US-Cookies illegal?
Die Luxemburger Richter erklärten das EU-US Privacy Shield Deal letzten Donnerstag für ungültig (Europäischer Gerichtshof, Urt. v. 16.07.2020, Az. C-311/18). Grund: Die Datenschutzgarantien der USA genügen den Ansprüchen der Europäischen Union nicht. Nun ist unklar, wie Daten von EU-Bürgern z. B. auch durch sog. Third Party Cookies, beim Transfer in die USA geschützt werden sollen. Anlass für diese Entscheidung war die Klage des österreichischen Datenschutzaktivisten Max Schrems, es ist bereits die zweite Vereinbarung zum transatlantischen Datenschutz, die das Gericht nach dessen Klage gekippt hat.
Der europäische Datenschutz erlaubt den Transfer von Daten in die U.S.A nur, wenn die Daten dort ebenfalls gut geschützt sind. Für die USA hat der EuGH nun geurteilt: Die Überwachungsgesetze der USA seien zu schrankenlos, der Rechtsschutz EU-Bürger werde nicht gewährleistet.
Und was nun?
Wer den Datentransfer aus der EU nun an Google, Facebook & Co rechtfertigen will, etwa beim Einsatz von Third Party Cookies auf seinen Webseiten, wird sich nach Lösungen umsehen müssen. Selbstständige müssen nunmehr Datenverarbeitungen im elektronischen Geschäftsverkehr einschließlich ihrer Webseiten und Datenschutzerklärungen überprüfen und ggf. überarbeiten. Denn Privacy Shield garantiert nicht mehr den Datenschutz in den USA und kann auch daher nicht mehr als Rechtfertigung für die Übertragung etwa in der Datenschutzerklärung herangezogen werden. Im Gegenteil, wer personenbezogene Daten künftig in die USA ohne Rechtsgrundlage übermittelt, handelt sogar rechtswidrig und läuft Gefahr von den Datenschutzbehörden abgemahnt zu werden. Es drohen im schlimmsten Fall Bußgelder in Höhe von bis zu 20 Millionen Euro oder – noch gravierender – bis zu vier Prozent des weltweiten Jahresumsatzes eines Unternehmens.. Denn bei der Datenübertragung personenbezogener Daten von EU-Bürgern auf Servern der US-Techkonzerne wie Google & Co. dürfen Selbstständige nicht mehr auf die Zertifizierung nach Privacy Shield vertrauen.
Was ist die Lösung?
Als Alternative zum Privacy Shield kann der Datenaustausch aber meist auf Grundlage sogenannter EU-Standardvertragsklauseln geschehen, die Garantien dafür bieten, dass es bei der Übermittlung ins Ausland angemessenen Schutz für die Daten von EU-Bürgern gibt. Das Gericht erklärte Standardvertragsklauseln auch grundsätzlich für zulässig und weiter anwendbar. Ob das im Einzelfall der Datenschutzgarantie im Sinne der DSGVO genügt, werden die Datenschutzbehörden im Zweifel beurteilen müssen.
