Eigentlich ja. Nämlich, dann wenn fortan US-Tools auf ihren Webseiten zur Anwendung kommen. Die Berliner Beauftragte für Datenschutz und Informationsfreiheit forderte jüngst explizit sämtliche Webseiten Betreiber auf, umgehend zu Dienstleistern in der Europäischen Union oder in einem Land mit angemessenem Datenschutzniveau zu wechseln und droht andernfalls mit teueren Abmahnungen.
EuGH: Privacy Shield ungültig (Schrems II)
Der Europäische Gerichtshof hat entschieden, dass Privacy Shield gegen die Datenschutzgrundverordnung verstößt. Was bedeutet das für Selbstständige, ihre Webseiten, ihre US Tools und die Cookies?
Wenn wir über Datenschutz hier in Europa sprechen, dann sprechen wir über das weltweit größtes Regelwerk in einem Binnenmarkt und das ist die Datenschutzgrundverordnung. Das heißt jede kommerzielle und gewerbliche Datenverarbeitung in der EU unterliegt der DSGVO, einschließlich dem kommerziellen Datentransfer, der Datenübermittlung aus der EU in ein Drittland. D.h. der Datentransfer von Daten der EU Nutzer auf deiner Webseite oder sonstigen Online Präsenz ist nur erlaubt, wenn der Datenschutz in dem Drittland den (rechtlichen) Stellenwert wie in Europa hat.
Die Frage, ob man einen ausländischen Anbieter kommerziell nutzen darf, hängt also von der Frage ab, ob die Daten im Ausland auch so gut geschützt sind wie bei uns. Das ist z.B. etwa für die Schweiz, Kanada oder Neuseeland anerkannt, für diese Länder hat die EU Kommission sog. Angemessenheitsbeschlüsse erlassen, die den Datenschutz solchen innerhalb der EU gleichgestellt hat und damit dürfen persönliche Daten ohne weitere Genehmigung an das jeweilige Land übermittelt werden.
Existiert kein Angemessenheitsbeschluss, dann kann der Export deiner Daten z.B. in die USA durch Vertrag erlaubt werden. Dieser Vertrag muss allerdings die sog. Standardvertragsklauseln beinhalten. Diese gehen zurück auf einen Beschluss der EU-Kommission. Danach kannst Du mit Deinem Anbieter in den USA einen Vertrag nach den Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter abschliessen. Der Text findet sich in dem Beschluss und darf nicht wesentlich verändert werden. Der Vertrag kann auch elektronisch, also in einer dauerhaft speicherbaren Form abgeschlossen werden. Ist der Vertrag verbindlich abgeschlossen, ist die Weitergabe von Daten an diesen Anbieter zulässig, auch wenn er in einem nicht sicheren Drittland ansässig ist. Die Verwendung von Standardvertragsklauseln ist gerade für Selbstständige eine einfache Möglichkeit bei der Übermittlung personenbezogener Daten in Drittländer, datenschutzkonform zu handeln.
Um den Export von Daten speziell für die Dienste der großen US amerikanischen Digital Konzerne ( wie Google, Facebook und Amazon) in die USA zu ermöglichen, erließ die Kommission 2015 einen Beschluss der die Zertifizierung nach Privacy Shield als gleichwertige Rechtsgrundlage für den Datenschutz in den USA anerkannte.
Nach dem Ende von Privacy Shield durch jüngstes Urteil des EuGH gibt es aber z.Zt keine Entscheidung der EU Kommission mehr, die den Umgang mit EU Daten der Digitalkonzerne in den USA als gleichwertig anerkennt. Damit herrscht Unsicherheit bei Selbstständigen, ob . Daten, Namen, E-Mails und Bilder weiter über den Atlantik fließen dürfen. Wenn nicht, würde das die Arbeit bei vielen Selbstständigen zum größten Teil zum Erliegen bringen
Wenn weder Angemessenheitsbeschluss noch Standardvertragsklauseln greifen, dann kann als Ausnahmelösung eine Datenübermittlung im Wege einer Einwilligung zulässig sein, einer der gesetzlichen Ausnahmen die die DSGVO erlaubt. (Art. 49 DSGVO). Du kannst von dem Betroffenen eine Einwilligung in die Weitergabe einholen, musst aber vorab darüber aufklären, dass die Daten in ein unsicheres Drittland exportiert werden, indem die Daten eben nicht so geschützt sind wie in Europa. Außerdem genügt hier ein einfaches Opt-in wie derzeit in vielen Cookie Banner vorhanden, nicht.
Silicon Valley ade?
Dürfen Webseitenbetreiber nun nicht mehr US-Tools von US-Unternehmen wie Google, Facebook, Slack, Asana & Co verwenden?
Diese Frage kann derzeit am besten mit „kommt darauf an“ beantwortet werden. Einerseits haben sich US-Anbieter in der Regel nach den DSGVO Regeln verpflichtet und sogar unter die Aufsicht ihres US Trade Commission zur Einhaltung (von EU-) Datenschutzregeln gestellt (in Kalifornien, der Sitz der Digitalkonzerne Google und Facebook, sind mit dem California Consumer Privacy Act sogar Gesetze und Vorschriften nach Vorbild der DSGVO in Kraft), andererseits scheitern der EU-US Datenschutzabkommen jedes Mal am Europäischen Gerichtshof.
Safe Harbour
Safe Harbour war der erste Versuch einer Angleichung und Umsetzung der Datenschutzregeln für EU Bürger zwischen der EU und den USA. Da der Export außerhalb der EU nur zulässig ist, wenn die EU-Kommission den Datenschutz eines Drittstaates mit dem in der EU gleichstellt, erließ die Kommission im Jahr 2000 zunächst die Safe Harbour Entscheidung, wonach das Datenschutzniveau in den USA als gleichgestellt anerkannt wurde. Infolge der Snowden Enthüllungen 2015, dass EU-Daten in den USA vor Geheimdiensten nicht sicher seien, klagte der österreichische Datenschutz Aktivist Max Schrems dagegen. Er verlangte, dass das Gericht Facebook verbietet, seine persönlichen Daten von Servern aus der EU in die USA zu übermitteln und bekam 2015 von dem EuGH recht. Das erste Urteil über die Klage des Max Schrems (Schrems I) stellte damit schon den Datenaustausch mit den USA in Frage. Konsequenz war, dass faktisch damit alle EU-Websites mit US-Anwendungen rechtswidrig waren. Nach dem ersten Urteil im Jahr 2015 gab es allerdings 10 Tage nach dem Urteilsspruch, eine gewisse Entwarnung. Online Businesses wurde eine Schonfrist gewährt, will heißen Selbstständige waren nach dem ersten Urteilsspruch des EuGH 2015/16 noch vor rechtlichen Konsequenzen geschützt und konnten die politische Situation und die Rechtsentwicklungen erstmal in Ruhe abwarten.
EU-US Privacy Shield
Mit Angemessenheitsbeschluss der Europäischen Kommission (2016/1250) vom 12. Juli 2016 über den sog. EU-U.S. Privacy Shield bestand vom August 2016 – Juli 2020 eine Grundlage für Datenübermittlungen in die USA. Damit wurde die Lücke, die durch die Nichtigerklärung der Safe Harbor Entscheidung durch den EuGH (Urteil vom 06. Oktober 2015 in der Rechtssache C-362/14; sog. Schrems I) entstanden war, geschlossen. Damit waren Datentransfers auf der Grundlage des EU-U.S. Privacy Shields zulässig, wenn US- Unternehmen die Vorschriften eingehalten und unter privacyshield.gov zertifiziert wurden. Dann klagte der Österreicher Max Schrems aber erneut – diesmal gegen die Standardvertragsklauseln der EU und dem zwischenzeitlich neuen Privacy Shield. Und wieder gab ihm der EuGH recht. Mit Urteil vom 16. Juli 2020 hat der EuGH auch das Privacy Shield für rechtswidrig und damit unwirksam erklärt . (Rechtssache C-311/18; sog. Schrems II, Urteil Volltext und Presseerklärung des EUGH). Darin wurde u.a. auch angegriffen, dass die für Privacy Shield ernannte Ombudsperson kein unabhängiges Organ sei, sondern eine politische Institution und demnach die darunter ernannte Ombudsperson keinen nach der DSGVO ordentlichen Rechtsweg für die Betroffenen, deren Daten in die Vereinigten Staaten übermittelt werden, eröffne. Selbstständige und Auftragsverarbeiter sind trotz (noch) aktiver Zertifizierung unter Privacy Schild nicht von der Verpflichtung entbunden, sämtliche Voraussetzungen an eine rechtmäßige Datenverarbeitung, die sich aus den geltenden Datenschutzgesetzen ergeben (wie etwa die Erfordernis, eine valide Rechtsgrundlage im Sinne der DSGVO zu haben und abzuschließen), zu erfüllen!
Und was heißt das jetzt?
Privacy Shield ungültig
Juristisch bedeutet das, es gibt keine Entscheidung der Kommission mehr, die anerkennt, dass der Datenschutz in den USA mit dem in Europa gleichwertig ist. Damit darfst auch Du eigentlich (ohne weitere Voraussetzungen) keine personenbezogenen Daten von EU-Bürgern mehr in die USA exportieren! Das betrifft jeden US-Dienst, den Du in Deinem Business nutzt, wie z.B. Google Analytics, Facebook, Instagram, Twitter, LinkedIn, Zoom, MS Office, MS Teams, Mailchimp, Active Campaign, Calendly, YouTube, Amazon Webservices,um nur ein paar zu nennen, die Liste lässt sich da beliebig fortsetzen.
DSGVO anwendbar im Verhältnis EU Business- US Business
Ein Datentransfer in die USA zu gewerblichen bzw. kommerziellen Zwecken durch einen in der EU ansässigen (selbstständigen) Unternehmer an einen anderen, in einem Drittland ansässiges Unternehmen unterliegt den Gesetzen der DSGVO. Die Datenschutzgrundverordnung ist, ungeachtet dessen anwendbar, ob die Daten bei ihrer Übermittlung zunächst beispielsweise in Irland bei einem US Anbieter mit Sitz in Irland oder auf EU Servern in Irland (wie bei Facebook und Google der Fall) liegen und erst im Anschluss daran von den Behörden des betreffenden Drittlands für Zwecke der öffentlichen Sicherheit, der Landesverteidigung und der Sicherheit des Staates in den USA auf den Servern der jeweiligen Muttergesellschaft verarbeitet werden können. Theoretisch könnte zwar mit der Datenverarbeitung in Irland auf irischen Servern, ein Export der Daten vermieden sein, viele US-Internet-Konzerne haben ja Ihre irischen Tochtergesellschaften zum Datenverarbeiter in der EU bestimmt. Problem ist nur, ob die Daten beim US-Diensteanbieter tatsächlich auch in Irland verbleiben. Aber selbst wenn nicht, finden die Schutzregeln der DSGVO weiter Anwendung.
Datenschutz muss gleichwertig sein
D.h., die personenbezogenen Daten von EU-Bürgern dürfen nur in die USA exportiert werden, wenn der Datenschutz in den USA mit dem in Europa gleichwertig ist. Werden personenbezogene Daten aus der EU heraus in ein Drittland übermittelt, muss also zunächst geprüft werden, ob der Datenschutz in dem Drittland nach der DSGVO gleichwertig ist. Der Schutz von Daten ist nach hiesigen Maßstäben unzureichend, wenn US-Behörden, insbesondere Geheimdienste, die personenbezogenen Daten von US-Anbietern heraus verlangen können und Rechtsmittel dagegen nicht möglich sind. Damit ist die entscheidende Voraussetzung für einen Datenexport in die USA, nämlich gleichwertiger Datenschutz, grundsätzlich erst einmal nicht gegeben.
Datentransfer nach Standardvertragsklauseln weiterhin erlaubt
Der EuGH hält den Weg über die Standardvertragsklauseln für einen Datenexport weiter für zulässig. Damit kannst Du Daten z.B. in die USA weiter übertragen, wenn Du mit dem Anbieter die Standardvertragsklauseln vereinbart hast. Z.B. Google hat seine Vertragspartner informiert, ab sofort die Standardvertragsklauseln zu benutzen. Standardvertragsklauseln sind aber nicht ganz unstrittig, denn der EuGH hat in der Schrems II Entscheidung zwar bestätigt, dass die Standardvertragsklauseln weiterhin zulässig sind, gleichzeitig aber auch gesagt, dass die Datenschutzbehörden, jeweils zu prüfen haben, ob die Klauseln in dem Zielland überhaupt wirken können. Wenn in dem anderen Land tatsächlich aber kein gleichwertiges Datenschutzniveau besteht und der Empfänger der Daten (z.B. von US-Behörden) gezwungen werden kann, die Daten ohne besonderen Anlass oder Prüfung herauszugeben, könnte unterdessen auch ein DSGVO Standardvertrag nicht weiterhelfen. Zudem gibt es für den Betreiber der Website, der die Daten von Nutzern sammelt, recht umfangreiche Prüfungspflichten bei Nutzung der EU-Standardvertragsklauseln. Du musst Dich ggf. in Abstimmung mit dem Empfänger der Daten (das US Unternehmen) vergewissern, dass dessen Rechtsordnung auch ermöglicht, den Vertrag mit den Standardvertragsklauseln einzuhalten. Soll heißen: Du musst prüfen, ob das US Unternehmen einem Recht unterliegt, in dem die Daten anlasslos für Überwachung und Profilng heraus verlangt werden. Das war jedoch gerade Gegenstand von Snowdens Enthüllungen und vor allem auch des EuGH Urteils. Von daher dürfte es recht schwer zu argumentieren sein, die Standardvertragsklauseln würden Deinen Daten hinreichenden Schutz gewähren. Für die USA ist ein Datenexport über die Standardvertragsklauseln aber so lange zulässig, bis dieser Weg für ungültig erklärt wird. Von daher sind die Standardvertragsklauseln ein erster Schritt, um deine Webseiten abmahn- und rechtssicher zu machen.
Aussetzung oder Einstellung des Datentransfers
Letzte und schließliche Erkenntnis aus dem Urteil ist, dass eine Aussetzung oder sogar Einstellung des Datentransfers zu erfolgen hat, wenn der Datenschutz nach DSGVO im Drittland nicht gewährleistet wird oder aufgrund der Rechtsordnung absehbar ist, dass es nicht gewährleistet werden kann. Dann dürfen beide Parteien, also sowohl Anbieter als auch der Kunde ( also Du) ihren Datenverkehr auch nicht mehr auf Standardvertragsklauseln stützen. Der Europäische Datenschutzausschuss hat als Folge des EUGH Urteils recht klar gemacht, dass eine Übertragung in die USA auch nach den Standardvertragsklauseln nur von Fall zu Fall möglich sein wird, wenn die Prüfung ergibt, dass die datenschutzrechtlichen Garantien die in den Vertragsklauseln enthalten sind, nicht beeinträchtigt sind. Ggf. muss sich der Selbstständige bei der Datenschutzbehörde melden und anfragen, ob er in seinem Fall noch Standardvertragsklauseln einsetzen darf.
Kann ich nicht einfach ein Opt-in verwenden?
Ja, aber… ist hier die Antwort. Du kannst die Daten Deiner Nutzer und Kunden in die USA exportieren, wenn Du Deinen Nutzer in die Übermittlung seiner Daten in die USA einwilligen lässt. Die Einwilligung würde den rechtssicheren Datenexport auch für die Zukunft absichern, solange bis der Betroffene seine Zustimmung nicht widerruft. Und genau darin liegt auch zugleich der Nachteil. Du bist abhängig von dem Nutzer und seinem Zustimmungsbedürfnis und seinem Zustimmungswillen. Eine Einwilligung im rechtlichen Sinne muss immer explizit, spezifisch und informiert erfolgen. Das heißt, eine Einwilligung im rechtlichen Sinne erfordert mehr Aufklärungstext und insbesondere auch eine (Sicherheits-) Warnung vor dem Datenexport in das Drittland.
Cookie Banner Opt-in
Ein einfaches “ Ich bin mit der Datenübertragung einverstanden“ geht leider nicht. Von daher ist bei dem Cookie Opt-in für jeden einzelnen Anbieter eine Aufklärung zu machen und ein Warnung über die unsichere Datenübertragung auszusprechen. Das kostet viel Aufwand und wird auch wenig zielführend sein.
Newsletter
Möglich wäre für Deinen Newsletter Anbieter, eine Einwilligung einzubinden. Dein US- Anbieter wird ja ohnehin ein double Opt-in verschicken. Aber auch hier ist es schwierig diese Einwilligung für bestehende Kontakte nachträglich einzuholen.
Zwei Klick Lösungen
Wer Social Share Buttons mit Zwei Klick Lösungen auf seiner Webseite verwendet, der kann relativ leicht auch eine Einwilligung für den Datentransfer in die USA verlangen . Im Zweifel werden aber viele dem Zwei Klick Link nicht folgen und die Einwilligung damit verweigern. Aber das bedeutet dann nur, dass die Einwilligung nur für diesen Link verweigert wird und nicht die ganze Website von der verweigerten Einwilligung betroffen ist.
Bleibe auf dem Laufenden
Für Dich kommt es jetzt vor allem darauf an, dass Du auf dem Laufenden bleibst, damit Du mögliche Gefahren erkennst und zeitnah Deine Lösung findest. Abonniere hier gern einer unserer Social Media Kanäle, insbesondere den Insta Kanal @nathalie.salibianwaltz, den solltest auf jeden Fall in deinem Portfolio haben! Dann informieren wir Dich über neue Rechtsentwicklungen im Zusammenhang mit deinem Online Business.