EuGH erklärt Privacy Shield für unwirksam

Der EuGH hat ein Urteil mit großer Reichweite gefällt. Das Privacy Shield Abkommen war bisher eine der wichtigsten Rechtsgrundlagen für den Transfer personenbezogener Daten in die USA und war der Nachfolger des transatlantischen „Safe Harbor“-Abkommens, welches durch da EUGH bereits 2015 für nicht gültig erklärt wurde. Nun ist von Seiten des EUGH also auch das „Privacy Shield“-Abkommen nichtig. Dies ist ein erwartetes, aber dennoch sehr heftiges Urteil mit weitreichenden Folgen.

Bisher war die Übertragung von Daten aus der EU in die USA gerade bei großen Unternehmen wie Microsoft, Google, Facebook & Co. sowie weiteren großen Softwareanbietern über das Privacy Shield-Abkommen abgesichert. Nun muss sich jedes Unternehmen mit diesem Thema auseinandersetzen und klären, ob alternative Rechtsgrundlagen für die jeweilige Software bestehen.

So bietet Microsoft nach eigenen Angaben, siehe Stellungnahme vom 20. Juli 2020,  schon länger bereits überlappende Maßnahmen in Form von Standard Contractual Clauses, SCC, an,  diese gelten jedoch für gewerbliche Kunden. Das heißt jedes Unternehmen sollte seine Software-Programme hierauf hin überprüfen und sicherstellen, dass Alternativen als Rechtsgrundlage für das vorhandene Lizenzpaket vorliegen.

Privacy Shield-nichtig

Was bedeutet das?

Praktisch bedeutet das, dass aktuell viele Anbieter aus den USA nicht mehr rechtskonform genutzt werden können beziehungsweise die Rechtsgrundlagen geklärt und überprüft werden müssen.

Es gibt neben dem Privacy Shield jedoch noch andere Möglichkeiten Software datenschutzgkonform zu nutzen. So ist einerseits die Einwilligung des Nutzers ein wichtiger Faktor. Die so genanntem EU-Standardvertragsklauseln oder Binding Corporate Rules größerer Konzerne sind eine weitere wichtige mögliche Alternative. Hiermit garantieren Software-Anbieter aus den USA über andere Wege einen angemessenen Umgang mit personenbezogenen Nutzerdaten. Nur muss ein Unternehmen diese Alternativen nun belegen können, und das ist der arbeitsreiche Punkt. Gibt es Alternativen bei der jeweils betroffenen Software und wie kann ich diese als Unternehmen belegen.

Jede Datenübermittlung muss rechtlich zulässig sein, die Prüfung erfolgt zweistufig

Jede Verarbeitung von personenbezogenen Daten unterliegt erstmal einem Verbot mit Erlaubnisvorbehalt, hier sind die Rechtsgrundlagen aus Art. 6 DSGVO ein ganz wichtiger Punkt. Neben diesen Rechtsgrundlagen erfolgt im zweiten Schritt eine Prüfung ob die Übermittlung von personenbezogenen Daten zulässig ist und wie das angemessene Datenschutzniveau bestätigt werden kann. Hier war das Privacy-Shield-Abkommen wichtig, dass nun wegfällt. Es müssen nun alternative Wege gefunden und aufgezeigt werden, um den notwendigen Datenschutz sicherzustellen und nachzuweisen, dies kann nun alternativ beispielsweise über die Standarddatenschutzklauseln oder Binding Corporate Rules erfolgen.

Was muss jeder jetzt tun?
1. Analysieren, welche Softwareanbieter und Dienstleister aus den USA man nutzt.

2. Prüfen Sie, ob der Anbieter eine Regelung für Kunden aus der EU treffen wird  bzw. vielleicht schon getroffen hat. Schreiben Sie sonst den Anbieter an und fragen nach, welche Lösungen das Unternehmen treffen wird. Das kann je nach Anzahl der genutzten Tools und Softwaresysteme aufwendig sein.

3. Auf die Website bezogen wird konkret eine Anpassung der Datenschutzerklärung benötigt.
Als Agenturpartner von E-Recht24  stehen uns die neuen Rechtstexte durch Nutzung der Generatoren von E-Recht 24 hinsichtlich der Änderungen aus dem Juli 2020 zur Verfügung. Eine Auflistung der Dienste, die betroffen sein könnten finden Sie nachfolgend, Quelle: E-Recht24.

Für eine schnelle Überprüfung, welche Dienste vom Wegfall des Privacy Shield betroffen sein können, ein erster Überblick über die am häufigsten genutzten US-Anbieter und Plattformen.

CDN
Cloudflare
Social Media
Facebook-Connect
Facebook Plugins
Twitter Plugin
Instagram Plugin
Tumblr Plugin
LinkedIn Plugin
Pinterest Plugin
Tracking-Dienste
Google Analytics
WordPress Stats
Ad Networks
Google Ads
Google Adsense
Google Adsense (nicht personalisiert)
Google Remarketing
Google Conversion Tracking
Google Doubleclick
Facebook Pixel
Newsletter-Anbieter
MailChimp
MailChimp mit deaktivierter Erfolgsmessung
ActiveCampaign
Musik-/Videoplattformen
YouTube
YouTube mit erweitertem Datenschutz
Vimeo
Vimeo ohne Tracking
SoundCloud
Spotify
Videokonferenz-Tools
Zoom
Skype for Business
GoToMeeting
Microsoft Teams
Google Hangouts
Google Meet
Sonstige Tools
Google Web Fonts
Adobe Fonts
Google Maps
Google reCAPTCHA
Amazon Partnerprogramm

Viele Details sind derzeit leider noch absolut unklar bzw. in der praktischen Umsetzung sehr schwierig. Die ersten großen Softwaregiganten wie Google, Microsoft etc. ändern schon fleißig Ihre Nutzungsbedingungen und Rechtstexte, nichts desto trotz ist dieses Thema ein langwieriges Thema und muss im Detail pro Dienst von jedem Unternehmen sehr genau geklärt werden.
Hier spielen auch die jeweiligen Vertragsverhältnisse zwischen Nutzern und Anbieter eine Rolle.

Nachfolgend die Changelog von E-Recht 24.  Sie werden feststellen, dass in den Änderungen vom 02. Juni 2020 zusätzlich neue Dienste aufgenommen wurden, dies im Zusammenhang mit der durch die Corona-Situation vermehrt aufgetretene Nutzung von Video- und Chat-Anwendungen etc. Stichwort: Home-Office.

Quelle: eRecht24

Changelog-Erecht24-gesamt-0820Quelle: E-Recht 24

Sie haben Fragen oder wünschen Unterstützung bei der Umsetzung der Datenschutzgrundverordnung auf Ihrer Website? Schreiben Sie uns an info@web-by-michi.de
………………………….

Hinweis: Wir machen darauf aufmerksam, dass unsere Leistungen keine Rechtsberatung darstellen, sondern sich auf die technischen Aspekte Ihrer Website beziehen. Falls Sie eine Datenschutzberatung benötigen, die allen Einzelheiten Ihres Unternehmens bzw. ihrer Situation gerecht wird, können wir Ihnen einen Datenschutzbeauftragten unseres Vertrauens empfehlen.  Die hier angegebenen Informationen haben keinen Anspruch auf Vollständigkeit und Richtigkeit, es besteht  kein Haftungsanspruch. Zukünftig notwendige Anpassungen nach DSGVO können nicht ausgeschlossen werden.