Neues EuGH Urteil zum Privacy Shield zwischen USA und EU

Ein neues Urteil des europäischen Gerichtshof (EuGH) vom 16.07.2020 steht aktuell in der Diskussion. Das Privacy Shield, welches als ungültig erklärt wurde, betrifft europäische Webseiten- und Online-Shop-Betreiber, die Dienste US-amerikanischer Unternehmen nutzen. In diesem Artikel erfahren Sie, was das Privacy Shield ist und was dessen Ungültigkeit nun bedeutet.

 

Was ist das Privacy Shield?

Die Rechtsgrundlage zur Verarbeitung personenbezogener Daten

Die Rechtsgrundlage für die Verarbeitung personenbezogener Daten ist die Datenschutzgrundverordnung (DSGVO Art. 6 Abs. 1). Laut DSGVO bedarf jede Webseite sowohl einer Datenschutzerklärung, die über die Verarbeitung und Speicherung von Daten informiert auf der einen Seite und eines Cookie Banners auf der anderen Seite, über den sich Webseitenbetreiber beim ersten Aufruf ihrer Seite die Einwilligung zur Nutzung bestimmter Cookies beim Webseitenbesucher einholen müssen. Informieren und Einwilligung (Opt-in) holen sind zwei entscheidende Grundlagen für die Datenschutzkonformität einer Webseite. Bei Onlineshops beispielsweise zusätzlich die Erfüllung vertraglicher Verpflichtungen. 

Das Problem: Die DSGVO ist ein EU-Abkommen und somit auch nur für EU-Mitgliedsstaaten verpflichtend. Für Drittländer, also Nicht-EU-Staaten wie die USA, gibt es sogenannte Angemessenheitsbeschlüsse wie das Privacy Shield.

Angemessenheitsbeschlüsse mit Drittländern 

Für die Verarbeitung personenbezogener Daten in Drittländern gibt es zusätzliche Rechtsgrundlagen, sogenannte Angemessenheitsbeschlüsse (Art. 44 ff. DSGVO).  

Für Webseitenbetreiber sind die Angemessenheitsbeschlüsse der Europäischen Kommission besonders wichtig (nach Art. 45 DSGVO). Darin wird beschlossen, dass ein bestimmtes Drittland über ein angemessenes Datenschutzniveau verfügt und personenbezogene Daten übermittelt werden dürfen. 

 

Das US-Privacy Shield

Das Privacy Shield war ein solcher Angemessenheitsbeschluss der Europäischen Kommission in Bezug auf die Datenübermittlung in die USA vom Juli 2016. Zuvor galt das Safe Harbor Abkommen, welches durch das Privacy Shield abgelöst wurde. Das Privacy Shield ermöglicht US-Unternehmen die Verarbeitung personenbezogener Daten aus der EU, indem es sich zur Einhaltung eines bestimmten Datenschutzniveaus freiwillig verpflichtet. Sofern Unternehmen dieses Datenschutzniveau vorweisen können, dürfen diesen Daten aus der EU übermittelt werden. 

 

Das Privacy Shield Urteil des EuGH

Warum ist das Privacy Shield nun ungültig? 

Zu dem Urteil des EuGH geführt, hat ein Vorabentscheidungsersuchen des Irischen High Court an den EuGH und dem zugrundeliegenden Verfahren des österreichischen Datenschutzaktivisten Maximilian Schrems gegen Facebook Ireland Ltd.. In seiner Klage beruft sich Schrems z.B. auf Section 702 des Foreign Intelligence Surveillance Acts (FISA 702). Dieser erlaubt Datenzugriffe bei elektronischen Kommunikationsdiensten bei Nicht-US-Bürgern auch ohne einen gerichtlichen Beschluss und Rechtsschutz. Das EuGH hat aufgrund dessen beschlossen, dass die Voraussetzungen für das Privacy Shield, sprich für die angemessene Datenverarbeitung nicht mehr vorliegt und somit die Grundrechte der EU-Bürger auf Privatleben, Datenschutz und auf einen wirksamen Rechtsbehelf verletzt werden. 

Folgen für Webseiten-Betreiber

Betroffen sind alle Webseiten, die mindestens einen Dienst eines US-amerikanischen Unternehmens eingebunden haben. Dies betrifft aber nicht nur US-amerikanische Unternehmen, sondern auch europäische Tochtergesellschaften (wie Facebook Ireland Ltd. oder Google Ireland Ltd.), die ihre Muttergesellschaft in den USA haben. Da fast alle Webseiten mindestens ein Social Media oder Google Plugin eingebunden haben, müssen diese nun einige Anpassungen vornehmen, um wieder datenschutzkonform zu werden. 

Von Privacy Shield betroffene Dienste

Von dem Privacy Shield sind viele Dienste betroffen, die auf den meisten Webseiten zu finden sind. Ist eines davon auch auf Ihrer Homepage eingebunden, müssen Sie jetzt handeln.

  • Google Analytics 
  • Social Plugins
  • Einbettung von Videos
  • Google Maps, Apple Maps, OpenStreet Map etc.
  • Newsletter Anbieter Mailchimp
  • Externe Schriftarten, Skriptbibliotheken und Drittinhalte

Was Webseitenbetreiber in Bezug auf das EuGH Urteil tun müssen

Webseiten- und Onlineshop-Betreiber haben verschiedene Möglichkeiten das Problem des fehlenden Privacy Shields zu lösen. Sie sollten zunächst überprüfen, welche der oben genannten Tools und Plug-ins auf ihrer Webseite genutzt werden und dann überlegen, welche alternative Rechtsgrundlage für die Datenübermittlung in Frage kommt. 

Da die Rechtsgrundlage des Privacy Shields nicht mehr gültig ist, müssen wir nun zulässige Alternativen suchen. 

Eine Möglichkeit zur Risikominderung ist der Abschluss von Standardvertragsklauseln. Dies wäre eine Übergangslösung, für alle, die abwarten möchten, welche neuen Abkommen/Regelungen getroffen werden. Sofern US-Unternehmen Standardvertragskauseln anbieten, können Sie sich darauf berufen, dass diese noch in Kraft sind, solange sie nicht von einem Gericht für unwirksam erklärt wurden. Allerdings müssten durch das EuGH-Urteil zum Privacy Shield unserer Einschätzung nach auch Standardvertragsklauseln betroffen sein. Daher raten wir davon ab, sich darauf zu berufen. 

Aufgrund der unsicheren Gesetzeslage empfehlen wir die folgenden Schritte: 

  • Auf EU Server ausweichen 

Einige US-Unternehmen wie beispielsweise Amazon Web Services oder Microsoft bieten die Möglichkeit, Daten auf EU-Servern zu speichern. In diesem Fall sollte die Möglichkeit von Webseitenbetreibern wahrgenommen werden. 

  • Keine US-Dienste einsetzen

Eine naheliegende, aber nicht besonders zufriedenstellende Lösung wäre das Deaktivieren aller US-Dienste auf Ihrer Webseite und ggf. das Einsetzen alternativer Anbieter. 

  • Verträge und Datenschutzerklärung anpassen

Definitiv sollten Sie Ihre Verträge und Datenschutzerklärungen im Hinblick auf das EuGH Urteil anpassen. Das bedeutet, sie sollten Hinweise auf das Privacy Shield entfernen und ggf. über das Risiko der Datenübermittlung eingesetzter US-Dienste informieren.

 

Mögliche Lösung: Einwilligung der Nutzer holen (Cookie Banner)

Einwilligung der Betroffenen (Art. 49 Abs. 1 lit a DSGVO)

Wie bereits erwähnt, sind transparente Information und das Einholen von freiwilliger Einwilligung mittels eines Cookie Banners die Grundlage der DSGVO. Entsprechend haben Webseitenbetreiber die Möglichkeit, weiterhin Dienste US-amerikanischer Unternehmen zu nutzen, sofern sie ihre Besucher

über die für [den Nutzer] bestehenden möglichen Risiken derartiger Datenübermittlungen ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien unterrichtet [haben]” und deren ausdrückliche Einwilligung anfragen. 

Die Einwilligung über ein Opt-in / Cookie Banner ist eine mögliche Lösung, die derzeit noch getestet werden muss. Allerdings wird die Wirksamkeit angezweifelt, da das Problem des fehlenden Datenschutzniveaus auch hier nicht gelöst wurde. Solange dies der Fall ist, werden Webseitenbetreiber extrem niedrige Opt-in Raten verzeichnen.

Fazit und Ausblick 

Das Urteil des EuGH hat das Privacy Shield ungültig gemacht und somit viele Webseitenbetreiber vor eine Herausforderung gestellt, mit der sie von der Politik zurzeit allein gelassen werden. 

Eine Möglichkeit ist es nun, das Risiko in Kauf zunehmen und ein neues Abkommen abzuwarten. Ob die US-Regierung sich kooperativ zeigt und den EU-Bürgern einen höheren Rechtsschutz zugesteht, bleibt jedoch noch abzuwarten. Wir empfehlen schnell zu handeln, indem Sie die oben aufgeführten Schritte befolgen, da sonst unangenehme Rechtsfolgen drohen können. Auch wenn deren Rechtmäßigkeit noch geprüft werden muss, sind diese Maßnahmen der beste Schutz, da sonst Bußgelder von bis zu 4% des Unternehmensumsatzes oder Abmahnungsgebühren von bis zu 2.500 Euro entstehen können. 

Sie sollten nun jedoch nicht den Mut verlieren. Der wirtschaftliche sowie der politische Druck ist hoch und verlangt eine schnelle Lösung. Alles, was Sie tun können, ist abwarten und im Sinne der EU-Bürger und der DSGVO handeln.

 

Ihr Ansprechpartner: Jörg ter Beek

Privatsphäre aus Prinzip

Weitere Informationen zu Jörg ter Beek finden Sie auf seinem XING-Profil oder LinkedIn-Profil.

Titelbild Photo by Ferdinand Stohr on Unsplash