Wahrscheinlich haben Sie längst der Presse entnommen, dass der EuGH in seinem sog. Schrems II-Urteil das sog. EU-Privacy Shield gekippt hat. Inzwischen zeichnet sich in der Rechtslandschaft ein Bild ab, welche Konsequenzen das Urteil hat. Hierüber möchte ich SIe gern informieren. Dabei beschränke ich meine Informationen allerdings, obwohl das Urteil sich auf sämtliche Datenübertragungen in Länder, für die bislang das sog. EU-Privacy Shield galt, bezieht auf die zuhauf auf Webseiten eingesetzten Tools von Google (Analytics & Co) sowie von YouTube, Facebook (mit WhatsApp und Instagram), Apple und Microsoft.
Mit dem Urteil des EuGH ist die Übermittlung von Daten in die USA als (nicht mehr) sicher anzusehen. Hiervon betroffen sind alle Unternehmen mit eigenem Sitz oder aber zumidnest Sitz der Muttergesellschaft in den USA. Was daraus nun für die Unternehmen, die Dienste jener Unternehmen nutzen, folgt, ist unklar. Die Meinungen der Aufsichtsbehörden und der Anwaltschaft gehen hierzu teilweise auseinander.
Einigkeit besteht darüber, dass die bisherigen Lösungen, insbesondere die sog. Standardvertragsklauseln keine Abhilfe bieten, da die US-Behörden gleichwohl Zugriff auf die übertragenen Daten haben. Es sind also in jedem Fall weitere Schutzmaßnahmen erforderlich. Für diese sind SIE als datenweiterleitendes Unternehmen verantwortlich, nicht Google & Co!
Die Aufsichtsbehörden stellen – sofern sie ihre Meinungen zu diesem Thema bereits kundgetan haben – unterschiedlich hohe Anforderungen an die Schutzmaßnahmen. In Berlin, Hamburg, Niedersachen, Rheinpand-Pfalz und Thüringen herrscht die Meinung, dass den Verantwortlichen für Datenübermittlungen in die USA erhebliche Anstrengungen, die vermutlich nur in seltenen Fällen als ausreichend angesehen werden können, obliegen. Man müsse auf Alternativen im europäischen Wirtschaftsraum umstellen, auch wenn dieses deutlich teurer sei. Der Landesbeauftragte von Rheinland-Pfanz hat in diesem Zusammenhang ausdrücklich darauf hingewiesen, dass man mittelfristig auf Unternehmen zugehen würde, um von diesen Nachweise für die Einhaltung der Datensicherheit zu erhalten.
Die Anwaltschaft ist uneins, welche Vorkehrungen zur Gewährleistung des Datenschutzes bei Datenübertragungen in die USA notwendig sind. Teils wird (wie auch von Webdesignern/IT-Supportern) im wirtschaftlichen Interesse die Einholung einer (weiteren) Einwilligung über ein sog. Cookie-Banner für ausreichend erachtet. Eine solche Einwilligung bezöge sich dann darauf, die betroffene Person (also jene, die die Website nutzt) darin einwilligt, dass ihre personenbezogenen Daten z.B. über Google Analytics (auch) in die USA, in denen kein hinreichendes Datenschutzniveau besteht, transferiert werden.
Die Einwilligungs-Lösung wird jedoch überwiegend – meines Erachtens zu Recht – abgelehnt, da die DSGVO in Art. 49 DSGVO schon ausweislich der Überschrift (Ausnahmen für bestimmte Fälle) eine Einwilligung lediglich für einzelne Fälle als zulässig ansieht. An die Informationen bei der Einholung einer solchen Einwilligung stellt Art. 49 Abs. 1 lit. a DSGVO hohe Anforderungen. Vor allem muss die betroffene Person über den konkreten Zweck der Datenübertragung in das Drittland (hier die USA) in verständlicher Form informiert werden. Da Google auch seinen Vertragspartnern nicht offenbart, für welche Zwecke die generierten Daten verwendet werden, scheitert die Einholung der Einwilligung bereits daran. Aber auch die notwendigerweise zu erfolgende Information über die mit der Datenübertragung infolge des fehlenden Datenschutzniveaus verbundenen möglichen Risiken wird schwierig, wenn nicht unmöglich sein.
Da bei dem Einsatz von Analytic-/Remarketing und ähnlichen Tools auf einer Website der Massenverkehr betroffen ist, greift die nur auf eine „begrenzte Zahl von betroffenen Personen“ in Art. 49 Abs. 2 DSGVO vorgesehene Ausnahme ebenfalls nicht.
Zwischenfazit:
Der Einsatz der Analyse- und Trackingtools von Google & Co, aber auch von weiteren von US-Unternehmen angebotenen Diensten (wie z.B. Facebook einschl. WhatsApp) stellt einen Verstoß gegen die DSGVO dar. Dieser kann von den Aufsichtsbehörden mit Bußgeldern belegt werden. Zudem macht sich das Unternehmen seinen Websitenutzer*innen gegenüber schadensersatzpflichtig! Allein die Frage der Abmahnbarkeit durch Mitbewerber ist noch nicht abschließend geklärt.
Die Aufsichtsbehörden mögen derzeit noch etwas schwerfällig agieren und außerdem vor allem größere Unternehmen ins Visier ihrer Tätigkeiten nehmen. Bei konkreten Beschwerden betroffener Personen müssen die Aufsichtsbehörden aber auch diesen zeitnah nachgehen – ungeachtet der Größe des jeweils angezeigten Unternehmens.
Und hierin liegt dann wohl auch das größere Risiko, dass nämlich private Personen (Kunden, ehemalige Mitarbeiter*innen) bei einer unrechtmäßigen Nutzung gegen das jeweilige Unternehmen vorgehen können, und zwar nicht nur mittels einer Beschwerde bei der Aufsichtsbehörde, sondern auch im Rahmen einer Unterlassungs- und Schadensersatzklage.
Herr Schrems (der Kläger in dem EuGH-Verfahren) hat (über die NGO NOYB) bereits Beschwerden gegen 101 Unternehmen bei den jeweils zuständigen Aufsichtsbehörden eingelegt.
https://noyb.eu/de/101-beschwerden-zu-eu-us-transfers-eingereicht
FAZIT:
Meine Empfehlung lautet daher:
- Verzichten Sie bis auf Weiteres auf den Einsatz der o.g. Tools – erst recht, wenn Sie diese Dienstleistungen ohnehin nicht auswerten/verwerten.
- Klären Sie, über welchen Server/Serverstandort Ihre Daten verarbeitet werden.
- Klären Sie mit Ihrem IT-Support/Webdesignern, welche alternativen Möglichkeiten es gibt:
- Als Alternative zu Google Analytics kommt z.B. Matomo (ehemals Piwik) in Betracht; Matomo kann auf dem eigenen Server installiert werden oder auf bei einem Auftragsverarbeiter/Host mit Sitz in der EU;
- Anstelle von WhatsApp bietet Threema (https://threema.ch/de) eine gute Alternative, die einige von Ihnen erfreulicherweise bereits nutzen.
- Denken Sie daran, dass die Datenschutzerklärung auf Ihrer Website (sofern Sie Google & Co. bislang verwendet haben) entsprechend der vorgenommenen Änderungen angepasst werden muss.
Haben SIe Fragen oder benötigen SIe Unterstützung, melden Sie sich gern bei mir.