Privacy Shield gekippt – Was bedeutet das für Deine Webseite?

Es geht um personenbezogene Daten, die auf Deiner Webseite erhoben werden und in die USA gesendet werden. Hier wurde durch das sog. Privacy-Shield „geregelt“, dass die USA ein vergleichbares Daten-Schutzniveau wie Deutschland oder die EU hat. Dieses Abkommen wurde nun Mitte Juli durch den EuGH kassiert und für ungültig erklärt, da es weitreichende Zugriffsmöglichkeiten seitens der US-Behörden auf Daten dieser Dienste und somit auf personenbezogene Daten von EU-Bürgern gibt. Das war uns zwar allen klar, nun ist es jedoch auch rechtlich bestätigt und wir (Webseitenbetreiber) sind zur Handlung aufgefordert.

Drittländer mit einem angemessenem Schutzniveau

Wenn ich meine Daten schon nicht in der EU speichere, wo sind sie denn dann sicher? Ganz einfach es gibt eine Liste von Ländern mit einem angemessenem Schutzniveau, hierzu zählen:

Andorra, Argentinien, Färöer, Guernsey, Israel, Isle of Man, Jersey, Neuseeland, Schweiz, Uruguay und Japan

Drittländer ohne ein angemessenes Schutzniveau

Deine Daten sind eigentlich in allen anderen Ländern nicht hinreichend geschützt, da viele Dienste bzw. Unternehmen in den USA sitzen, ist das ein Problem

  • USA (wegen dem gekippten Privacy Shield)
  • UK und Nordirland (nach dem 31.12.2020)
  • ALLE anderen Länder

Welche Konsequenzen hat das nun für Deine Webseite?

Der Datentransfer von Nutzerdaten in die USA ist nicht mehr „einfach so“ erlaubt. Bis Dato gab es ein Schreiben, das Webseitenbetreibern zumindest rechtliche Sicherheit gegeben hat, dass man damit nichts unrechtes tut – auch wenn wir alle wussten, dass das „Privacy Shield“ nicht das Papier wert war, auf dem es steht.

Welche Lösungen gibt es denn nun nach dem gekippten Privacy Shield?

Guter Rat ist an der Stelle teuer, denn aktuell weiß keiner genau, wie damit konkret umzugehen ist. Eine einfache schnelle Lösung ist nicht in Sicht und das es zeitnah ein neues Abkommen zwischen EU und USA in der aktuellen Zeit geben wird, ist mehr als zweifelhaft.

Mögliche Ansätze sind die folgenden:

1. Keine Anbieter aus den USA nutzen

Ganz einfach: Nutze keine Dienstleister oder Dienstleister mit Subunternehmen in den USA.

Mit der Lösung bist du auf der 100% korrekten Seite. Somit dürfen aber keine Google-Produkte (Maps, Analytics, Youtube), keine Social-Media-Integrationen auf der Seite eingebunden werden.

Praktikabel ist diese Option selten. Alternativen hier aus Europa sind häufig weniger ausgereift und/oder um ein vielfaches teurer. Andere Lösungen sind so tief im Marketing verwurzelt, dass man diese nur schwer ersetzen kann.

2. Bei US-Anbietern auf „Serverstandort EU“ achten

Eine nur fadenscheinig bessere Lösung und rechtlich nicht haltbar. Durch den sog. CLOUD Act – der in der Trump-Regierung im März 2018 Gesetz geworden ist – gestattet auch den Durchgriff auf Servern der US-Konzerne in der EU seitens Organisationen der US-Regierung.

Damit zahlt man vermutlich nicht nur mehr, man sitzt technisch auf dem gleichen Pulverfass, wie alle anderen auch.

3. EU-Standard-Vertragsklausel / Standard Contractual Clauses (kurz SCC)

Was wäre die GDPR bzw. DSGVO, wenn man nicht auch das Problem einfach lösen könnte. Der Dienstanbieter schleißt mit dem Dienstnehmer einen Vertrag, über die Übertragung von personenbezogenen Daten, der aussagt, dass er diese gemäß GDPR behandelt.

Da können wir nun alle aufatmen, sammeln von allen Dienstleistern noch mal 10 Seiten PDF digital signiert ein, heften diese ab und machen weiter wie eh und je.

Doch Achtung: Es haben verschiedene Rechtsorganisationen bereits ausgesagt, das dieses genauso wenig wert ist, wie das gekippte Privacy Shield und einer gerichtlichen Prüfung vermutlich nicht standhalten würde.

Ein weiteres Problem ist, dass der Verantwortliche (Unternehmer) prüfen muss, dass ein angemessenes Schutzniveau wirklich gewährleistet ist. Ist ein solcher Datenschutzbeauftragter auf dem Ritt und stellt fest, das Du eben das nicht geprüft und sichergestellt hast, trittst also grob fahrlässig das Grundrecht mit Füßen, könnte dies teuer werden oder gar zu Freiheitsstrafen führen.

4. Binding Corporate Rules (BCR)

Man kann auf Unternehmen zurückgreifen, die verbindliche interne Datenschutz-Regelungen nach Vorgabe der EU haben, diese heißen Binding Corporate Rules oder kurz BCR.

Hier haben einige Unternehmen bereits frühzeitig zusammen mit der EU nach Lösungen gesucht. In den großen Unternehmen ist dies vielfach jedoch noch nicht Standart, gewährleisten unabhängig von einem persönlichen Vertrag seitens der EU eine Unbedenklichkeit.

5. Einwilligung zur Datenübermittlung über Consent-Tools

Denkbar ist dies aber praktisch nur schwer umsetzbar. Rechtlich ist dies bedenklich denn kein Nutzer kann eine Einwilligung in Grundrechtsverletzungen geben.

Technisch wäre der Text – je nach Datenumfang – sehr lang.

Bezogen auf das Marketing – dem das ganze dienen soll – Die opt-in-Raten wären minimal und dann kann ich es auch direkt sein lassen.

Praktisch müssen alle Datenübertragungen und Zwecke dargestellt werden.

Was kann man nun – nach dem gekippten Privacy Shield – machen?

Es gibt keine einfache oder schnelle Lösung zur Zeit. Abzuwarten ist rechtlich problematisch, da sich auf die Schnelle vermutlich keine Lösung ergeben wird für viele Dinge. Daher würde ich folgendes empfehlen:

  1. Überblick verschaffen
  2. Analysieren
  3. Alternativen Suchen
  4. ggf. Datenschutzerklärung anpassen

Überblick über die verschiedenen Dienstleister verschaffen

Auch wenn die Verfahrensverzeichnisse alle stehen sollten, weiß ich, dass diese vielfach nicht erstellt sind und selten ein Überblick über die Lösungen besteht. Erstellen sie eine Liste mit Softwareanbietern und Dienstleistern aus den USA, die Sie nutzen.

Analysieren Sie die Dienstleister

Übermitteln dieses Dienste personenbezogene Daten der Nutzer in die USA? Wenn ja: Kann ich das vermeiden? Kann ich mit dem Dienstleister einen Standard-Vertrag schließen? Hat der Dienstleister ggf. eine BCR? Brauche ich den Dienstleister und wenn ja, kann ich Alternativen suchen?

Alternative Anbieter aus der EU nutzen

Wird der Dienstleister seinen Sitz und Serverstandort in der EU hat, ist alles super! Bei allen anderen Konstellationen sollte man aufpassen.

Datenschutzerklärung prüfen

Berufen sie sich aktuell auf das Privacy Shield? Aktualisieren Sie auf jeden Fall die Datenschutzerklärung, wenn Sie hier Dienste nutzen, die sich auf das Privacy-Shield stützen, dann müssen dieses Texte getauscht werden und die notwendigen Konsequenzen daraus gezogen werden, um auf der Sicheren Seite zu sein.

Können wir Dir helfen?

Wenn Du nun wie der sprichwörtliche „Ochs vorm Berge“ stehst, keine Panik, wir helfen gern. Konkret: Kostenlose Analyse und Empfehlung, was man machen könnte, schreib mir einfach oder ruf kurz an.

Was sind deine Meinungen zu dem Thema?

Update vom 29.10.2020

Wie steht es um die Nutzbarkeit in Hinsicht um die Rechtskonformität von einigen bekannten Services aus?

Im folgenden eine Liste von Services, die Ihre Datenschutzpolitik hinsichtlich des gekippten Privacy Shields angepasst haben

DienstDatumMittelURL
Amazon AWS30.06.2020SCCAWS Kundenvereinbarung
GDPR Data Processing Addendum
Google12.08.2020SCCCompliance
Mailchimp28.10.2020SCCStandard Terms of Use (STOU)
Data Processing Addendum (DPA)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Weitere spannende Posts zu digitalen Themen

Allgemein

SEO leicht gemacht oder doch nicht?

Einer meiner Kunden hatte mir die nachfolgende E-Mail weitergeleitet. Sie hatte Ihn angesprochen und er fragte nun mich als seinen Entwickler, ob er diesen Bericht

Willst du dein Unternehmen digital nach vorne bringen?

Kontaktiere uns jetzt

small_c_popup.png

Bestelle für Deine Webseite das

Soforthilfe-Paket

Wir schauen uns das Problem direkt unverbindlich an und melden uns bei Dir. Wir teilen dir mit was wir benötigen und gehen an die Arbeit. Je 15 Minuten berechnen wir 30,- Euro netto, egal wie viel Uhr es ist.