzt passieren?
  8. VIII. Ok, also schalte ich meine Website jetzt ab?
  9. IX. Und was kann ich realistisch unternehmen?
  10. X. Erste Reaktionen von Anbietern (Update August 2020)
  11. XI. Ergebnis zu Privacy Shield EuGH
  12. XII. [Video] Interview bei der Kontist Stiftung

Die Export von personenbezogenen Daten aus der EU heraus ist in der EU nur erlaubt, wenn der Datenschutz in dem Drittland dem nach der DSGVO gleichwertig ist. Das ist etwa für die Schweiz, Kanada oder Neuseeland festgestellt. Fast unlösbar scheint aber die Frage zu sein:

I. Darf ich denn US-Anbieter verwenden?

In den USA hat Datenschutz nicht den Stellenwert wie in Europa. Der Schutz von Daten ist nach hiesigen Maßstäben unzureichend, wie nicht zuletzt durch Edward Snowden offenbar geworden ist. US-Behörden, insbesondere Geheimdienste, können die personenbezogenen Daten von US-Anbietern heraus verlangen, Rechtsmittel dagegen sind nicht möglich. Es werden ggf. umfangreiche Profile angefertigt. Damit ist die entscheidende Voraussetzung für einen Datenexport in die USA, gleichwertiger Datenschutz, nicht gegeben. Also ist die Antwort: Nein, eigentlich nicht.

II. Na toll, eigentlich, also darf ich vielleicht doch US Anbieter nutzen?

Genau, vielleicht, das ist die Antwort. Genauer gesagt: sogar 2 mal vielleicht! Denn natürlich gibt es ein überragendes Interesse fast aller Internet-Nutzer, US Anbieter zu verwenden. Das Herz des Internets steht nach wie vor in den USA. Die großen Digitalkonzerne Google, Amazon und Facebook sowie viele andere Anbieter stammen aus Nordamerika. Oft hat man fast einen faktischen Zwang, einen US-Anbieter zu verwenden – man denke nur an Online Shopping mit Amazon oder Internet-Suche mit Google. Deshalb hat die EU-Kommission bereits zwei mal versucht, eine Lösung zu finden – ist aber jetzt zum zweiten Mal an dem EuGH gescheitert.

1. Vielleicht: Safe Harbour

Also, der Export außerhalb der EU ist nur zulässig, wenn die EU-Kommission den Datenschutz eines Drittstaates als gleichwertig anerkennt. Um dies zu ermöglichen, erließ die Kommission im Jahr 2000 zunächst die Safe Harbour Entscheidung wonach ein gleichwertiger Schutz gegeben sein sollte. Hiergegen klagte der österreichische Datenschutzaktivist Maximillian Schrems und bekam 2015 von dem EuGH recht. Da gab es das erste mal die Konsequenz, das praktisch alle EU-Websites rechtswidrig waren – aus vielleicht war nein geworden.

2. Vielleicht: EU US Privacy Shield

Also musste schnell eine neue Basis her und sie musste besser sein als Safe Harbour. Dazu versuchte sich die EU an einem zweiseitigen Datenschutzabkommen mit den USA. So richtig tiefes Verständnis für europäische Datenschutzsorgen vermochte die EU Kommission jedoch nicht zu finden, schon gar nicht wirkliche Bereitschaft, US-Datenschutzgesetze zu verbessern (auf Ebene der Bundesstaaten ist das aber inzwischen der Fall, wie der neue California Consumer Privacy Act nach Vorbild der DSGVO beweist).

Daher kam ein echtes Abkommen nicht zustande. Es gab statt dessen eine Art Briefwechsel zwischen der EU und verschiedenen US-Institutionen, in denen diese einige Absichtserklärungen zum Datenschutz abgaben. Zudem wurden mit privacyshield.gov eine Institution und ein Ombudsmann in den USA geschaffen, die dafür sorgen sollten, dass in den USA der Datenschutz sich mirakulös verbessert. Wer jemals diese Aneinanderreihung von Absichtserklärungen gesehen hat, hatte sicher von Anfang an Zweifel, das das wirklich wirksam ist. Von daher wurde bei easyRechtssicher von Anfang an empfohlen, wo immer möglich, mit Alternativen zu arbeiten.

3. Und was ist real (passiert)?

Heute kam es, wie es kommen musste. Ein kleiner Österreicher wollte es erneut nicht glauben und klagte erneut – diesmal gegen Privacy Shield. Und Du ahnst es schon: Wieder rang David den Goliath nieder. Mit Urteil vom heutigen Tage hat der EuGH auch privacy shield für rechtswidrig und damit unwirksam erklärt (inzwischen gibt es den Volltext des Urteils hier). Ganz überraschend befand das Gericht, dass ein paar Briefe keinen Datenschutz ersetzen – ok, so ganz überraschend war es nicht, das haben einige prophezeit, auch ich in unserem  Blogbeitrag zum internationalen Recht.

Hier findest Du jedenfalls die Presseerklärung des EuGH zu dem Urteil vom 16.07.2020: https://twitter.com/EUCourtPress/status/1283668810374021121

III. Und was heißt das jetzt?

Genau bedeutet das juristisch, es gibt keine Entscheidung der Kommission mehr, die anerkennt, dass der Datenschutz in den USA mit dem in Europa gleichwertig ist. Damit darfst auch Du (ohne weitere Voraussetzungen) keine personenbezogenen Daten von EU-Bürgern mehr in die USA exportieren! Das heißt, praktisch jeder US-Dienst in Deinem Business ist nicht mehr zulässig. Google Analytics, Facebook, Instagram, Twitter, LinkedIn, Zoom, MS Office, MS Teams, Mailchimp, Active Campaign, Calendly, YouTube, Vimeo, Google Maps, Amazon Webservices, die Liste lässt sich fast beliebig mit Marktführern im Internet verlängern, sind jedenfalls nicht mehr ohne weiteres zulässig.

IV. Mein US-Anbieter sitzt aber in Irland – jetzt kann ich doch, oder?

Ja, das ist zumindest grundsätzlich ein guter Einwand. Viele US-Internet-Konzerne haben Ihre irischen Tochtergesellschaften nicht nur für die Steuern gegründet (von Apple grade mit Erfolg verteidigt), sondern auch zum Datenverarbeiter in der EU bestimmt. Theoretisch könnte damit ein Export der Daten vermieden sein. Nun ja, aber wirklich auch nur theoretisch. Im Detail hat der EuGH diesen Fall nicht entschieden. Aber glaubst Du, das Dein US-Anbieter von Internet-Leistungen die Daten wirklich in Irland lässt?

Ein gutes Beispiel ist Google mit dem Dienst Google Analytics. Hier ist Anbieter der Leistung und Datenverarbeiter nicht Google USA, sondern Google Irland. (Noch) Erlaubt Google aber in seinen Vertragsbedingungen mit seinen Kunden (Dir als Betreiber der Website), dass die Daten von Google Irland an Google USA übertragen werden. Für diese interne Übertragung über Kontinente verweist Google (noch) auf Privacy Shield. Damit ist dieser Transfer unzulässig und damit per Datum des EuGH Urteils Google Analytics nicht mehr erlaubt. 

Ebenso ist bzw. inzwischen (27.7.2020) war die Rechtslage für Microsoft. Microsoft hat aber bereits begonnen, Hinweise aufzunehmen, dass die interne Datenübertragung von Microsoft Irland an Microsoft USA nicht allein auf Privacy Shield beruht.  

Damit ist klar, allein ein irischer Anbieter reicht nicht. Aber wir werden gleich bei der Betrachtung der Lösungen noch darauf kommen, wie das vielleicht doch funktionieren kann. Dir ist aber erst mal wenig geholfen. Selbst wenn Dein US-Anbieter jetzt in Irland sitzt, heißt das nicht ohne weiteres, dass der Datenexport zulässig wäre.

V. Mein Anbieter hat Server in Europa – dann geht es aber doch?

Bei manchen US-Anbietern konnte man bereits vor dem Urteil des EuGH auswählen, dass die Daten auf Servern in der EU verarbeitet werden. Das allein reicht jedoch nicht aus. Sie dürfen dann eben auch tatsächlich nicht in die USA übertragen werden, zugleich muss gesichert sein, dass das US-Unternehmen nicht von dortigen Behörden ohne weiteres gezwungen kann, Daten heraus zu geben. Ob und wie das gewährleistet ist oder werden kann, wird in Zukunft sicher noch zu diskutieren. Aber auch das ist eine Lösung, die nur auf Anbieterseite realisiert werden kann. Dir hilft das konkret im Moment nicht. 

VI. Privacy Shield: Geht jetzt wirklich nichts mehr mit US-Anbietern?

Ja und – wie sollte es im Recht anders sein – nein. Es gibt immer noch Wege, wie Du trotz dem Aus für das EU US Privacy Shield Abkommen einen US Anbieter noch rechtswirksam verwenden darfst. Dafür müssen wir den Fokus ein wenig aufziehen. Denn eine Anerkennung zum gleichwertigen Datenschutz durch die EU-Kommission ist nur ein Weg, wie ein Datenexport aus der EU heraus zulässig sein kann. Es ist zwar der (bei weitem) einfachste, aber nicht der einzige Weg für einen zulässigen Datenexport. Es gibt noch zwei weitere Lösungen: Du kannst personenbezogen in die USA exportieren,wenn:

1. Du von dem Betroffenen eine Einwilligung in die Weitergabe einholst (unter vorheriger Aufklärung über das unzulängliche Schutzniveau),

2. Du mit dem Anbieter die Standardvertragsklauseln vereinbart hast.

1. Super, ich nehme die Einwilligung und alles ist gut?

Du kannst die Daten Deiner Nutzer und Kunden in die USA exportieren, wenn Du Deinen Nutzer in den Datenexport in die USA einwilligen lässt. Die Einwilligung sichert Deinen rechtssicheren Datenexport auch für die Zukunft ab. Hier bist Du unabhängig davon, was der EuGH, die Kommission oder Trump entscheiden. Aber klar, Du hast Recht, wenn Du jetzt fragst: Wie soll ich denn zu jedem Datenexport vorher eine Einwilligung des Betroffenen einholen? Manchmal ginge das tatsächlich, vor allem etwa für Deinen Newsletter Anbieter. Da das Double-Opt-In ohnehin eine Einwilligung erfordert, kannst Du die Einwilligung zum Datenexport in die USA ohne weiteres gleich mit einholen. Ein Muster für diese Einwilligung findest Du in dem Mitgliederbereich zu unserem Datenschutz Generator. Natürlich hat die Einwilligung aber den Nachteil, dass für sie mehr Text und sogar eine Warnung vor dem Datenexport erforderlich ist. Das kann durchaus zu Lasten der Conversion gehen. Von wirklichem Nutzen ist die Einwilligung daher nicht. Für alle anderen Datenverarbeitungen kannst Du sie vorher nur schwer einholen, zudem müsstest Du sie jetzt erst mal von allen Kontakten nachträglich einholen, damit Du weiter machen darfst mit Deinem US-Anbieter.

2. Was sind denn Standardvertragsklauseln?

Daneben kann auch durch einen Vertrag der Export Deiner Daten in die USA erlaubt werden. Dieser Vertrag muss die Standardvertragsklauseln beinhalten. Sie gehen zurück auf einen Beschluss der EU-Kommission (ABl. L39/5 v. 12.02.2010). Danach kannst Du mit Deinem Anbieter in den USA einen Vertrag nach den Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter abschliessen. Der Text findet sich in dem verlinkten Beschluss und darf nicht wesentlich verändert worden.

Zudem findest Du diesen Vertrag im Mitgliederbereich zu unserem Datenschutz Generator als Muster auf Englisch mit weiteren Ausfüllhinweisen. Der Vertrag muss ausgedruckt und an den Anbieter gesendet werden, der ihn dann unterzeichnet zurück sendet. Erst wenn dieser Vertrag unterzeichnet ist, ist die Weitergabe von Daten an diesen Anbieter zulässig, auch wenn er in einem nicht sicheren Drittland ansässig ist. Inzwischen ist zudem klargestellt, dass die Standardvertragsklauseln auch elektronisch, also in einer dauerhaft speicherbaren Form abgeschlossen werden können. Manche Anbieter bieten die Standardvertragsklauseln sogar auch jetzt noch an. Suche nach „standard contractual clauses„. Vielleicht hast Du Glück und Dein Anbieter bietet diese bereits jetzt oder kurzfristig an.

Ganz unstrittig sind auch die Standardvertragklauseln jedoch nicht. Grundsätzlich hat der EuGH in der EU US Privacy Shield Entscheidung zwar bestätigt, dass die Standardvertragsklauseln weiterhin zulässig sind. Gleichzeitig hat er jedoch die Datenschutzbehörden aufgefordert, jeweils zu prüfen, ob die Standardvertragsklauseln in dem Zielland überhaupt wirken können. Wenn in dem anderen Land tatsächlich kein gleichwertiges Datenschutzniveau besteht und der Empfänger der Daten (z.B. von US-Behörden) gezwungen werden kann, die Daten ohne besonderen Anlass oder Prüfung herauszugeben, hilft eben auch ein Vertrag nicht weiter. Dementsprechend hat der Datenschutzbeauftragte für Baden Württemberg in seiner Orientierungshilfe zu dem Urteil bereits klar gemacht, dass die Standardvertragsklauseln für die USA nur ausnahmsweise und mit zusätzlichen Garantien (wie z.B. Verschlüsselung) nutzbar sein werden (zu IV.). 

3. Welche Prüfpflichten habe ich bei den Standardvertragsklauseln?

Zudem gibt es für den Verantwortlichen für die Daten (Dich als Betreiber der Website, die Daten von Nutzern sammelt) recht umfangreiche Prüfungspflchten bei Nutzung der Standardvertragsklauseln. Du musst Dich ggf. in Abstimmung mit dem Empfänger der Daten (das US Unternehmen) vergewissern, dass dessen Rechtsordnung auch ermöglicht, den Vertrag mit den Standardvertragsklauseln einzuhalten. Soll heißen: Du musst prüfen, ob das US Unternehmen einem Recht unterliegt, in dem die Daten anlasslos für Überwachung und Profilng heraus verlangt werden. Das war jedoch grade Gegenstand von Snowdens Enthüllungen und vor allem auch des EuGH Urteils. Von daher wird es recht schwer zu argumentieren, die Standardvdertragsklauseln würden Deinen Daten hinreichenden Schutz gewähren.

4. Zwischenergebnis: Standardvertragsklauseln können kleinen Aufschub bewirken

Für die USA ist ein zulässiger Datenexport über die Standardvertragsklauseln daher ebenfalls fraglich. Derzeit gibt es aber kaum einen anderen Ausweg und immerhin gibt es noch  keine Gerichtsentscheidung, die auch diesen Weg für unwirksam erklärt. Von daher sind die Standardvertragsklauseln vielleicht ein erster (unzureichender) Schritt, um die Abmahn- und Bußgeldgefahr für Dich zu senken. 

5. Privacy Shield, gibt es einen Ausweg mit Standardvertragsklauseln und Irland?

Das ist sicher jetzt noch zu früh, aber es könnte ein möglicher Ausweg sein. Wenn Dein US-Unternehmen einen Datenverarbeiter in Irland hat und dieser dann die Daten an seine Muttergesellschaft auf der Basis der Standardvertragsklauseln weiter gibt, könnte das erlaubt sein (ähnliches liesse sich auch mit Corporate Bindung Rules erreichen). Aber das ist letztlich nur ein Ausweg, den nur Dein US-Anbieter selbst gehen kann, Du kannst den nicht beeinflussen. Wenn man gesehen hat, wie langsam oder auch gar nicht die US-Social-Media Anbieter bisher auf Urteile des EuGH reagiert haben, kann man zweifeln, wie schnell und nachhaltig die US Unternehmen jetzt Lösungen anbieten.

Jedenfalls bin ich gespannt, ob es diesmal eine derartige Abwanderung von Kunden von US-Anbietern gibt, dass diese doch reagieren. Genug Juristen, die Lösungen finden können, haben sie sicher. Vielleicht verlagern sie auch öfter Ihre Server tatsächlich ganz in die EU oder finden sonstige Lösungen. Ich bin gespannt!

6.  Interner Datenexport mit Standardvertragsklauseln

In jedem Fall lässt sich bereits jetzt erkennen, dass die US Anbieter, die bereits in Irland oder an sonstigen Orten in der EU Tochterunternehmen haben, als erste Maßnahme die Standardvertragsklauseln nutzen werden. Dann wird zwischen EU-Tocher und US-Mutter einfach ein Vertrag nach den Standardvertragsklauseln geschlossen und auf den ersten Blick scheint der Datenexport wieder möglich. 

7. Sind die Standardvertragsklauseln eine nachhaltige Lösung für mich? 

Gib Dich keiner falschen Sicherheit hin! Die Standardvertragsklauseln sind (s. soeben 3.) vom EuGH ganz klar an die Voraussetzung geknüpft worden, dass genau zu überprüfen ist, ob Zielland die Einhaltung des Vertrages ermöglicht. Das ist für die USA in Anbetracht vor allem des Patriot Act ganz klar zu verneinen (danach sind US Unternehmen in den USA verpflichtet, the richterliche Anordnung Daten – selbst im Ausland gespeicherte Daten – an US Behörden, insbesondere den Geheimdiensten, herauszugeben). Der EuGH hat eigentlich recht klar gemacht, dass eine Übertragung in die USA auch nach den Standardvertragsklauseln nur möglich sein wird, wenn die USA den Datenschutz stärken (oder die EU den DSGVO-Standard senkt). Daher verlass Dich nicht auf die Standardvertragsklauseln, bleibe aufmerksam und bereite Dich mindestens auf andere Lösungen vor. 

Der europäische Datenschutzausschuss (ESDA) hat bereits eine FAQ zu den Folgen veröffentlicht. Hier kommen die europäischen Datenschutzbehörden in Frage 5 sogar zu dem Ergebnis, dass Du verpflichtet bist, es Deiner zuständigen Datenschutzbehörde anzuzeigen, wenn Du Daten auf der Basis der Standardvertragsklauseln in die USA überträgst. Danach die Genehmigung zu bekommen, dürfte derzeitig schwierig bis unmöglich sein. Das gleiche gilt im übrigen nach der Antwort zu Frage 6 auch für Bindung Corporate Rules, mit denen ggf. ebenfalls Daten in die USA übertragen werden könnten. 

VII. Privacy Shield EuGH: Was kann mir denn jetzt passieren?

Die zumindest theoretischen Folgen des Privacy Shield Urteils des EuGH sind erheblich.

1. Kann ich abgemahnt werden?

Du kannst von Deinen Nutzern, Konkurrenten und Abmahnvereinen abgemahnt werden, diese können ggf. sogar auch noch nach Art. 82 DSGVO Schadensersatz verlangen.

2. Kann gegen mich ein Bußgeld verhängt werden?

Weiter kann die Behörde wegen Verstosses gegen die DSGVO ein Bußgeld verhängen. Dazu kommt, dass das DSGVO Bussgeld deutlich teurer geworden ist. 

Die Datenschutzbehörden haben auch bereits erste Reaktionen gezeigt. Wie wichtig hier das Urteil genommen wird, kannst Du daran erkenne, dass kurz nach dem Urteil der europäische Datenschutzausschuss (ESDA) bereits eine FAQ zu den Folgen veröffentlicht hat. 

3. Gibt es denn keine Aufbrauchfrist nach Privacy Shield? 

Rechtlich wirkt das Urteil unmittelbar. Die Entscheidung der Kommission ist ungültig und damit der Datenexport nicht mehr zulässig, wenn nicht eine Einwilligung oder die Standardvertragsklauseln vorliegen. Damit gibt es keine Aufbrauchfrist. Grundsätzlich musst Du jetzt sofort den Datenexport in die USA unterbinden. 

Soweit es die Behörden angeht, werden diese sicher nicht sofort allein wegen Privacy Shield EuGH ein Bußgeld verhängen. Oft wird es erst mal eine Ermahnung und nicht sofort ein Bußgeld geben. Einen wirklichen Anspruch auf Milde hast Du aber nicht. 

VIII. Ok, also schalte ich meine Website jetzt ab?

Nicht  ganz so schnell – aber wenn Du einen wirklich rein juristischen Rat suchst: JA. Nur eine echte Option ist das kaum – erst Recht in Zeiten von Corona, online war noch nie so unverzichtbar wie jetzt. Wenn Du gar nicht warten kannst oder willst, kannst Du Deine Website aber auch ohne US-Anbieter erstellen. Dann hast Du das Problem sofort für Dich gelöst. In VIII. 3. findest Du einige Vorschläge, wie Du z.B. Google Analytics oder Calendly ersetzen kannst, in dem Kommentaren finden sich viele weitere Vorschläge. 

Es ist vor allem die Aufgabe der EU und der USA, jetzt eine neue Regelung zu finden. In Anbetracht der kurz bevorstehenden Wahlen und der Corona Aufgaben lässt sich aber schon jetzt prognostizieren, dass das nicht so einfach sein wird. Nach der Entscheidung zu Safe Harbour gab es eine Übergangszeit von 6 Monaten der Unsicherheit, die könnte diesmal deutlich länger ausfallen.

Und vielleicht sagt sich der eine oder andere Politiker in der EU sogar, dass es politisch gar nicht so verkehrt scheint, wenn europäische Unternehmen gezwungen werden, europäische Unternehmen, die hier tatsächlich Steuern zahlen, zu nutzen. Dann kann ein EU US Abkommen vielleicht noch lange auf sich warten lassen.

IX. Und was kann ich realistisch unternehmen?

Ok, wenn Du meinen rein anwaltlichen Rat nicht befolgen magst (ich befolge ihn zugegeben selbst nicht, wie Du daran erkennst, dass Du diesen Beitrag auf meiner Website liest), kommen wir zu dem, was Du naheliegend unternehmen kannst:

1. Frage nach Standardvertragsklauseln

Klar, das ist der einfachste Weg. Frage Deinen Anbieter nach den Standardvertragsklauseln. Wie gesagt, ein Muster dazu findest Du im Mitgliederbereich zu unserem Datenschutz Generator Muster auf Englisch mit weiteren Ausfüllhinweisen. Das wäre die schnellste und einfachste Lösung.

Zudem werden viele US-Anbieter jetzt den weg über interne Standardvertragsklauseln gehen. Bleibe hier mit easyRechtssicher auf dem Laufenden, im Rahmen unseres Komplettschutzes

Zum Komplett-Schutz

werden wir unsere Kunden immer zeitnah informieren. 

2. Lösche US Anbieter, die Du ohnehin kaum verwendest

Auch für Deine Website gilt, weniger ist mehr. Prüfe noch mal genau, welche Plugins, welche Dienste nutze ich wirklich. Brauche ich die wirklich? Bieten die mir ausreichend Mehrwert? Bei genauer Betrachtung wird die Antwort vielleicht ein Nein sein. Dann ist Löschen eine Lösung. Für Daten, die Du nicht hast, kannst Du weder abgemahnt werden noch ein Bußgeld erhalten.

3. Lass den Nutzer einwilligen – wenn es geht

Generell kannst Du versuchen, den Nutzer in den Datenexport in die USA nach Art. 49 DSGVO einwilligen zu lassen. Abs. 1 lit. a lautet:

Falls weder ein Angemessenheitsbeschluss nach Artikel 45 Absatz 3 vorliegt noch geeignete Garantien nach Artikel 46, ….., bestehen, ist eine Übermittlung oder eine Reihe von Übermittlungen personenbezogener Daten an ein Drittland … nur unter einer der folgenden Bedingungen zulässig:

  1. die betroffene Person hat in die vorgeschlagene Datenübermittlung ausdrücklich eingewilligt, nachdem sie über die für sie bestehenden möglichen Risiken derartiger Datenübermittlungen ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien unterrichtet wurde.

Eine Einwilligung ist in jedem Fall eine – bleibende – Rechtsgrundlage für Deinen Datenexport. Kunden von easyRechtssicher hatten wir bereits 2016 nach dem Ende von Safe Harbour empfohlen, wo immer möglich auch eine Einwilligung einzuholen. 

a) Kann ich eine Einwilligung im Cookie Banner  einholen?  

Theoretisch kannst Du versuchen, dafür den Opt In Cookie Banner nutzbar zu machen. Hier holst Du ohnehin eine Einwilligung Deiner Nutzer z.B. für Werbe und Tracking Tools ein. Theoretisch kannst Du da auch noch aufnehmen, dass der Nutzer auch noch in die Datenweitergabe in die USA einwilligt. 

Art. 49 Abs. 1 lit. a DSGVO zeigt jedoch sofort, ein Text wie 

Bitte willige ein, dass wir auch US-Anbieter nutzen dürfen 

reicht nicht aus. Eine Einwilligung im rechtlichen Sinne muss immer explizit, spezifisch und informiert erfolgen. Explizit läßt sich noch recht einfach mit einem einfachen nicht voreingestellten Opt In Haken umsetzen. Deutlich mehr Aufwand erfordert das spezifisch. Hier musst Du letztlich die Datenübertragungen beschreiben. Je mehr US Dienste Du nutzt, desto mehr Text wird hier aber erforderlich. Noch weiter gehen die Anforderungen an informiert. Du musst nicht nur über die Weitergabe in die USA aufklären, sondern auch über den fehlenden Schutz für die Nutzerdaten der Daten und die spezifischen Risiken, die daraus folgen aufklären. 

Ein solcher Cookie Banner würde mit ziemlicher Sicherheit nur selten akzeptiert werden. Damit wirst Du nicht viele Einwilligungen erhalten. Daher macht ein solcher Versuch auch wenig Sinn, denn für alle, die nicht zustimmen, dürftest Du dann die US-Anbieter eben auch nicht verwenden. 

b) Kann ich eine Einwilligung bei Zwei Klick Lösungen einholen? 

Weiter bietet es sich an, immer da eine Einwilligung für den Datentransfer in die USA vorzusehen, wo Du ohnehin eine spezifische Einwilligung einholst. Das ist vor allem bei allen Zwei Klick Lösungen der Fall. Wenn Du auf Social Share Buttons von US Plattformen, eingebettete Videos von US Anbietern oder US Kartendienste nutzt, ist generell immer eine Art Zwei Klick Lösung erforderlich. Hier könntest Du ebenfalls zusätzlich zu dem Hinweis auf den Datenexport an einen dritten Anbieter den Einwilligungstext anzeigen.

Auch hier lässt sicher aber vermuten, dass dann nur noch wenige dem Zwei Klick Link folgen werden, Aber immerhin bedeutet das nur, das ein spezifischer Link nicht mehr funktioniert, Deine Website insgesamt ist von der verweigerten Einwilligung dann nicht betroffen.

c) Kann ich eine Einwilligung für meinen Newsletter Anbieter einholen?

Am einfachsten wird es wohl sein, die erforderliche aufgeklärte Einwilligung für einen US-Mail-Anbieter wie MailChimp, Active Campaign oder ConvertKit zu erhalten. Der Double Opt In erfordert ohnehin eine gesonderte Einwilligung des Nutzers. In der entsprechenden Mail kannst Du die Zustimmung einholen. Hierfür ist bereits bereits seit 2016 im Mitgliederbereich von easyRechtssicher ein Muster enthalten, verbunden mit der Empfehlung, diese Einwilligung einzuholen. Wer das gemacht hat, kann jetzt seinen US Anbieter weiter verwenden. 

4. Ersetze US-Anbieter, wo es geht

Für viele IUS Dienste gibt es doch einige Alternativen aus Europa oder einem Land mit anerkanntem Datenschutzstandard (wie die Schweiz, Kanada, Neuseeland). So hat easyRechtssicher einige Deutsche und Schweizer Kooperationspartner, die anzusehen sich lohnt:

So gibt es sicher viele zulässige Anbieter, die Du wählen kannst. Schreibe Deine Vorschläge gern in die Kommentare. Hier haben sich auch schon einige weitere Vorschläge angesammelt. 

Tatsächlich gibt es für Berlin bereits eine Stellungnahme der Datenschutzbehörde, in dem diese genau dazu auffordert. Danach haben Berliner Verantwortliche (also auch Du als Betreiber einer Website) umgehend dafür zu sorgen, dass Daten nicht mehr in die USA übertragen werden. 

5. Bleibe auf dem Laufenden

Für Dich kommt es jetzt vor allem darauf an, dass Du auf dem laufenden bleibst, damit Du mögliche Gefahren erkennst und zeitnah Deine Lösung findest. Abonniere hier rechts auf der Seite gern unseren Info-Service, dann informieren wir Dich über neue Rechtsentwicklungen betreffend Deiner Website.

X. Erste Reaktionen (Update August 2020)

Wie nicht anders zu erwarten, haben einige US Anbieter inzwischen reagiert. Mehrheitlich geht es in Richtung Standardvertragsklauseln. Dies war nicht anders zu erwarten. 

Richtig kreativ zeigt sich jedoch Microsoft zu privacy shield und seinen Folgen. Mehr dazu sogleich im Text. 

1. Google Privacy Shield 

Google hat auf das Urteil des EuGH recht schnell reagiert und einen neuen Auftragsverarbeitungsvertrag für Werbeprodukte und einen neuen Auftragsverarbeitungsvertrag für GSuite sowie Standardvertragsklauseln für GSuite Dienste veröffentlicht. Diese werden entweder automatisch Bestandteil Deines Vertrages mit Google, ggf. musst Du die neuen Bedingungen noch online akzeptieren. 

Damit können wenigstens einige Google Dienste wieder als derzeit zulässig angesehen werden.  Es muss jedoch bezweifelt werden, dass das Abstellen auf die Standardvertragsklauseln eine nachhaltige Lösung darstellt (s.o. VI. 7.).

2. Microsoft Privacy Shield

Für Microsoft 365 wird von einer neuen Zwei Schlüssel Lösung berichtet. Danach werden die Daten mit zwei Schlüsseln verschlüsselt. Einen hat Microsoft, einen der Kunde. Nur mit beiden Schlüsseln können die Daten gelesen werden. Das wäre dann tatsächlich eine nachhaltige Lösung, die auch Vorbild für andere US-Anbieter sein könnte. Wenn es hier keine Backdoor gibt, wäre ein Zugriff der Daten von Microsoft an US-Behörden nicht mehr möglich. 

Gibt es jemanden, der diese Funktion bereits nutzen kann? So könntest Du Microsoft 365 und insbesondere auch Microsoft Teams datenschutzkonform nutzen. 

3. Facebook Standardvertragsklauseln

Facebook bietet nunmehr auch einen Vertrag nach den Standardvertragsklauseln an. Damit kann Facebook wieder als derzeit zulässig angesehen werden.  Es muss jedoch bezweifelt werden, dass das Abstellen auf die Standardvertragsklauseln eine nachhaltige Lösung darstellt (s.o. VI. 7.).

4. Webflow Standardvertragsklauseln

Webflow bietet inzwischen ebenfalls Verträge nach den Standardvertragsklauseln an. Anders als bei Micorsoft, Google und Facebook gibt es bei Webflow aber keine europäische Niederlassung. Das bedeutet, Du musst den Vertrag direkt mit Webflow abschließen. Dabei müsstest Du eigentlich prüfen, ob Webflow die Datenweitergabe an US-Behörden verhindern kann und müsstest diese Frage mit nein beantworten (s.o. VI. 7.). Streng genommen wäre damit die Nutzung von Webflow immer noch unzulässig. Es ist aber nicht sehr wahrscheinlich, dass Dir das vorgeworfen ist. Daher muss ich zwar davon abraten, aber mit ein wenig Risiko kann man vielleicht darauf setzen, dass es bald wieder eine nachhaltige Lösung gibt.

5. Zoom Standardvertragsklauseln

Auch Zoom bietet als Anhang D zu seinem Auftragsverarbeitungsvertrag die Standardvertragsklauseln an. Diesen Anhang musst Du ausfüllen. Der Text in der Datenschutzerklärung zu Zoom bei easyrechtssicher ist bereits entsprechend angepasst. 

Grade bei einem Anbieter für Videokonferenzen wie Zoom bietet sich aber auch an, ggf. vor dem Webinar eine Einwilligung einzuholen. Dann wäre der Export in die USA auch damit möglich (s.o. 3.). 

6. Mailchimp Standardvertragsklauseln

Mailchimp löst den internationalen Datentransfer ebenfalls darüber, dass in dem Auftragsverarbeitungsvertrag die Standardvertragsklauseln eingefügt sind. Insofern gilt hier entsprechendes wie zu Zoom. 

7. Neue Verhandlungen

Es sollen auch bereits Verhandlungen zu einem neuen Abkommen angelaufen sein. Die werden aber kaum kurzfristig zum Erfolg führen. Der EuGH hat sehr deutlich gemacht, dass einige US-amerikanische Sicherheitsgesetze mit der DSGVO nicht vereinbar sind. Die USA müssten hier also sogar gesetzgeberisch tätig werden. Das ist vor der Wahl praktisch auszuschließen und auch nach der Wahl nicht wirklich hoch wahrscheinlich. Hierauf zu warten dürfte vergebens sein. Am interessantesten bleibt die 2 Schlüssel Lösung von Microsoft oder vergleichbare Maßnahmen. 

XI. Ergebnis zu Privacy Shield EuGH

Vielleicht ist es etwas früh, Deine Website jetzt sofort abzustellen. Dennoch, das Urteil des EuGH zu Privacy Shield erschüttert das Internet durchaus. Fast sicher darfst Du davon ausgehen, dass mittelfristig eine Lösung gefunden wird. Die spannende Frage ist, wann wird das der Fall sein und wie sieht diese aus. Grade bei privacy shield waren von Dir durchaus einige Handlungen erforderlich, um Deine Leistungen rechtssicher erbringen zu können.

Der beste Rat: Sichere Dir einen Partner, der Dich unterrichtet und dafür sorgt, dass Deine Rechtstexte so automatisch wie möglich so rechtssicher wie möglich sind.

Mit dem Datenschutz-Generator von easyRechtssicher halten wir Deine Website automatisch rechtlich aktuell. 

Zum Komplett-Schutz

Dann bleibst Du auf dem Laufenden und wir erledigen dann die Anpassungen, die künftig sicher erforderlich sein werden – automatisch und ohne Mehrkosten! 

XII. Interview bei der Kontist Stiftung

Was das EuGH-Urteil zum Privacy Shield für Selbstständige & Unternehmer bedeutet | #selbstwasmachen

 

 Dr. Ronald Kandelhard, Rechtsanwalt und Mediator, Fachanwalt für Handels- und Gesellschaftsrecht. Ronald war lange Zeit an der Universität, in der Rechtsberatung von Staaten und als Rechtsanwalt tätig. Jetzt entwickelt er mit seinem Startup Paragraf7 automatisierte Lösungen für rechtliche Probleme von Unternehmen.

Mehr über die DSGVO erfährst du hier.

 

79 Kommentare

  1. Super Artikel, vielen Dank!
    Hier meine Ergänzungen für alternative Online-Dienste:

    • Online Termine: harmonizely.com

    • Videohosting: video-stream-hosting.com

    • Webanalyse: Matomo (easy installieren auf eigenem Hosting-Space)

    • Backups: Ebenfalls eigenen oder zusätzlichen Hosting-Space nutzen

    • Dropbox-Alternative: Nextcloud (ebenfalls zum selber hosten oder bei einem managed nextcloud hosting anbieter aus DE)

    • Google Drive Alternative: OnlyOffice oder Collabora

    • Google Mail oder Hotmail Alternative: Eigene Email-Adresse, bei jedem Hosting-Anbieter möglich

    • Alternative zu Wix.com oder Squarespace: Jimdo aus Hamburg oder eigene Webseite beim Hosting-Anbieter

    • Chrome oder Edge Browser: Firefox, Vivaldi, oder Brave

    • Google Suche (ok, nicht DSGVO-relevant, aber trotzdem eine gute Ergänzung): Startpage (gleiche Qualität wie Google, weil es als Proxy zwischen Deinem Browser und der „echten“ Google Suche fungiert)

      • Hallo Sascha,
        woher weiss ich denn wo livewebinar.com speichert oder nicht speichert? Konnte auf ihrer Seite dazu nichts finden.
        Viele Grüße
        Gwendolin

        • Gwendolin: Da es sich um einen Anbieter aus Polen handelt, müssten die das in ihrer Datenschutzerklärung beantworten, würde ich mal annehmen

          • Gwendolin

            Sascha: Danke für Deine Antwort! Sie haben aber auch ne US Dependance, daher konnte ich vielleicht nichts finden.

    • Dr. Ronald Kandelhard

      Wix ist grundsätzlich israelisch und daher erst mal nicht problematisch – aber wie so viele haben die natürlich auch Dienstlieister in den USA:

      • Hubert L.

        WIX ist alles andere als unproblematisch, da viele Webseiten auf Serverstandorten in den USA liegen!
        Wer diese kostenlosen bzw. kostengünstigen Webdienst seinen Besuchern zu mutet und den Dienst mit deren Daten bezahlen lässt, der sollte sich mal Gedanken über sein Image machen – spätestens beim Datenschutzhinweis zur Einwilligung zur Datenübertragung.

        • Dr. Ronald Kandelhard

          Ja, Wix überträgt in jedem Fall derzeit Daten in die USA und für den Moment daher kritisch zu betrachten, das stimmt.

    • Vielleicht wäre es einmal gut wenn man eine Liste machen könnte, woraus Alternativen auf einen Blick hervorgehen würde.

      Sprich so für die Kunden von Easy, denn niemand weiß am Ende besser wie das Easy Team welche DSGVO Konform sind oder nicht.

      Wäre das eine Idee?

      Einige wurden schon genannt, ich schaue z.B. Nach einem Chat und einem Ticket-System. Kennt jemand JakWeb vielleicht wird selber gehostet als Chat und Ticket-System?

      Vor allem wären auch nicht gleich immer die Klopper gefragt, wie MailPoet hier wäre bestimmt CleverReach die Alternative.

      Bei dem Wixx.com glaube ich selbst wenn in Deutschland wie schaut es da aus mit dem Google Maps und den Google Fonts? Das geht doch garnicht und sollte nicht empfohlen werden, denn die Leute die das nutzen und genau wie bei Ionos sich eine Seite zu legen wollen wissen nicht was Sie tun und haben keinen Plan worauf die achten sollten. Also hier ein klares Nein und nicht zu Empfehlen.

      • Dr. Ronald Kandelhard

        Hallo Dirk, ja, mit Wix hast Diu sicher Recht, es gibt ohnehin viele Builder oder Templates, die Google Fonts nutzen.

        Ansonsten an einem Chat und Ticketsystem wäre ich auch interessiert.

        Eine Liste wird es mittelfristig, wenn Du im Generator siehst, was wir anbieten und wovor wir warnen. Problem ist, dass die Frage der Zulässigkeit oft auch von internen Maßnahmen der Anbieter abhängen, die man von außen schwer beurteilen kann.

  2. Viele dieser Alternativen kosten Geld.
    Die US-Anbieter kosten euch hingegen kein Geld, dafür die Privatsphäre eurer Webseiten-Besucher, Kunden etc. und damit potenziell deren Vertrauen …

  3. Pingback: Wie man sparsam mit Cookies umgeht – und trotzdem nicht auf Analytics verzichten muss. | Focal Analytics

  4. Hallo, erst mal Danke für den Beitrag und die Einschätzung. Wie sieht es z.B. mit Stripe aus. Das lässt sich ja nicht so einfach auswechslen.

    Viele Grüße
    Robert

    • Dr. Ronald Kandelhard

      Ja, da beginnen die Probleme… auf jeden Fall erst mal abwarten, bis der Rauch sich verzogen hat. Wir werden die Entwicklung beobachten und informieren. Wenn sich aber mittelfristig nichts ändert, wird man auch da über eine Auswechslung des Anbieters nach denken müssen.

      • Ich habe mit PlugnPaid.com bisher gute Erfahrungen gemacht. Gründer ist aus Deutschland. Firmensitz müsste Bulgarien sein.

      • Bei Stripe wäre das der Hammer. Einer der besten und für mein Business nicht ersetzbaren Zahlungsdienstleister. Die Einbindung ist so aufwändig. Der Dienst konkurrenzlos.

        An wen kann ich eigentlich Schadenersatzforderungen schicken, wegen der ganzen Kosten, die mir jetzt entstehen? Viele der eingebundenen Dienste habe ich ja auch bereits bezahlt.

        Ich atme. Tief. Durch.

        • Dr. Ronald Kandelhard

          Tief. Atmen. Ist. Immer. gut. Schadensersatz wird es aber sicher nicht geben 🙁

  5. …und was bedeutet das für viele WordPress Themes bzw. Plugins wie Elementor.com ?

    • Dr. Ronald Kandelhard

      Sobald sie „nach Hause telefonieren“ und zu Hause in den USA ist, auch rechtswidrig …

      • Telefonieren? Und ich dachte als Nichtjurist es geht um Speicherung personenbezogener Daten in einem unsicheren Drittland…. Elementor als Plugin speichert keine personenbezogenen Daten außer den persönlichen Daten des Käufers bei Kauf und Registrierung. Diese Übertragung dieser Daten ist freiwillig und damit zulässig.

        • Dr. Ronald Kandelhard

          Hallo Stephan, das war ja mit telefonieren gemeint 🙂 – wenn Elementar wirklich nie personenbezogene Kundendaten erhält (IP Adresse würde reichen), ist es zulässig, ja. Du darfst Deine Daten nach wie vor freiwillig in die USA geben, ja.

        • Sascha Liem

          Hi Stephan, bei Elementor Pro ist bei der Aktivierung ein Häkchen voreingestellt, über das Daten für Analyse-Zwecke an Elementor übertragen werden. Um welche Art von Daten es sich handelt, in welchem Umfang und wo genau Elementor diese speichert, weiß ich nicht, erwähne es aber hier als ein Beispiel, dass durchaus ein WordPress-Plugin Daten außerhalb der WP-Installation speichern und verarbeiten kann.

    • Dr. Ronald Kandelhard

      Hallo Dirk, ein Server in Deutschland macht noch keinen Sommer 😉 – also das allein reicht sicher nicht. Aber richtig ist, Microsoft könnte daraus vielleicht wirksam etwas gestalten, mit Bindung Corporate Rules oder auf andere Weise, aber noch hat Microsoft das m. E. nach nicht realisiert. Dennoch richtig, so kann ein Ausweg aus dem Problem aussehen.

      • Hallo Ronald,
        vielen Dank für die schnelle Antwort.
        Wenn das so ist müsste so gut wie jeder Webhoster seine Server still legen, viele Rechenzentren Arbeiten mit VMWare oder so, USA Hersteller, genau wie bei einer Watchquard, Cisco etc.
        Kein iPhone oder Android mehr etc. denn auch hier liegen schon bedingt Kunden Daten ja drauf. Wo soll das hinführen?

        Hat jemand eine Liste welche Programme denn noch überhaupt erlaubt sind, oder gar Geräte?

        • Spätestens bei Geräten ist es ja ähnlich, wie bei Seiten wie Facebook und Co. Diese nutzt man ja in dem Wissen, dass es amerikanische Unternehmen sind, die Daten erheben.

          Bei Hostern gibt es häufig die Möglichkeit, Logs etc. zu deaktivieren. Dann werden dort auch keine Daten der Seitenbesucher mehr gespeichert bzw. ausgewertet.

          Es geht bei dem Urteil ja eher darum, dass die Daten unwissentlich bzw. über Dritte an Unternehmen wie Google gesendet werden. Und da existieren einfach enorm viele Fallstricke. Google Fonts zum Beispiel. In fast jedem WordPress-Theme integriert. Da hat beinahe niemand auf dem Schirm, dass zum Ausliefern der Schriften die IP der Seitenbesucher an Google übermittelt wird. Da kannst Du die IP über Analytics anonymisieren, wie Du möchtest. Hilft alles nichts, wenn Google alle Daten nur über die Nutzung der Schriften bekommt.

          Grundsätzlich würde ich mich an Anbieter halten, die Ihren Unternehmenssitz in Deutschland bzw. der EU haben und zum Beispiel beim Hosting auch der Serverstandort entsprechend ist.

          • Dr. Ronald Kandelhard

            Das ist auf jeden Fall erst mal empfehlenswert.

          • „Bei Hostern gibt es häufig die Möglichkeit, Logs zu deaktivieren“ verhindert vielleicht „Deinen“ Zugriff auf die Logs. Log-Files sind jedoch für das Trouble-Shooting bei einem Hosting-Provider unerlässlich und müssen aus technischen Gründen zwingend erfasst werden. Alleine um Angriffsmuster nachvollziehen und unterbinden zu können 😉

  6. Moin Ronald!

    Danke für die wichtige Info.

    Angenommen, ich nutze den Borlabs Cookie Blocker und habe YouTube & Vimeo Videos auf meiner Website. Ist das durch die Cookie Zustimmung dann noch rechtlich vertretbar?

    Wie sieht es mit Backup Buddy aus? Ich exportiere keine Daten dorthin. Sie werden auf meinem Server abgelegt.

    Und Dein heutiger Blogbeitrag passt zum MailPoet Artikel, bei dem Du mir mit Deiner Expertise geholfen hast.

    MailPoet ist aus meiner Sicht eine tolle Alternative zu MailChimp und Co und wird auf dem eigenen Server gehostet.
    Wenn WordPress also auf einem Server in Deutschland liegt, wird also auch durch MailPoet nichts exportiert.

    Tools, die aus Europa kommen und (offenbar) nichts exportieren:
    – MailPoet
    – Visitor-Analytics – https://www.visitor-analytics.io/de/
    – Livewebinar.com (Polen)

    Ich grüble mal nach und lege nach, wenn mir was einfällt.

    Grüße:
    Keno

    • Dr. Ronald Kandelhard

      Nein, die alleinige Cookie Zustimmung reicht nicht aus, um US-Dienste zu verwenden.

      Wenn BackupBuddy keine Daten erhält, ist es auch zulässig.

      Wenn ich Dir mit MailPoet helfen konnte, freut nicht das. Das ist sicher eine Alternative zu vielen US-Anbietern. Ich denke, grade Newsletter Anbieter zu wechseln, ist wahrscheinlich eine umfangreichsten und schwierigsten Aufgaben bei einer möglichen Umstellung.

      • Hi Ronald,

        vielen Dank.

        Die Umstellung auf MailPoet finde ich nicht besonders schwierig. Der Export von anderen Anbietern zu MailPoet funktioniert teilweise in wenigen Klicks.

        Wie würdest Du Mitgliedern bzw. Online Kursteilnehmern Videos von Vimeo und YouTube präsentieren?

        So, wie Du weiter unten beschrieben hast?

        „„Wenn Sie diesen Inhalt des US-Anbieters YouTube aufrufen, wird auf Ihrem Gerät ein Cookie gesetzt. Mit Klick auf den Button erklären sie, nach sie Ihre Einwilligung damit nach § 15 Abs. 3 3 S. 1 TMG. Weiter werden durch Aufruf dieses Inhaltes personenbezogene Daten von Ihnen verarbeitet und an YouTube übermittelt. Sie können für Marketing und verwendet werden und es können damit Nutzerprofile angelegt werden. Ihre Daten werden zudem in die USA übertragen. Mit Klick auf den Button erklären sie weiter Ihre Einwilligung zu diesem Datenexport gem. Art. 49 Abs. 1 S. 1 lit. a DSGVO. Dort sind Ihre Daten weniger geschützt als in der EU, sie können ohne konkreten Anlass und ohne Rechtsmittel für Sie an an US-Behörden übertragen werden. Nähere Informationen zu der Datenverarbeitung von YouTube finden Sie in der Datenschutzerklärung von YouTube.“ (das müsste dann ein Link sein)“

        Viele Grüße und Danke!
        Keno

  7. Hallihallo,
    super Artikel Ronald, vielen Dank! Toll, dass Du so schnell für Aufklärung sorgst. …. also ich muss schon sagen, diese ständigen Steine die einem online vor die Füsse rollen sind echt anstrengend. Ich bin durchaus für Datenschutz, finde es auch richtig und wichtig, aber es sollte auch praktikabel bleiben. 🙁
    ….aber so bleiben wir zumindest alle kreativ auf der Suche nach neuen Lösungen. 😁

    Viele Grüße
    Gwendolin

  8. Am besten wir boykottieren diesen Blödsinn alle. Die Kleinen werden Abgemahnt während die Großen machen können was sie wollen. Warum spielen wir das Spiel mit?

    • Dr. Ronald Kandelhard

      Du kannst Dir ja mal ansehen, was „die Großen“ schon alles an Bußgeldern unter der DSGVO gezahlt haben 😉 so ganz ungeschoren sind die nicht – alles zugunsten Deines Steuersäckels (auch wenn die dadurch natürlich nicht weniger werden).

  9. Hallo,
    Wie sieht es mit WordPress aus. Ich habe einen blog und wollt ihn gerne online stellen. Alle Arbeit umsonst ?

    • Dr. Ronald Kandelhard

      Also soweit ich weiß, werden nicht automatisch Daten an WordPress übertragen, weil Du das nutzt. Von daher ist WP jedenfalls nicht generell unzulässig.

    • Das einzige, was Du bei einer Standard-Installation von WordPress deaktivieren müsstest, wäre die „Avatar“-Funktion unter
      Dashboard > Einstellungen › Diskussion > „Avataranzeige“.
      Ansonsten schick mir gerne die URL von Deinem Blog und ich mach einen kostenlosen Pre-Check für dich 🙂

  10. Ich stelle auch Videos auf YouTube vor, also meine eigenen . Was passiert jetzt mit der zwei Klick Methode, bzw. wie Rechtssicher bin ich hier.

    • Dr. Ronald Kandelhard

      Gar nicht mehr, YouTube ist natürlich auch betroffen. Aber man kann die Zwei Klick Lösung sicher zu einer echten Einwilligung ausbauen. Dann ginge es wieder. Text wäre ungefähr wie folgt:

      „Wenn Sie diesen Inhalt des US-Anbieters YouTube aufrufen, wird auf Ihrem Gerät ein Cookie gesetzt. Mit Klick auf den Button erklären sie, nach sie Ihre Einwilligung damit nach § 15 Abs. 3 3 S. 1 TMG. Weiter werden durch Aufruf dieses Inhaltes personenbezogene Daten von Ihnen verarbeitet und an YouTube übermittelt. Sie können für Marketing und verwendet werden und es können damit Nutzerprofile angelegt werden. Ihre Daten werden zudem in die USA übertragen. Mit Klick auf den Button erklären sie weiter Ihre Einwilligung zu diesem Datenexport gem. Art. 49 Abs. 1 S. 1 lit. a DSGVO. Dort sind Ihre Daten weniger geschützt als in der EU, sie können ohne konkreten Anlass und ohne Rechtsmittel für Sie an an US-Behörden übertragen werden. Nähere Informationen zu der Datenverarbeitung von YouTube finden Sie in der Datenschutzerklärung von YouTube.“ (das müsste dann ein Link sein)

      So oder ähnlich umfangreich müsste eine solche Einwilligung aussehen. Ob das dann noch jemand anklickt, bliebe abzuwarten.

  11. Margarita Siebke

    Hallo Danke für den Beitrag.
    Da ich ein kleines Startup für Latein Nachhilfe und Lerntherapie bin,
    möchte ich meine Kinder natürlich möglichst sicher aber auch kostengünstig unterrichten.
    Darum habe ich mich heute den ganzen Tag den PC um die Ohren gehauen und für meinen Zweck folgende Seiten gefunden:

    Als Whiteboard-Ersatz habe ich Conceptboard.com gefunden, das mir einen Haufen Möglichkeiten zum Nulltarif gibt, die Videofunktion dort ist allerdings für meinen Zweck sehr teuer, darum möchte ich es in Kombination mit dem kostenlosen Videokonferenzanbieter Zadarma.com gebrauchen. Das ließe sich super machen und wäre für meinen Zweck sogar besser als die eingebaute Videofunktion bie Conceptboard.
    Conceptboard hat seinen Sitz und Server in Deutschland, Zadarma in London, dieses verarbeitet die Daten in Europa. Wenn ich das richtig verstanden habe.

    Aber wie verarbeite ich das nun in meiner Datenschutzerklärung?

    Außerdem gebrauche ich noch die komplett deutsche App Navigium als Lateinvokabeltrainer…da habe ich eine kleine Schullizenz erworben und eine Auftragsverarbeitungsvereinbarung abgeschlossen. Auch da frage ich mich, wie ich das in meiner Datenschutzerklärung einbaue.

    Wäre froh über eine kleine Antwort.

    Außerdem frage ich mich, da ich meine WordPressseite grade erst aufgesetzt habe, ob ich sie noch mal runterreiße und zu dem Hamburger Unternehmen Jimdo wechle, oder ob es ausreicht, dass ich WordPress auf meinem Server ( alfahosting = deutscher Server) gehostet habe.

    Und zu guter Letzt ich überlege von Microsoft Office auf OpenOffice umzusteigen. Umgewöhnungen sollen ja eine Demenzvorsorge sein.

    • Dr. Ronald Kandelhard

      Demenzvorsorge kann auf keinen Fall keinen Fall schaden. Zu den speziellen Texten in der Datenschutzerklärung schreibe mir gern an mail@easy<rechtssicher.de, dann sehen wir mal, ob wir zu Conceptboard, Zadarma und Navigium was machen können.

  12. Hi, das ist echt alles nicht schön. Wie verhindert ein Vertrag mit den Standardvertragsklauseln, dass US-Behörden die gespeicherten Daten nicht doch abgreifen? Das erscheint mir überhaupt nicht einleuchtend.
    Ich bin dann mal weg und deaktiviere meine ganzen tollen US-Anbieter.

  13. Die europäische Vorstellung von Datenschutz ist einfach nur noch lächerlich. Während einerseits solch existenzielle und weitreichende Urteile gesprochen werden, liegen in seit Corona relaunch der Gastronomie überall Listen mit Namen und Adresse, einsehbar und ohne jeglichen Hinweis, geschweige denn einer Wahl, herum. Wie wäre es denn , wenn wir zukünftig jeden Abmahnen, der mir ohne meine schriftliche Einwilligung ins Gesicht schaut.

    • Dr. Ronald Kandelhard

      Sicher auch nicht perfekter Datenschutz, aber da macht ein Kompromiss sicher mehr Sinn, als an anderer Stelle.

  14. Vielen Dank für den Beitrag und die Zeit, die du hier investiert hast.
    Google Analytics war vor dem Urteil schon kaum mehr sinnvoll (meiner Meinung nach). Was bringt es mir, wenn ich auf meiner Website meinetwegen Borlabs Cookie einsetze und ein Drittel der Besucher nur notwendige Cookies zulassen? Dann sind die Daten ja kaum was Wert. Selbst wenn es nur 1/5 wäre.

    Ich frage mich nur, weshalb so viele große Agenturen das Thema irgendwie komplett ignorieren. Wenn man sich deren Webseite anschaut, wie viele Cookies von Drittanbietern gesetzt werden und einige haben noch nicht mal einen Cookie Hinweise drauf.

    Die vielen genannten Alternativen werde ich mir mal ansehen.

    Viele Grüße

    • Dr. Ronald Kandelhard

      Ich habe so dialeichte Ahnung, dass es diesmal keine schnelle Lösung geben wird, aber die Umstellung wird sicher einige Zeit brauchen.

  15. Pascal Knoll

    Moin Ronald, in deinen Augen, welche DSGVO-konforme Alternative zu Google Maps ist die beste (zur Einbindung in der DE-gehosteter WordPress-Seite)? VG Pascal

    • Dr. Ronald Kandelhard

      es gibt noch OpenStreetMap, auch im Generator. Das ist zulässig und ohnehin datenschutztechnisch um Längen besser.

  16. Heiner de Wendt

    Hi,

    super Artikel, vielen Dank.

    Wie sieht es eigentlich über die Website hinaus aus? Kann ich noch rechtssicher z.B. Google Ads einsetzen und von dort auf meine Website verweisen, vorausgesetzt, ich tracke den Kunden nicht mit Google-Tracking-Methoden?

  17. Gwendolin

    Jetzt muss ich doch noch mal was fragen… Wie ist es denn eigentlich mit Affiliate Links z.B. von meiner Webseite oder von z.B. von Pinterest zu Amazon, Awin Partnern etc… darf ich das oder darf ich das nicht mehr?

    Und wenn ich die jetzigen No-Gos 🙂 untereinander verlinke, also von Pinterest zu Youtube von Youtube zu LinkedIn, von FB zu Youtube… das ist ok, oder? Oder auch nicht? Mich verwirrt das neue „Verbot“ – sorry falls die Fragen blöd sind 🙃

    Werde mal fleissig auf meinen Webseiten aufräumen!

    • Dr. Ronald Kandelhard

      Aufräumen ist auf jeden Fall eine gute Idee. Ansonsten Affiliate Links in die USA sind sicher auch schon mindestens ein Grenzfall.

  18. Sandro Heitz

    Hallo,
    alle hier haben bestimmt ein Handy von einem europäischen Anbieter, gibt es ja wie Sand am Meer und natürlich auch mit einem europäischem Betriebssystem, gibt es ja wie Sand am Meer, dessen Daten natürlich in einem europäischen Rechenzentrum von einem europäischen Betreiber „gebackupped“ werden.
    Und wenn am die vielen, vielen tollen Anbieter aus Europa genau analysiert, dann hocken sie auf der AWS oder Google Cloud oder Azure … im Augenblick ist das einfach europäische Traumtänzerei.

    • Dr. Ronald Kandelhard

      Das ist völlig richtig… Aber die Frage ist dann, muss das Recht vor der Technik kapitulieren? Für fast alles gibt es open source Angebote. Klar, ist vieles schlechter, aber nicht unmöglich – und natürlich würde es auch nicht schaden, wenn sich mal 1 bis 7421 europäische Anbieter entwickeln würden 😀

      • Sandro Heitz

        Hallo,
        wenn Sie in ein Gesetz schreiben, dass es ab sofort Butterbroten verboten ist, auf die gebutterte Seite zu fallen … und wo bitte ist ein europäische Handy Betriebssystem. Die DSGVO wurde von Leuten gemacht, die keine Ahnung haben von der Wirklichkeit. Und nein, es gibt nicht für alles Open-Source Angebote. Und die, die es gibt machen meist beträchtlich mehr Arbeit, als die kommerziellen Angebote. Und niemand in Europa kann ein Cloud-Angebot mit Hyper-Scaling einrichten in den nächsten Wochen … da sind wir zehn Jahre zu spät dran.

        • Sandro Heitz

          Noch eine Frage: was sollen die Firma machen, die seit Jahren ihre CRM oder auch ihr Warenwirtschaftssystem bei Oracle und deren Cloud haben … wer hier glaubt, dass man das einfach so umzieht hat keine Ahnung von der Komplexität dieser Systeme.
          Faktisch ist es so, dass das EUGH das Internet abgeschaltet hat und jeder von uns macht sie auf die eine oder andere Art seither täglich strafbar.

          • Bernd Krüger

            und dann noch:

            1. Wieso gibt es eure eigene Facebook Fanpage noch, wenn lt. EuGH Urteil von euch selbst empfohlen wird geschäftsmäßige Facebook Fanpages abzuschalten ?

            2. Welche Alternativen gibt es denn zu Google Ads und Remarketing? Wenn das Unternehmen damit 80% seines Umsatzes generiert wird Ihnen 4% Ihres Jahresumsatzes als Strafe der Aufsichtsbehörden keine Angst einjagen!

            Viel interessanter als die hier beschriebenen Schreckensszenarien wäre ein juristischer Rat für Datenschutzbeauftragte, wie Sie sich bezüglich der Haftung verhalten sollten für den Fall dass selbst nach Aufklärung über das EuGH Urteil die Geschäftsführung des Unternehmens keinen Anlass sieht irgendetwas bezüglich des Internetauftritts zu ändern…und das ist derzeit faktisch überall der akzuelle Stand!

  19. Bernd Krüger

    1. Wieso gibt es eure eigene Facebook Fanpage noch, wenn lt. EuGH Urteil von euch selbst empfohlen wird geschäftsmäßige Facebook Fanpages abzuschalten ?

    2. Welche Alternativen gibt es denn zu Google Ads und Remarketing? Wenn das Unternehmen damit 80% Ihres Umsatzes generieren wird Ihnen 4% Ihres Jahresumsatzes als Strafe der Aufsichtsbehörden keine Angst einjagen!

    • Dr. Ronald Kandelhard

      1. Wir warten noch ab, ehe wir Schnellschüsse machen
      2. Kaum Alternativen da, ja.

  20. Pingback: Mit Microsoft Teams Datenschutz konform Videokonferenzen abhalten!

  21. Fast alle Unternehmen verwenden Google Analytics mit der Funktion _anonymizeIp, mit der die IP-Adresse maskiert wird. Es werden also keine personenbezogenen Daten in die USA exportiert. Warum soll das jetzt plötzlich ein Problem sein?

    • Dr. Ronald Kandelhard

      Auch pseudonominierte Daten Unterfallen der DSGVO, von daher bleibt das ein Problem, auch wenn Google (vorübergehend) wieder zulässig ist.

  22. Pingback: Wie Du Slack DSGVO konform verwenden kannst - easyRechtssicher

  23. Welches Support-Chat Programm für WordPress könnte man jetzt noch nehmen?
    HupSpot ist ja nicht DSGVO konform richtig?

    • Dr. Ronald Kandelhard

      Das ist eine gute Frage, suche ich auch noch 🙂 wer was weiß, gerne kommentieren!

  24. Pingback: Wie Du Webflow Datenschutz konform für die Erstellung von Websites nutzt - easyRechtssicher

  25. Pingback: Mit ZOOM Datenschutz konform Videokonferenzen abhalten!

  26. Pingback: Die Hoffnung stirbt zuletzt – der Versuch eines Fazits (7/7) – TechTalk

  27. Pingback: Wie Du Skype DSGVO konform nutzen kannst - easyRechtssicher

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.