Google, Facebook, Amazon und andere US-Dienste aktualisieren spätestens zum 27. September 2021 ihre Datenschutzbedingungen. Dabei werden vor allem die ab dem 27. September erforderlichen neuen EU-Standardvertragsklauseln als Vertragsbestandteile einbezogen.

In dem nachfolgenden Beitrag erfahren Sie, warum diese Änderungen erforderlich sind und welche Maßnahmen Sie ergreifen müssen. Aufgrund ihrer Verbreitung stehen die Dienste von Google zwar im Mittelpunkt, der Beitrag gibt jedoch generell Tipps zum Umgang mit US-Anbietern.

Zum Abschluss des Beitrags erhalten Sie eine Checkliste mit einer Zusammenfassung der Ratschläge.

Hinweis: Seit dem 10. Juli 2023 existiert ein Nachfolger für das “Privacy Shield”, namens “Trans-Atlantic Data Privacy Framework (TADPF)”. Das TADPF ist sicherer als Standardvertragsklauseln. Warum der folgende Beitrag jedoch weiterhin aktuell bleibt und ob Sie sich auf das TADPF als sichere Rechtsgrundlage für den Einsatz von US-Anbietern, wie Google, Facebook, Amazon, etc. verlassen können, erfahren Sie in unserem Beitrag: Trans-Atlantic Data Privacy Framework (TADPF) – Einsatz von US-Dienstleistern nun DSGVO-sicher?

Zu welchem Zweck sind Standardvertragsklauseln erforderlich

Wenn Anbieter aus den US sowie anderen Ländern außerhalb der EU eingesetzt werden, muss die Einhaltung des Datenschutzes besonders gewährleistet werden. Am wichtigsten Sind dabei die folgenden Fälle der Gewährleistung:

• Angemessenheitsbeschlüsse – Für Länder, wie z.B. Schweiz, Kanada oder Israel hat die EU-Kommission ein angemessenes Datenschutzniveau  (sog. „Angemessenheitsbeschluss“). D.h. Sie müssen keine weiteren Vorkehrungen treffen. Im Fall der US besteht diese Form der Anerkennung nicht. Eine Art der Anerkennung bestand zwar bis Mitte 2019 mit dem Privacy Shield, der jedoch vom EuGH wegen möglicher Überwachungsmaßnahmen für unwirksam befunden wurde.
• Standardvertragsklauseln – Eine andere Form der Sicherstellung des angemessenen Datenschutzniveaus sind technische und organisatorische und vertragliche Maßnahmen. Als vertragliche Maßnahmen sollten die von der EU-Kommission veröffentlichten Standardvertragsklauseln (Englisch: „Standard Contractual Clauses“, (SCC), Art. 46 Abs. 1 lit d) DSGVO) abgeschlossen werden.

Was sind die Standardvertragsklauseln?

Bei den Standardvertragsklauseln handelt es sich um Mustervorlagen für spezielle Datenschutzverträge. Es ist so zu sagen ein Baukasten mit Vertragsklauseln, die je nach Konstellation der Beteiligten zusammengestellt werden können. So gibt es z.B. unterschiedliche Versionen der Standardvertragsklauseln für den Fall, dass ein US-Anbieter als sog. Auftragsverarbeiter agiert oder selbst, bzw. gemeinsam mit Ihnen datenschutzrechtlich verantwortlich ist.

Müssen die Standardvertragsklauseln angepasst werden?

Die Standardvertragsklauseln selbst sollten nicht verändert werden. Da sie von der EU-Kommission als Ganzes, nur mithilfe der bereitgestellten Module vorgegeben sind. Es sei denn die Anpassung wurde von der zuständigen Datenschutzaufsichtsbehörde bestätigt.

Die Anhänge zu den Standardvertragsklauseln müssen jedoch um Angaben zu den konkreten Verarbeitungsprozessen sowie Angaben zu den technisch-organisatorischen Maßnahmen angepasst werden (s.u. Beispiel von Google).

Ausführlicher Ratgeber zu Standardvertragsklauseln: In unserer FAQ “Neue EU-Standardvertragsklauseln – Werden US-Datentransfers jetzt rechtssicher?” können Sie sich vertieft über die neuen Standardvertragsklauseln sowie deren Schutzwirkung informieren.

Ab wann gelten die neuen Standardvertragsklauseln?

Im Hinblick auf die zeitlichen Aspekte der Standardvertragsklauseln müssen die folgenden Zeitpunkte beachtet werden:

• Veröffentlichung am 04. Juni 2021 – Die neuen Standardvertragsklauseln wurden im Juni 2021 von der EU-Kommission aktualisiert und sollen insbesondere US-Anbieter auf die Einhaltung des europäischen Datenschutzniveaus verpflichten. Neu aufgenommen wurde z.B. die Pflicht zur Prüfung und Abwehr von Anfrage von Behördenabfragen, die EU-Bürgern ein Recht sich gegen sie zu wehren, versagen würden. Ebenso vorhanden ist eine Pflicht zu prüfen und protokollieren, dass kein Grund zur Annahme besteht, dass Gesetze im Drittland den Datenimporteur daran hindern könnten, seinen Pflichten aus den Standardvertragsklauseln nachzukommen (so genannte “Daten-Transfer-Folgenabschätzung”, Englisch: “Data Transfer Impact Assessment” (TIA)).
• Verbindlich ab dem 27. September für Neuverträge – Die neuen Standardvertragsklauseln müssen ab dem 27. September bei allen Neuverträgen berücksichtigt werden.
• Verbindlich für Altverträge ab dem 27. Dezember 2022 – Im Fall bestehender Verträge müssen dieStandardvertragsklauseln spätestens ab dem 27. Dezember 2022 aktualisiert werden.

Da die neuen Standardvertragsklauseln ein höheres Schutzniveau bieten, sollten Sie möglichst schnell aktualisiert werden. Bei Anbietern, die sich an eine Vielzahl von Kunden richten, werden sie schon zum ersten Termin aktualisiert, da sie gegenüber Neukunden ohnehin angeboten werden müssen. So zum Beispiel im Fall von Google.

Datenverarbeitungsbedingungen für Google Analytics, Tag Manager, Ads, etc.

Google hat die Datenschutzbedingungen für die Marketing- und Messdienste angepasst. Hierbei unterscheidet Google zwischen Diensten, bei denen Google sich als Auftragsverarbeiter betrachtet und Diensten, bei denen Google laut eigener Aussage als Verantwortlicher agiert:

Ob die Selbsteinschätzung von Google im Hinblick auf die Stellung als Auftragsverarbeiter oder Verantwortlicher zutrifft, wird vielfach angezweifelt und stellt einen bereits seit Jahren existierenden Streitpunkt dar.

Auftragsverarbeitung oder gemeinsame Verantwortlichkeit – Auftragsverarbeiter agieren auf Weisung der Auftraggeber hin und verarbeiten die bei Einsatz ihrer Dienste erhobenen Daten nicht für eigene Zwecke (Lesetipp bei uns im Blog: “Ratgeber: Auftragsverarbeitung DSGVO-sicher (FAQ, Tipps und Checklisten)“). Ansonsten liegt eine eigene Verantwortung oder eine gemeinsame Verantwortung mit den Vertragspartnern vor (Art. 4 Nr. 7 und Nr. 8 DSGVO). Google hält z.B. die Nutzung von Analytics für einen Fall der Auftragsverarbeitung. Allerdings bestehen an dieser Selbsteinschätzung auch erhebliche Zweifel (und damit eine Rechtsunsicherheit), die damit begründet werden, dass Google von den personenbezogenen Daten selbst profitiert. D.h. es sprechen viele Argumente dafür, dass ein Fall der gemeinsamen Verantwortlichkeit vorliegt (also ähnlich wie im Fall der Nutzung von Facebook-Seiten).

Wie werden die neuen Datenschutzbedingungen von Google abgeschlossen und ab wann gelten sie?

Die neuen Datenverarbeitungsbedingungen für Google können Sie in den Einstellungen Ihres Google Analytics-Accounts akzeptieren. Sie gelten dann ab sofort, frühestens aber ab dem 27. September 2021. Falls Sie die neuen Bedingungen nicht akzeptieren, die Google Dienste jedoch weiterhin nutzen, gelten die neuen Verträge trotzdem ab dem 27. Oktober 2021.

Vertragspartner ist jeweils die Google Ireland Limited, Gordon House Barrow Street Dublin 4, Irland.

Erforderlichkeit einer Daten-Transfer-Folgenabschätzung

Die Standardvertragsklauseln sind entsprechend unserer ersten Sichtung vollständig und enthalten Angaben zu der Verarbeitung und den technischen und organisatorischen Maßnahmen (Annex I und II). Die neuen Standardvertragsklauseln sichern damit das Datenschutzniveau auf jeden Fall besser ab als die bisherigen Versionen.

Allerdings sind die Standardvertragsklauseln laut alleine nicht ausreichend. Denn zusätzlich zu dem Vertragstext muss eine Daten-Transfer-Folgenabschätzung erfolgen.

Gemeint ist damit, dass Sie überprüfen, ob die Zusagen das adäquate Datenschutzniveau einzuhalten, auch tatsächlich eingehalten werden. Das heißt, Sie müssen überprüfen, ob das vom EuGH beschriebene Risiko des Zugriffes auf die Daten durch US-Behörden verhindert wird.

Durchführung und Umfang einer Daten-Transfer-Folgenabschätzung

Wie umfangreich und tiefreichend die Prüfung erfolgen muss, hängt von dem verwendeten Dient, der Art und Umfang seiner Verwendung, als auch den konkreten Risiken ab. So kann eine Prüfung z.B. grundlegend wie folgt aufgebaut werden:

• Verwendeter Dienst: Google Analytics.
• Arten von verarbeiteten Daten: Online-Kennzeichnungen (einschließlich Cookie-Kennungen), Internet-Protokoll-Adressen und Gerätekennungen, vom Kunden vergebene Kennzeichnungen.
• Speicherdauer: 14 Monate, anschließend Anonymisierung.
• Risiken aufgrund von US-Sicherheitsregelungen: Foreign Intelligence Surveillance Act (FISA), Abschnitt 702: Gemäß Abschnitt 702 des FISA kann die Regierung der Vereinigten Staaten “Anbieter elektronischer Kommunikationsdienste” dazu zwingen, Informationen über Nicht-US-Bürger, die sich außerhalb der Vereinigten Staaten befinden, zum Zwecke der Informationsbeschaffung für ausländische Nachrichtendienste weiterzugeben. EO 12333 und Presidential Policy Directive 28 (“PPD- 28”): Gemäß EO 12333 dürfen US-Geheimdienste (wie die US National Security Agency) Überwachungen außerhalb der USA durchführen. Insbesondere werden die US-Nachrichtendienste ermächtigt, ausländische “Signals Intelligence”-Informationen zu sammeln, d. h. Informationen, die aus der Kommunikation und anderen Daten gewonnen werden, die über Funk, Draht und andere elektromagnetische Mittel übermittelt werden oder zugänglich sind.
• Risikograd für Betroffene: Erfassung vom Verhalten (Aufruf von Unterseiten, Interaktion mit Webseitenfunktionen) innerhalb der Website sowie Interesse an den Inhalten. Die Webseite enthält allgemeine Informationen zum Thema [Marketing, Recht, Tierfutter, etc.] und keine Funktionen oder Inhalte, bei denen zu Vermuten ist, dass etwaige Kenntnis von US-Sicherheitsbehörden besondere Risiken für die Nutzer mit sich bringt.
• Vertragliche Maßnahmen: Abschluss Google Ads Data Processing Terms mit Standardvertragsklauseln: Google Ads & Measurement: Standard Contractual Clauses (Module 3: Processor-to-Processor), Vertragspartner: Google Ireland Limited, Gordon House Barrow Street Dublin 4, Irland.
• Technische und organisatorische Maßnahmen: Pseudonymisierung von IP-Adressen (IP-Masking-Verfahren); verschlüsselte Datentransfers; Verschlüsselung von Daten im Ruhezustand; Interne Datenzugriffsprozesse und -richtlinien – Zugriffsrichtlinie (Die internen Datenzugriffsprozesse und -richtlinien von Google sollen verhindern, dass unbefugte Personen und/oder Systeme Zugang zu Systemen erhalten, mit denen personenbezogene Daten verarbeitet werden); 2-Faktor-Authentifizierung; Google Transparenzbericht mit Informationen darüber, wie sich Richtlinien und Maßnahmen von Behörden und Unternehmen auf den Datenschutz, die Sicherheit und den Zugriff auf Informationen auswirken; Weitere Informationen zu den TOMs, s. Appendix 2 der Google Ads Data Processing Terms und “Safeguards for international data transfers with Google’s advertising and analytics products”.

Bei der obigen Aufstellung handelt es sich um eine Grundlage, die individuell erweitert werden sollte. Als weitere technische und organisatorische Maßnahme kommen, sofern zutreffend, z.B. die Speicherung auf Google Servern in der EU in Frage.

Begründung, warum keine EU-Alternativen in Frage kommen

Im Datenschutz gilt generell der Grundsatz der Erforderlichkeit. D.h. wenn Sie US-Anbieter einsetzen möchten, müssen Sie begründen, warum keine gleichermaßen geeignete aber datenschutzsicherere Alternativen in Frage kommen. Z.B. warum Sie statt Google Analytics keinen Anbieter aus der EU (bzw. datenschutzrechtlich als sicher anerkannten Drittstaaten, wie Schweiz, Kanada oder Israel) oder gar eine selbst betriebene Software (z.B. Matomo) geleichermaßen verwenden können.

Dabei können Sie insbesondere die folgenden Argumente aufführen, um zu begründen, warum diese Dienste nicht keine wirkliche Alternative darstellen:

• Funktionalität und Funktionsumfang– Lassen sich die beabsichtigten Verarbeitungen mit der Alternative genauso effektiv durchführen (z.B., wenn Sie Google Ads Produkte einsetzen möchten und Analytics dafür notwendig ist und keine adäquate EU-Alternative zu Google Ads besteht)?
• Usability – Können die Alternativen z. B. genauso einfach bedient werden oder müssten Mitarbeiter neu geschult oder Kunden neu an eine Software gewöhnt werden?
• Kosten– Sind die Alternative und Kosten ihrer Einführung wesentlich teurer und ist die Mehrbelastung wirtschaftlich bedeutend.
• Sicherheitsrisiko– Kann die Alternative faktisch dasselbe Sicherheitsniveau bieten? So verweisen z. B. Behörden darauf, dass man z. B. Videokonferenzdienste selbst betreiben kann. Allerdings erscheint es häufig fraglich, ob dabei dasselbe Sicherheitsniveau, wie auf den Konferenzservern großer Unternehmen, geboten werden kann.

Vorgehen bei anderen Anbietern

Sofern andere Drittland-Anbieter noch keine neuen Standardvertragsklauseln mitgeteilt haben (wie z.B. Facebook oder Amazon für AWS oder Microsoft – wobei wir hier zusätzlich auf die Informationen zu Microsoft 365 an der Universität Würzburg verweisen), sollten Sie bei den Anbietern nach den neuen Klauseln fragen.

Dabei sollten Sie die Anbieter zusätzlich fragen, ob eine Vorlage für eine Daten-Transfer-Folgenabschätzung bereitgestellt werden kann. Diese könnten Sie dann als Grundlage Ihrer Prüfung einsetzen.

Beispielsformulierung (die Sie für Ihre Bedürfnisse anpassen können):

To whom it may concern

As of September 27, in case of processing personal data in the US, the updated standard contractual clauses for US data transfers, applicable as of June 20201, must be used (https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj?uri=CELEX:32021D0914&locale=en). Have you updated your standard contractual clauses, and if so, could you send us the standard contractual clauses, or let us know how we can access them, as well as when they become mandatory?

Furthermore, according to the European data protection supervisory authorities as well as SECTION III, Clause 14 (b), we are additionally obliged to carry out a so-called Transfer Impact Assessment (TIA). Can you possibly provide us with a template of a TIA concerning your service and showing which measures have been taken to ensure an adequate level of data protection? In particular with regard to the prevention of data access by state security authorities and intelligence services?

Facebook und Instagram: Die neuen Standardvertragsklauseln von Facebook, einem Dienst, zu dem sich kaum eine gleichwertige EU-Alternative wird finden können. Eine ausführliche Beschreibung der Facebook-Vertragsgrundlagen finden Sie in unserem Beitrag: “Neue Bedingungen und Datenschutzregeln für Facebook und Instagram“.

Checkliste

Die von Ihnen jetzt zu ergreifende Maßnahmen können Sie der folgenden Checkliste entnehmen:

• Abruf oder Anfrage nach neuen Standardvertragsklauseln – Falls nicht online stehend oder online mitgeteilt, sollten Sie die o.g. Anfrage an die jeweiligen Anbieter stellen.
• Prüfung des Vertragstextes – Sie müssen prüfen, ob die für die jeweilige Vertragskonstellation richtige Standardvertragsklauseln gewählt und inhaltlich nicht verändert wurden. Ebenso muss geprüft werden, ob die Anhänge ordnungsgemäß ausgefüllt sind.
• Prüfung des tatsächlichen Datenschutzniveaus – Sie müssen ebenfalls prüfen, ob die Zusagen das adäquate Datenschutzniveau einzuhalten, auch tatsächlich eingehalten werden. Das heißt, Sie müssen überprüfen, ob das vom EuGH beschriebene Risiko des Zugriffes auf die Daten durch US-Behörden verhindert wird. Zur Sicherung eines angemessenen Datenschutzniveaus tragen z.B. Verschlüsselungsverfahren, Pseudonymisierung, Serverstandort in der EU oder auch ein geringes Risiko für die Daten der Betroffenen bei.
• Prüfung einer Alternative – Sie sollten ferner begründen, warum Sie keinen europäischen Dienst oder einen datenschutzfreundlicheren Dienst verwenden können.

Zusammenfassung

Seien wir ehrlich, niemand kann mit aller Sicherheit sagen, wann der Einsatz von US-Diensten, wie z.B. von Google, Facebook, Amazon oder Microsoft zulässig ist. Vor allem kleine Unternehmen oder FreiberuflerInnen werden kaum entsprechende Kapazitäten haben, um die Prüfung selbst durchzuführen oder sie in Auftrag zu geben.

Allerdings wissen das auch die Aufsichtsbehörden, die deswegen eher keine strikten Verbote oder gar Bußgelder verhängen werden. Anders sieht es aus, wenn Sie nicht einmal die Ihnen zumutbaren Maßnahmen ergriffen haben. Zu diesen Maßnahmen gehört die Anfrage der Standardvertragsklauseln und eine Daten-Transfer-Folgenabschätzung, nach o.g. Mustern.

Angaben zu Google-Diensten in unserem Datenschutzgenerator

Wir haben die Module zu den Google Diensten in unserem Generator für Datenschutzerklärungen um die Angaben zu den neuen Datenschutzbedingungen erweitert. Dazu gehören u.a. die Module zu Google Analytics, Google Tag-Manager, Google Optimize, Google Ads oder dem Google AdManager.

 

---