Der EuGH erklärt das Privacy-Shield-Abkommen für ungültig

Am 16. Juli 2020 erklärte der Europäische Gerichtshof (EuGH) den Angemessenheitsbeschluss der EU-Kommission über das EU-US Privacy-Shield-Abkommen für ungültig.

Der Österreicher Max Schrems hat es geschafft und die Klage gegen das zweite Abkommen (Privacy-Shield) gewonnen. Nachdem Schrems die Datenschutzvereinbarung (Safe-Harbor) mit einer Klage abgeschafft hat,  hat der Jurist eine Klage gegen das aktuellen Abkommen vor dem EuGH eingereicht.

1. Hintergrund

In Europa gilt die sogenannte Datenschutzgrundverordnung (DSGVO). Diese regelt den Umgang mit personenbezogenen Daten für EU-Unternehmen. Sehr oft werden Daten in Drittländer bzw. von Nicht-EU Unternehmen verarbeitet (die nicht im Geltungsbereich der DSGVO sind) um bestimmte Dienstleistungen wie Online-Marketing oder Microsoft Dienste nutzen zu können. Der Datenschutz muss natürlich auch außerhalb dem unmittelbaren Anwendungsbereich der DSGVO gewährleistet werden. Daher gibt es die Möglichkeit der Standardvertragsklauseln.

Die EU-Kommission hat 2016 das EU-US-Privacy-Shield Abkommen als für ausreichend erklärt. In diesem Abkommen hatte die US-Regierung bestimmte Zusicherungen gemacht, woraufhin die EU-Kommission einen sogenannten Angemessenheitsbeschluss erlassen hat. Das Privacy-Schield sollte als rechtskonformer Nachfolger von Safe-Harbor die Grundlage für eine Datenschutzkonforme Übertragung von personenbezogenen Daten in die USA dienen.

Nun hat der EuGH das Privacy-Schield wieder für ungültig erklärt, weil die Daten von europäischen Verbraucher auf US-Servern nicht vor dem Zugriff dortiger Behörden und Geheimdienste geschützt seinen. Somit sind jegliche Datentransfers auf Basis dieses Abkommens als nicht mehr Datenschutzkonform erklärt worden.

2. Folgen der Abschaffung von Privacy-Shield in der Praxis

Der Transfer von personenbezogenen Daten aus Europa in die USA auf Grundlage des Privacy-Shields-Abkommens ist nicht mehr möglich. Dies bedeutet aber nicht, dass nun grundsätzlich keine europäischen personenbezogenen  Daten in den USA verarbeitet werden dürfen. Es gibt weitere Möglichkeiten, die aber nicht einfach umsetzbar sind.

Zum einen können Unternehmen theoretisch eine offizielle Einwilligung (gemäß Art. 49 Abs. S. 1 a DSGVO) von der betroffenen Person einholen, deren personenbezogenen Daten im Ausland verarbeitet werden sollen. Dies darf man aber nicht unterschätzen. Dabei handelt es sich um eine besondere Einwilligung mit bestimmten Anforderungen. Grund Voraussetzung ist eine ordnungsmäßige Vorabinformation des Betroffenen. Dies umfasst unter anderen, dass der Betroffene bewusst und freiwillig seine Einwilligung erteilt. Bewusst in dem Sinne, dass er über das Risiko des Datentransfers in ein Drittland ohne adäquates Schutzniveau aufgeklärt  werden muss. Zusätzlich muss er über den Empfänger, Verarbeitungsvorgänge, -twecke und  -ort der Verarbeitung informiert werden. Wenn der Betroffene keine Einwilligung erteilt, dann darf die Übermittlung nicht stattfinden. In der Praxis wird dies selten bis gar nicht genutzt.

Zum anderen gibt es eine relativ einfachere zweite Option. Unternehmen können personenbezogenen Daten mit den EU-Standardvertragsklauseln übermitteln. Diese sind trotz des Urteils immer noch rechtskonform. Voraussetzung dabei ist, dass bei der Übermittlung personenbezogener Daten das vom Unionsrecht vorgeschriebene Schutzniveau eingehalten wird. Dabei müssen Unternehmen in den USA überprüfen, ob die Vorschriften aufgrund der US-Gesetze einsetzbar sind.

3. Welche Dienste sind vom Wegfall des Privacy-Shield getroffen?

Wenn Ihr Unternehmen generell eine Social Media-Präsenz oder einen eigenen Online-Shop hat, dann sind Sie von dem Urteil betroffen. Aber auch die sehr weit verbreitete Nutzung von Microsoft Office 365, Exchange, SharePoint, Teams, … ist problematisch.

Die folgenden Dienste sind unter anderem vom wegfall des Privacy-Shields betroffen:

• Social-Media Plugins:

Facebook, Twitter, Instagram, Tumblr, LinkedIn, Xing, Printerest, AddThis, …

• Online-Marketing-Dienstleister: 

Google Marketing Plattform, Google Ads Conversion-Tracking, Google AdSense, Facebook Pixel, Google Remarketing, Printerest-Retargeting-Pixel, Bing Ads, …

• Web-Analyse Dienste:

Google Analytics, Adobe Analytics, Jetpack, Optimizely, Squarespace Analytics, Fullstory, WordPress Stats, …

• Hosting Anbieter:

Ecwid, Shopify, Squarespace, Weebly, Wix, …

• CDN:

Cloudflare, Fastly, Google Cloud, Jetpack, KeyCND, Stackpath, …

• Newsletter-Anbieter:

MailChimp, ActiveCampagne, Klaviyo, Shopify Email, WhatsApp-Newsletter, SendGrid, …

• Zahlungsanbieter:

Stripe, PayPal, Klarna, Sofortüberweisung, Paydirekt, …

• Live-Chat- & Videokonferenz-Tools:

Chatra, Freshchat, Luckyorange, Zendesk, Zoom, Skype for Business, Microsoft Teams, Google Hangouts, Google Meet, …

• Musik-/Videoplattformen:

YouTube, Vimeo, SoundCloud, Spotify, …

• Sonstige Tools:

Adobe Fonts, Google Maps, Google reCAPTCHA, Amazon Partnerprogramm, Bing Maps, Google Kundenrezensionen, CookiePro als Cookie-Consent-Tool, …

4. Betroffen? Was tun?

Sollten Sie einer oder mehr dieser Dienste verwenden, können Sie folgendes tun:

• Schreiben Sie eine Liste mit Dienstleistern aus den USA, die sie verwenden.
• Überprüfen Sie, ob Sie personenbezogenen Daten an diese Dienste übermitteln.
• Recherchieren Sie, ob Ihr Anbieter besondere Maßnahmen und Reglungen für die EU treffen wird, oder kontaktieren Sie Ihn direkt und Fragen Sie, ob er die vorher aufgezeigten Lösungen in Betracht zieht (Einwilligung, EU-Standardvertragsklauseln, Datenspeicherung nur auf EU-Servern, usw).
• Prüfen Sie, ob in Ihrer Datenschutzerklärung bei bestimmten Unternehmen auf das Privacy-Shield Abkommen bezug genommen wird.
• Aktualisieren Sie Ihre Datenschutzerklärung entsprechend.

Haben Sie Fragen? Sie können Sie uns jeder Zeit kontaktieren und ein kostenloses Gespräch vereinbaren.