Der Euro­päi­sche Gerichts­hof hat ent­schie­den, dass Pri­va­cy Shield gegen die Daten­schutz­grund­ver­ord­nung ver­stößt. Was bedeu­tet das für Selbst­stän­di­ge, ihre Web­sei­ten, ihre US Tools und die Coo­kies?

Sind meine Webseiten nun illegal?

Eigent­lich ja.  Die Ber­li­ner Beauf­trag­te für Daten­schutz und Infor­ma­ti­ons­frei­heit for­dert sogar schon expli­zit sämt­li­che ihrer Auf­sicht unter­lie­gen­den Web­sei­ten­be­trei­ber auf, umge­hend zu Dienst­leis­tern in der Euro­päi­schen Uni­on oder in einem Land mit ange­mes­se­nem Daten­schutz­ni­veau zu wech­seln und droht andern­falls mit teue­ren Abmah­nun­gen. 

Wenn wir über Daten­schutz hier in Euro­pa spre­chen, dann spre­chen wir über das welt­weit größ­tes Regel­werk in einem Bin­nen­markt und das ist die Daten­schutz­grund­ver­ord­nung. Das heißt jede kom­mer­zi­el­le und gewerb­li­che Daten­ver­ar­bei­tung in der EU unter­liegt der DSGVO, ein­schließ­lich dem kom­mer­zi­el­len Daten­trans­fer, der Daten­über­mitt­lung aus der EU in ein Dritt­land. D.h. der Daten­trans­fer von Daten der EU Nut­zer auf dei­ner Web­sei­te oder sons­ti­gen Online Prä­senz ist nur erlaubt, wenn der Daten­schutz in dem Dritt­land den (recht­li­chen) Stel­len­wert wie in Euro­pa hat. 

Die Fra­ge, ob man einen aus­län­di­schen Anbie­ter kom­mer­zi­ell nut­zen darf, hängt also von der Fra­ge ab, ob die Daten im Aus­land auch so gut geschützt sind wie bei uns.  Das ist z.B. etwa für die Schweiz, Kana­da oder Neu­see­land aner­kannt, für die­se Län­der hat die EU Kom­mis­si­on sog. Ange­mes­sen­heits­be­schlüs­se erlas­sen, die den Daten­schutz sol­chen inner­halb der EU gleich­ge­stellt hat und damit dür­fen per­sön­li­che Daten ohne wei­te­re Geneh­mi­gung an das jewei­li­ge Land über­mit­telt wer­den. 

Exis­tiert kein Ange­mes­sen­heits­be­schluss, dann kann der Export dei­ner Daten z.B. in die USA  durch Ver­trag erlaubt wer­den. Die­ser Ver­trag muss aller­dings die sog. Stan­dard­ver­trags­klau­seln beinhal­ten. Die­se gehen zurück auf einen Beschluss der EU-Kom­mis­si­on. Danach kannst Du mit Dei­nem Anbie­ter in den USA einen Ver­trag nach den Stan­dard­ver­trags­klau­seln für die Über­mitt­lung per­so­nen­be­zo­ge­ner Daten an Auf­trags­ver­ar­bei­ter abschlies­sen. Der Text fin­det sich in dem Beschluss und darf nicht wesent­lich ver­än­dert wer­den. Der Ver­trag kann auch elek­tro­nisch, also in einer dau­er­haft spei­cher­ba­ren Form abge­schlos­sen wer­den. Ist der Ver­trag ver­bind­lich abge­schlos­sen, ist die Wei­ter­ga­be von Daten an die­sen Anbie­ter zuläs­sig, auch wenn er in einem nicht siche­ren Dritt­land ansäs­sig ist. Die Ver­wen­dung von Stan­dard­ver­trags­klau­seln ist gera­de für Selbst­stän­di­ge eine ein­fa­che Mög­lich­keit bei der Über­mitt­lung per­so­nen­be­zo­ge­ner Daten in Dritt­län­der, daten­schutz­kon­form zu han­deln. 

Um den Export von Daten spe­zi­ell für die Diens­te der gro­ßen US ame­ri­ka­ni­schen Digi­tal Kon­zer­ne ( wie Goog­le, Face­book und Ama­zon) in die USA zu ermög­li­chen, erließ die Kom­mis­si­on 2015 einen Beschluss der die Zer­ti­fi­zie­rung nach Pri­va­cy Shield als gleich­wer­ti­ge Rechts­grund­la­ge für den Daten­schutz in den USA aner­kann­te.

Nach dem Ende von Pri­va­cy Shield durch jüngs­tes Urteil des EuGH gibt es aber z.Zt kei­ne Ent­schei­dung der EU Kom­mis­si­on mehr, die den Umgang mit EU Daten der Digi­tal­kon­zer­ne in den USA als gleich­wer­tig aner­kennt. Damit herrscht Unsi­cher­heit bei Selbst­stän­di­gen, ob . Daten, Namen, E‑Mails und Bil­der wei­ter über den Atlan­tik flie­ßen dür­fen. Wenn nicht, wür­de das die Arbeit bei vie­len Selbst­stän­di­gen zum größ­ten Teil zum Erlie­gen brin­gen

Wenn weder Ange­mes­sen­heits­be­schluss noch Stan­dard­ver­trags­klau­seln grei­fen, dann kann als Aus­nah­me­lö­sung eine Daten­über­mitt­lung im Wege einer Ein­wil­li­gung zuläs­sig sein, einer der gesetz­li­chen Aus­nah­men die die DSGVO erlaubt. (Art. 49 DSGVO). Du kannst von dem Betrof­fe­nen eine Ein­wil­li­gung in die Wei­ter­ga­be ein­ho­len, musst aber vor­ab dar­über auf­klä­ren, dass die Daten in ein unsi­che­res Dritt­land expor­tiert wer­den, indem die Daten eben nicht so geschützt sind wie in Euro­pa. Außer­dem genügt hier ein ein­fa­ches Opt-in wie der­zeit in vie­len Coo­kie Ban­ner vor­han­den, nicht.

Darf ich nun US-Anbieter verwenden?

Die­se Fra­ge kann der­zeit am bes­ten mit “kommt dar­auf an”  beant­wor­tet wer­den.  Einer­seits haben sich US-Anbie­ter in der Regel nach den DSGVO Regeln ver­pflich­tet und sogar unter die Auf­sicht ihres US Tra­de Com­mis­si­on zur Ein­hal­tung (von EU-) Daten­schutz­re­geln gestellt (in Kali­for­ni­en, der Sitz der Digi­tal­kon­zer­ne Goog­le und Face­book,  sind mit dem Cali­for­nia Con­su­mer Pri­va­cy Act sogar Geset­ze und Vor­schrif­ten nach Vor­bild der DSGVO in Kraft), ande­rer­seits schei­tern der EU-US Daten­schutz­ab­kom­men jedes Mal am Euro­päi­schen Gerichts­hof.

Safe Har­bour

Safe Har­bour war der ers­te Ver­such einer Anglei­chung und Umset­zung der Daten­schutz­re­geln für EU Bür­ger zwi­schen der EU und den USA. Da der Export außer­halb der EU nur zuläs­sig ist, wenn die EU-Kom­mis­si­on den Daten­schutz eines Dritt­staa­tes mit dem in der EU gleich­stellt, erließ die Kom­mis­si­on im Jahr 2000 zunächst die Safe Har­bour Ent­schei­dung, wonach das Daten­schutz­ni­veau in den USA als gleich­ge­stellt aner­kannt wur­de.  Infol­ge der Snow­den Ent­hül­lun­gen 2015, dass EU-Daten in den USA vor Geheim­diens­ten nicht sicher sei­en, klag­te der öster­rei­chi­sche Daten­schutz Akti­vist Max Schrems dage­gen. Er ver­lang­te, dass das Gericht Face­book ver­bie­tet, sei­ne per­sön­li­chen Daten von Ser­vern aus der EU in die USA zu über­mit­teln und bekam 2015 von dem EuGH recht. Das ers­te Urteil über die Kla­ge des Max Schrems (Schrems I) stell­te damit schon den Daten­aus­tausch mit den USA in Fra­ge. Kon­se­quenz war, dass fak­tisch damit alle EU-Web­sites mit US-Anwen­dun­gen rechts­wid­rig waren. Nach dem ers­ten Urteil im Jahr 2015 gab es aller­dings 10 Tage nach dem Urteils­spruch, eine gewis­se Ent­war­nung. Online Busi­nes­ses wur­de eine Schon­frist gewährt, will hei­ßen Selbst­stän­di­ge waren nach dem ers­ten Urteils­spruch des EuGH 2015/16 noch vor recht­li­chen Kon­se­quen­zen geschützt und konn­ten die poli­ti­sche Situa­ti­on und die Rechts­ent­wick­lun­gen erst­mal in Ruhe abwar­ten. 

EU- US Pri­va­cy Shield

Mit Ange­mes­sen­heits­be­schluss der Euro­päi­schen Kom­mis­si­on (2016/1250) vom 12. Juli 2016 über den sog. EU‑U.S. Pri­va­cy Shield bestand vom August 2016 — Juli 2020 eine Grund­la­ge für Daten­über­mitt­lun­gen in die USA. Damit wur­de die Lücke, die durch die Nich­tig­erklä­rung der Safe Har­bor Ent­schei­dung durch den EuGH (Urteil vom 06. Okto­ber 2015 in der Rechts­sa­che C‑362/14; sog. Schrems I) ent­stan­den war, geschlos­sen. Damit waren Daten­trans­fers auf der Grund­la­ge des EU‑U.S. Pri­va­cy Shiel­ds zuläs­sig, wenn US- Unter­neh­men die Vor­schrif­ten ein­ge­hal­ten und unter privacyshield.gov zer­ti­fi­ziert wur­den. Dann klag­te der Öster­rei­cher Max Schrems aber erneut – dies­mal gegen die Stan­dard­ver­trags­klau­seln der EU und dem zwi­schen­zeit­lich neu­en Pri­va­cy Shield.  Und wie­der gab ihm der EuGH recht. Mit Urteil vom 16. Juli 2020 hat der EuGH auch das Pri­va­cy Shield für rechts­wid­rig und damit unwirk­sam erklärt . (Rechts­sa­che C‑311/18; sog. Schrems II, Urteil Voll­text  und Pres­se­er­klä­rung des EUGH). Dar­in wur­de u.a. auch ange­grif­fen, dass die für Pri­va­cy Shield ernann­te Ombuds­per­son kein unab­hän­gi­ges Organ sei, son­dern eine poli­ti­sche Insti­tu­ti­on und dem­nach die dar­un­ter ernann­te Ombuds­per­son kei­nen nach der DSGVO ordent­li­chen Rechts­weg für die Betrof­fe­nen, deren Daten in die Ver­ei­nig­ten Staa­ten über­mit­telt wer­den, eröff­ne. Selbst­stän­di­ge und Auf­trags­ver­ar­bei­ter sind trotz (noch) akti­ver Zer­ti­fi­zie­rung unter Pri­va­cy Schild nicht von der Ver­pflich­tung ent­bun­den, sämt­li­che Vor­aus­set­zun­gen an eine recht­mä­ßi­ge Daten­ver­ar­bei­tung, die sich aus den gel­ten­den Daten­schutz­ge­set­zen erge­ben (wie etwa die Erfor­der­nis, eine vali­de Rechts­grund­la­ge im Sin­ne der DSGVO zu haben und abzu­schlie­ßen), zu erfül­len!

Und was heißt das jetzt?

  • Pri­va­cy Shield ungül­tig

Juris­tisch bedeu­tet das, es gibt kei­ne Ent­schei­dung der Kom­mis­si­on mehr, die aner­kennt, dass der Daten­schutz in den USA mit dem in Euro­pa gleich­wer­tig ist. Damit darfst auch Du eigent­lich (ohne wei­te­re Vor­aus­set­zun­gen) kei­ne per­so­nen­be­zo­ge­nen Daten von EU-Bür­gern mehr in die USA expor­tie­ren! Das betrifft jeden US-Dienst, den Du  in Dei­nem Busi­ness nutzt, wie z.B.  Goog­le Ana­ly­tics, Face­book, Insta­gram, Twit­ter, Lin­kedIn, Zoom, MS Office, MS Teams, Mail­chimp, Acti­ve Cam­pai­gn, Calend­ly, You­Tube, Ama­zon Webservices,um nur ein paar zu nen­nen, die Lis­te lässt sich da belie­big fort­set­zen.

  • DSGVO anwend­bar im Ver­hält­nis EU Busi­ness- US Busi­ness

Ein Daten­trans­fer in die USA zu gewerb­li­chen bzw. kom­mer­zi­el­len Zwe­cken durch einen in der EU ansäs­si­gen (selbst­stän­di­gen) Unter­neh­mer an einen ande­ren, in einem Dritt­land ansäs­si­ges Unter­neh­men unter­liegt den Geset­zen der DSGVO. Die Daten­schutz­grund­ver­ord­nung ist, unge­ach­tet des­sen anwend­bar, ob die Daten bei ihrer Über­mitt­lung zunächst bei­spiels­wei­se in Irland bei einem US Anbie­ter mit Sitz in Irland oder auf EU Ser­vern in Irland (wie bei Face­book und Goog­le der Fall) lie­gen und erst im Anschluss dar­an von den Behör­den des betref­fen­den Dritt­lands für Zwe­cke der öffent­li­chen Sicher­heit, der Lan­des­ver­tei­di­gung und der Sicher­heit des Staa­tes in den USA auf den Ser­vern der jewei­li­gen Mut­ter­ge­sell­schaft ver­ar­bei­tet wer­den kön­nen. Theo­re­tisch könn­te zwar mit der Daten­ver­ar­bei­tung in Irland auf iri­schen Ser­vern,  ein Export der Daten ver­mie­den sein, vie­le US-Inter­net-Kon­zer­ne haben ja Ihre iri­schen Toch­ter­ge­sell­schaf­ten zum Daten­ver­ar­bei­ter in der EU bestimmt. Pro­blem ist nur, ob die Daten beim US-Diens­te­an­bie­ter tat­säch­lich auch in Irland ver­blei­ben. Aber selbst wenn nicht, fin­den die Schutz­re­geln der DSGVO wei­ter Anwen­dung.

  • Daten­schutz muss gleich­wer­tig sein

D.h., die per­so­nen­be­zo­ge­nen Daten von EU-Bür­gern dür­fen nur in die USA expor­tiert wer­den, wenn der Daten­schutz in den USA mit dem in Euro­pa gleich­wer­tig ist. Wer­den per­so­nen­be­zo­ge­ne Daten aus der EU her­aus in ein Dritt­land über­mit­telt, muss also zunächst geprüft wer­den, ob der Daten­schutz in dem Dritt­land nach der DSGVO gleich­wer­tig ist.  Der Schutz von Daten ist nach hie­si­gen Maß­stä­ben unzu­rei­chend, wenn US-Behör­den, ins­be­son­de­re Geheim­diens­te, die per­so­nen­be­zo­ge­nen Daten von US-Anbie­tern her­aus ver­lan­gen kön­nen und Rechts­mit­tel dage­gen nicht mög­lich sind. Damit ist die ent­schei­den­de Vor­aus­set­zung für einen Daten­ex­port in die USA, näm­lich gleich­wer­ti­ger Daten­schutz, grund­sätz­lich erst ein­mal nicht gege­ben.

  • Daten­trans­fer nach Stan­dard­ver­trags­klau­seln wei­ter­hin erlaubt

Der EuGH hält den Weg über die Stan­dard­ver­trags­klau­seln für einen Daten­ex­port wei­ter für zuläs­sig. Damit kannst Du Daten z.B. in die USA wei­ter über­tra­gen, wenn Du mit dem Anbie­ter die Stan­dard­ver­trags­klau­seln ver­ein­bart hast. Z.B. Goog­le hat sei­ne Ver­trags­part­ner infor­miert, ab sofort die Stan­dard­ver­trags­klau­seln zu benut­zen. Stan­dard­ver­trags­klau­seln sind aber nicht ganz unstrit­tig, denn der EuGH hat in der Schrems II Ent­schei­dung zwar bestä­tigt, dass die Stan­dard­ver­trags­klau­seln wei­ter­hin zuläs­sig sind,  gleich­zei­tig aber auch gesagt, dass die Daten­schutz­be­hör­den, jeweils zu prü­fen haben, ob die Klau­seln in dem Ziel­land über­haupt wir­ken kön­nen. Wenn in dem ande­ren Land tat­säch­lich aber kein gleich­wer­ti­ges Daten­schutz­ni­veau besteht und der Emp­fän­ger der Daten (z.B. von US-Behör­den) gezwun­gen wer­den kann, die Daten ohne beson­de­ren Anlass oder Prü­fung her­aus­zu­ge­ben, könn­te unter­des­sen auch ein DSGVO Stan­dard­ver­trag nicht wei­ter­hel­fen. Zudem gibt es für den Betrei­ber der Web­site, der die Daten von Nut­zern sam­melt, recht umfang­rei­che Prü­fungs­pflich­ten bei Nut­zung der EU-Stan­dard­ver­trags­klau­seln. Du musst Dich ggf. in Abstim­mung mit dem Emp­fän­ger der Daten (das US Unter­neh­men) ver­ge­wis­sern, dass des­sen Rechts­ord­nung auch ermög­licht, den Ver­trag mit den Stan­dard­ver­trags­klau­seln ein­zu­hal­ten.  Soll hei­ßen: Du musst prü­fen, ob das US Unter­neh­men einem Recht unter­liegt, in dem die Daten anlass­los für Über­wa­chung und Pro­filng her­aus ver­langt wer­den. Das war jedoch gera­de Gegen­stand von Snow­dens Ent­hül­lun­gen und vor allem auch des EuGH Urteils. Von daher dürf­te es recht schwer zu argu­men­tie­ren sein, die Stan­dard­ver­trags­klau­seln wür­den Dei­nen Daten hin­rei­chen­den Schutz gewäh­ren. Für die USA ist ein Daten­ex­port über die Stan­dard­ver­trags­klau­seln aber so lan­ge zuläs­sig, bis die­ser Weg für ungül­tig erklärt wird. Von daher sind die Stan­dard­ver­trags­klau­seln ein ers­ter Schritt, um dei­ne Web­sei­ten abmahn- und rechts­si­cher zu machen. 

  • Aus­set­zung oder Ein­stel­lung des Daten­trans­fers

Letz­te und schließ­li­che Erkennt­nis aus dem Urteil ist, dass eine Aus­set­zung oder sogar Ein­stel­lung des Daten­trans­fers zu erfol­gen hat, wenn der Daten­schutz nach DSGVO im Dritt­land nicht gewähr­leis­tet wird oder auf­grund der Rechts­ord­nung abseh­bar ist, dass es nicht gewähr­leis­tet wer­den kann. Dann dür­fen bei­de Par­tei­en, also sowohl Anbie­ter als auch der Kun­de ( also Du)  ihren Daten­ver­kehr auch nicht mehr auf Stan­dard­ver­trags­klau­seln stüt­zen. Der Euro­päi­sche Daten­schutz­aus­schuss hat als Fol­ge des EUGH Urteils recht klar gemacht, dass eine Über­tra­gung in die USA auch nach den Stan­dard­ver­trags­klau­seln nur von Fall zu Fall mög­lich sein wird, wenn die Prü­fung ergibt, dass die daten­schutz­recht­li­chen Garan­tien die in den Ver­trags­klau­seln ent­hal­ten sind,  nicht beein­träch­tigt sind. Ggf. muss sich der Selbst­stän­di­ge bei der Daten­schutz­be­hör­de mel­den und anfra­gen, ob er in sei­nem Fall noch Stan­dard­ver­trags­klau­seln ein­set­zen darf.

Kann ich nicht einfach ein Opt-in verwenden?

Ja, aber… ist hier die Ant­wort. Du kannst die Daten Dei­ner Nut­zer und Kun­den in die USA expor­tie­ren, wenn Du Dei­nen Nut­zer in die Über­mitt­lung sei­ner Daten in die USA ein­wil­li­gen lässt. Die Ein­wil­li­gung wür­de den rechts­si­che­ren Daten­ex­port auch für die Zukunft absi­chern, solan­ge bis der Betrof­fe­ne sei­ne Zustim­mung nicht wider­ruft. Und genau dar­in liegt auch zugleich der Nach­teil. Du bist abhän­gig von dem Nut­zer und sei­nem Zustim­mungs­be­dürf­nis und sei­nem Zustim­mungs­wil­len. Eine Ein­wil­li­gung im recht­li­chen Sin­ne muss immer expli­zit, spe­zi­fisch und infor­miert erfol­gen. Das heißt, eine Ein­wil­li­gung im recht­li­chen Sin­ne erfor­dert mehr Auf­klä­rungs­text und ins­be­son­de­re auch eine (Sicher­heits-) War­nung vor dem Daten­ex­port in das Dritt­land. 

Coo­kie Ban­ner Opt-in:

Ein ein­fa­ches ” Ich bin mit der Daten­über­tra­gung ein­ver­stan­den” geht lei­der nicht. Von daher ist bei dem Coo­kie Opt-in für jeden ein­zel­nen Anbie­ter eine Auf­klä­rung zu machen und ein War­nung über die unsi­che­re Daten­über­tra­gung aus­zu­spre­chen. Das kos­tet viel Auf­wand und wird auch wenig ziel­füh­rend sein. 

News­let­ter

Mög­lich wäre für Dei­nen News­let­ter Anbie­ter, eine Ein­wil­li­gung ein­zu­bin­den. Dein US- Anbie­ter wird ja ohne­hin ein dou­ble Opt-in ver­schi­cken. Aber auch hier ist es schwie­rig die­se Ein­wil­li­gung für bestehen­de Kon­tak­te nach­träg­lich ein­zu­ho­len.

Zwei Klick Lösun­gen 

Wer Social Share But­tons mit Zwei Klick Lösun­gen auf sei­ner Web­sei­te ver­wen­det, der kann  rela­tiv leicht auch eine Ein­wil­li­gung für den Daten­trans­fer in die USA ver­lan­gen . Im Zwei­fel wer­den aber vie­le dem Zwei Klick Link nicht fol­gen und die Ein­wil­li­gung damit ver­wei­gern. Aber das bedeu­tet dann nur, dass die Ein­wil­li­gung nur für die­sen Link ver­wei­gert wird und nicht die gan­ze Web­site von der ver­wei­ger­ten Ein­wil­li­gung betrof­fen ist.

Recht­scheck

Du möch­test sicher­ge­hen, dass du alles rich­tig über­nom­men und nichts über­se­hen hast in dei­ner Daten­schutz­er­klä­rung? Im Rah­men mei­nes Recht­schecks über­neh­me ich die letz­te Prü­fung dei­ner Daten­schutz­er­klä­rung und stel­le sicher, dass du alle Neue­run­gen rechts­si­cher umge­setzt hast! Zum Recht­scheck geht es hier: https://sw2legal.de/rechtscheck

Online­kurs

Als Ergän­zung für Selbst­stän­di­ge emp­feh­le ich mei­nen Online­kurs für alle Selbst­stän­di­gen auf Insta­gram! Gemein­sam machen wir dei­nen Account und dei­ne Web­sei­te rechts­si­cher und fokus­sie­ren uns auf die Grund­stei­ne jedes Online Busi­ness: Impres­sum, Daten­schutz und Coo­kies. Rechts­si­cher auf Insta­gram Impres­sum und Daten­schutz. Du hast jetzt noch ganz vie­le Fra­gen offen? Kein Pro­blem, das erklä­re ich dir aus­führ­lich! Im Kurs lernst du Schritt für Schritt, wor­auf du beim Impres­sum, Daten­schutz und Coo­kies ach­ten soll­test. Den Link zum Kurs fin­dest du über mei­nen Insta­gram Kanal unter „Online Work­shop“. https://sw2legal.de/online_workshop

Blei­be auf dem Lau­fen­den

Für Dich kommt es jetzt vor allem dar­auf an, dass Du auf dem Lau­fen­den bleibst, damit Du mög­li­che Gefah­ren erkennst und zeit­nah Dei­ne Lösung fin­dest. Abon­nie­re hier gern einer unse­rer Social Media Kanä­le, ins­be­son­de­re den Ins­ta Kanal @nathalie.salibianwaltz, den soll­test auf jeden Fall in dei­nem Port­fo­lio haben! Dann infor­mie­ren wir Dich über neue Rechts­ent­wick­lun­gen im Zusam­men­hang mit dei­nem Online Busi­ness.