Privacy Shield ist ungültig – Was tun?

Innerhalb der EU und Deutschland ist die Übertragung personenbezogener Daten erlaubt, weil alle beteiligten Länder zur strikten Einhaltung des EU-Rechts zum Datenschutz verpflichtet sind. Diese unterscheiden sich deutlich von Datenschutzgesetzen in den USA, wo derartige Themen historisch eher lax gehandhabt werden. Darüber hinaus vergibt die EU den Status “Angemessenes Schutzniveau” an Drittländer, die einen ausreichenden Schutz personenbezogener Daten gewährleisten. Die aktuelle Liste kann auf dieser Webseite der EU eingesehen werden.

Die USA sind auf dieser Liste nicht vertreten. Weil extrem viele Dienstleistungen im Internet über Server oder Unternehmen in den USA angeboten werden, herrschte in den digitalen Handelsbeziehungen spätestens seit der Einführung der DSGVO Kopfkratzen. Damit der kommerzielle Datenverkehr zwischen Europa und den Vereinigten Staaten nicht ganz gekappt wird, waren Vertreter beider Seiten an einem Kompromiss interessiert. Dieser Kompromiss hieß Privacy Shield.

Mit dem Abkommen konnten sich Unternehmen in den USA zur Einhaltung von Datenschutzrichtlinien der EU verpflichten und genießen damit einen freien Fluss personenbezogener Daten – so zumindest die Theorie. De facto ist spätestens seit den Enthüllungen von Edward Snowden bekannt, dass die US-Regierung auf so ziemlich alle Daten im Land Zugriff hat und schon seit langer Zeit wahre Datenberge sammelt. In einer solchen Umgebung ist die Verpflichtung zur Einhaltung von EU-Standards schlichtweg illusorisch.
So hat es nun auch der EuGH gesehen, als er am 16.07.2020 entschied, dass Privacy Shield die Absichten der DSGVO ad absurdum führt und damit ungültig ist.

Wer ist von dem Gerichtsurteil zu Privacy Shield betroffen?

Privacy Shield betrifft alle, die im Internet kommerziell tätig sind. Unternehmen sind also ebenso betroffen wie etwa Webdesigner, die im Kundenauftrag Webseiten erstellen.
Grundsätzlich geht es um die Übertragung personenbezogener Daten in die USA. Erste Betroffene sind natürlich Analyse/Werbedienste wie Adwords, Adsense, Analytics und dergleichen mehr. Desweiteren übermitteln auch die Plugins sozialer Netzwerke wie Facebook, Twitter oder Instagram personenbezogene Daten an Server in den USA. Google Hangouts, Skype oder das allseits beliebte Zoom sind davon selbstverständlich auch betroffen. Grundsätzlich geht es also um sämtlichen Transfer personenbezogener Daten speziell in die Vereinigten Staaten.

Was bedeutet das Privacy Shield Urteil für Betreiber einer Webseite und Webdesigner?

Zunächst einmal dreht das Urteil die Uhren zurück auf die Zeit vor Privacy Shield. Aktuell besteht also kein gültiges Abkommen zwischen den USA und der EU, das eine Übertragung von personenbezogenen Daten ohne Weiteres ermöglicht. Der komplette Verzicht auf Dienstleister aus den USA gestaltet sich natürlich dermaßen schwierig, dass er für die meisten Betreiber einer Webseite schlicht unpraktikabel ist. Auch ein Banner, wie es beispielsweise bei Cookies mittlerweile sehr beliebt ist, dürfte es im Fall von Privacy Shield nicht tun. Immerhin können Sie gar nicht wissen, wofür genau die personenbezogenen Daten Ihrer Nutzer in den USA verarbeitet werden – und selbst wenn Sie es wüssten, käme der durchschnittliche Einwilligungstext auf Romanlänge.

Gibt es jetzt konkrete Handlungsempfehlungen?

Zunächst einmal sollten Sie unter die Lupe nehmen, welche Dienstleister aus den USA Sie überhaupt nutzen. Eventuell finden Sie für den ein oder anderen Anbieter eine Alternative aus Deutschland respektive der Europäischen Union. Zudem besteht bei einigen Unternehmen aus den USA die Möglichkeit, einen sogenannten EU-Standardvertrag aufzusetzen. Dieser ist eine Art individuelles Privacy-Shield-Abkommen zwischen Ihnen und dem Unternehmen, das als Vertragspartner fungiert und sich hier zur Einhaltung der EU-Standards verpflichtet. Zudem ist es jetzt wichtiger denn je, regelmäßig Ihre Datenschutzerklärung zu aktualisieren.

Haftungsausschluss:

Dieser Inhalt ist nicht als Rechtsberatung auszulegen.

Sagen Sie etwas...